Category: Sentinelone

Zerologon (CVE-2020-1472): SentinelOne First to Detect on the Endpoint

10/1/2020

0 Comments

Executive Summary

有些 endpoint 的 vendor 一直聲稱嚴重性 10/10 CVE 是網路安全問題。 SentinelOne 今天表明這是不正確的，並且可以在端點上檢測到 Zerologon 的利用攻擊。

SentinelOne 也是目前唯一能夠準確檢測到被試圖攻擊目標主機的 vendor。 SentinelOne 的平台還能夠將攻擊事件與我們的 Storyline 技術連接在一起。

從 4.2 SP4 開始，這個關鍵檢測功能就可使用，既有的 SentinelOne 客戶也是可以使用。

請見以下的 demo，可以看到 SentinelOne 自主檢測這個關鍵的 server 漏洞。創新和 vector-agnostic 的技術很重要，這讓我們的客戶領先處於威脅領域。

Zerologon 漏洞介紹

CVE-2020-1472（一般稱之為“ Zerologon”）是當前所有 Microsoft Windows Server 版本（Windows 2008 R2、2012、2016、2019）中的一個嚴重漏洞。這個提升特權，利用了 Netlogon Remote Protocol（MS-NRPC）中的漏洞，並允許攻擊者可模擬系統，包括網域控制器本身的帳號。

這個漏洞是由 Secura 的資全專家 Tom Tervoort 發現的，漏洞可以讓 remote 的攻擊者偽造 Netlogon 的身份驗證，將 domain 控制器的密碼設置為已知值。之後，攻擊者可以使用新密碼來接 domain 控制器，更改或添加其他身份驗證憑證，提升特權或橫向移動到 domain 中的其他主機。

之後呢，除了重置 domain 密碼之外，其他研究人員還發現了更多可操作 Zerologon 漏洞的方法，他們還證明了 Zerologon 可竊取所有 domain 密碼的能力。這樣的發展趨勢，增加了企業將面臨的風險。

而為了成功的攻擊，駭客們必須首先獲得對 domain 控制器或可以遠端相同網路上的設備或直接進入。有效的憑據或 member 身份，不是成功攻擊的先決條件。自從漏洞被公開以來，在外界以發現了可被利用的代碼，CISA 表示該漏洞構成了 “不可接受的風險”，並需要 “立即採取緊急行動”。

儘管微軟已經發布了 Zerologon 的 initial patch，但這僅僅是第一階段的開始，他們預計至少要等到 2021 年第一季才能完成。同時，Microsoft 的建議指出，目前的更新僅保護被支援的 Windows 設備，舊版 Windows 和其他使用 Netlogon MS-NRPC protocol 的 domain controller 來通信的設備還是容易受到損害。

除此之外，initial patch 是無法阻止 Zerologon 的攻擊。相反的，如果沒有使用該 protocal 的設備，它僅是添加 logging 來檢測 non-secure RPC，並添加 registry 設置來停止使用。而資安團隊面臨的挑戰是，如果僅是禁用，這可能會破壞舊版的應用程式。因此，即使目前有可用的 patch，但如果公司企業不能禁用 registry 設置，它們仍然容易受到攻擊。

Detecting and Defending Against Abuse of Zerologon

從端點的角度來看，檢測這種攻擊是具有挑戰性，因為在實質上，攻擊者是以類似 “合法用戶/帳號行為”的方式向 domain 進行身份驗證。另外，主要攻擊媒介是網路級別，而不是通過與主機 filesystem 之間的 interaction。因此，對於許多傳統的端點安全解決方案而言，直接去解決該漏洞是 “不可行的”。

相比之下，SentinelOne 研究人員採用了 vector agnostic 的方法，這個方法利用了一些獨特的，專有的創新技術，可以在端點上檢測到此漏洞。我們的 SentinelLabs 研究團隊已在各種可用的 frameworks 上進行了許多測試。在我們的分析過程中，我們觀察到，這種攻擊雖然成功，但在 domain 控制器上也引起了注意，正是因為該攻擊以多種方式對與 domain 控制器的 communications 間接產生了負面影響。而研究的結果，SentinelOne 平台能夠檢測到針對目標系統的 initial 前、後的攻擊 (事發前，事發後)。雖然攻擊是從網路開始，但端點已察覺傳入的流量嘗試。

Netlogon Remote Protocol 是用於維護在 domain member 至 domain controller (DC）、 domain DCs 以及跨域 DC 之間的關連。通過 local 和遠端監視系統內進行的身份驗證嘗試，並將其通過我們的行為 AI 引擎，我們可以將正常的身份驗證及試圖攻擊區分開來。

當檢測到可疑活動時，會啟動 in-context 警報，並會在控制台中顯示出。

Interested in Protection from Zerologon?

這就像對 agent 進行的任何修改一樣，我們開始將此功能部署到選定的客戶，以確保在各種環境中的穩定性。現在，已部署 4.2 SP4 的既有客戶可以使用這項關鍵檢測。版本 4.3 和 4.4 將會在即將發布的 Service Pack 更新中包含此檢測功能。如果您還不是 SentinelOne 客戶，我們歡迎你來了解有關如何保護你企業或在這兒 request free demo 已得到更多信息。

原文

0 Comments

WHAT IS A BOTNET? (AND WHY ARE THEY DANGEROUS?)

6/8/2020

0 Comments

你可能已經聽說過以下這幾個名字：Emotet，Trickbot，Dridex。這些是當前網路空間中最臭名昭著的殭屍網路，可以感染並劫持數十萬台設備。上個月，英國 Labour party 遭到威脅組織 Lizard Squad 兩次 DDoS 攻擊， Lizard Squard 聲稱控制了與 “數百萬個設備” 連接的網絡。年初時，在巴西一個擁有 40 萬台 IoT 設備的殭屍網路對一個站點進行了大規模攻擊，該點在 13 天的時間內發出每秒超過 200,00 個 request。殭屍網路的威脅是當今企業面臨的最嚴重問題之一。在這篇 blog 中，我們來仔細研究什麼是殭屍網路以及它們是如何運作的。

那什麼是殭屍網路？
簡單來說，殭屍網路是由一堆受感染的主機所組成的網絡，這些主機由駭客作單一控制。並可以讓受感染網絡中的所有的主機同時執行相同的指令。

殭屍網路如此可怕是因為他們可執行大規模的動作，控制成千上萬台機器的行為能力。若再結合蠕蟲，則殭屍網絡不僅可以大規模發揮，而且還可以感染並控制同一公司網路上的其他主機，開始自己生長。

What Are Botnets Used For?
殭屍網路最常見的手法之一是對企業伺服器和網站進行 DDoS（分散式阻斷服務）攻擊。當大量設備都嘗試同時連接到伺服器時，就會發生 DDoS 攻擊。這可能會使伺服器能力超過負荷來處理所有傳入的數據、然後就斷線，導致希望使用服務的真正客戶無法進入。

這樣的阻斷服務攻擊的例子有很多。 Mirai 的創造者 “ Anna Senpai” 在 Hackforums 網站上發布了代碼，製造出很多模仿者，這是用於 DDoS 的最成功的殭屍網路之一。而 Mirai 是被用來攻擊一名資安 blogger, Brian Krebs。因為他暴露了在之前對 Github 和 DNS 提供商 Dyn 進行 DDoS 攻擊的駭客。

Mirai 殭屍網路專門感染 Linux IoT 硬體設備，例如監視器，印表機，路由器和其他簡單的 Internet 連接設備。

經由殭屍網路驅動的 DDoS 攻擊也是一個問題，因爲他可能影響其他目標，而不是直接攻擊目標。由於大多數網站本身都託管在其他 ISP 或網路提供商例如 Akamai，Cloudfare，Fastly 等，因此，如果這些伺服器無法處理額外的流量，則這些提供商的其他客戶端也會遇到拒絕服務的狀況。在 Krebs 攻擊中，Akamai 被迫放棄 Krebs 網站以保護其他客戶。

DDoS 並不是殭屍網路唯一的用途。另一個 loT 殭屍網路 BCMUPnP 曾經成功地控制了 100,000 個家用和小型辦公室路由器，其目的是發送垃圾郵件。如今，發送垃圾郵件也是 Emotet 殭屍網路最喜歡的攻擊之一，同時還提供了惡意程式，木馬和勒索程式。殭屍網路還被用於金融攻擊（GameOver ZeuS），憑證填充攻擊和針對性入侵。

Also see: Looking into Ransomware as a Service (Project Root) | Behind Enemy Lines

Botnet 惡意程式通常包含自動更新和管理功能，所以操作者可以增加或刪除功能，與同伴進行溝通，洩露數據，更改時間方法並採取對策來擊敗傳統的 AV 和惡意程式特徵碼檢測。

How Do Botnets Work? Botnets 怎麼運作 ?

一般來說，殭屍網絡利用兩種不同的網絡架構，一種是 client-server，使用像是IRC ，HTTP 等。或是 Peer-to-Peer（P2P）分散網路類型來聯絡。

在 client-server 模型中，網路中的所有的 bots 都連接到一個或多個由 bot master 運行的命令和控制伺服器。這樣的模式允許與 bot client 端進行快速直接的連線，但這存在了結構缺陷：所有 bot 都必須知道 C2 伺服器的 Internet 地址，這意味著執法部門可以很輕鬆的知道的伺服器位置並將其移除。

這正是今年年初發生的事情，當時法國警察與聯邦調查局（FBI）合作中發現，RETADUP 殭屍網路的 C2 伺服器位於 Île-de-France 地區，其中有 850,000 被感染的主機被狹持。當局通過託管服務提供商偷偷的進入伺服器，替換了自己的代碼。為了不吵醒這些犯罪分子，當局複製了原始惡意代碼，但添加秘密功能，使所有的程序在與 C2 連接後立即對自己進行消毒。

“The gendarmerie has dismantled one of the largest networks of pirated computers in the world! In collaboration with the FBI, French cyber police managed to “disinfect” more than 850,000 computers remotely. A world first!”

從駭客們的角度來看， P2P 提供了更安全的架構。這種分散式的設置可以比喻為 “恐怖分子牢房” 樣的網絡，在這樣的網絡中，固定牢房中的任何人都不知道其他牢房中其他人的身份。而這一個 cell（一小組的殭屍網路），都具有一個已知的 “head” 或 “node”，在一個 P2P 殭屍網絡中通常有一個公用 Internet 地址。可以經由這個公用的 address 與其他殭屍網路（可能位於 NAT 或防火牆後面）連接。由於沒有從中發出指令的 command，因此 Owner 會發出在與對方之間共享的數位加密鑰匙命令。只有 owner 發送的命令才會被解密（使用 master 的 public key）並由其他的 bots 來執行。這種非對稱加密的使用可防止其他人劫持分散網路中的殭屍程序。

但如果我們耐心地建立一個 P2P 網路圖，是有可能的利用他來破壞此殭屍網路。據說由在北韓的駭客來控制的 Joanap 殭屍網路，在被 FBI 使用一種我們稱為 “peer poisoning" 的模仿技術攻擊後，於2019年初被破壞。 Peer poisoning 能夠收集被感染主機的 IP address，並通知受害者及其網路提供商。

How Are Botnets Created?

建立一個簡單的 C2 模式的殭屍網路，殭屍網路 herder 或 bot master 將需要設置伺服器來提供命令和控制結構。這通常是在 LAMP 環境之上，使用 PHP 和 MySQL構建的 Web 應用程式。

後台設置完成後，bot master 需要一個 bot builder。 Buulder 的主要功能是打包第三個組件，也就是 malware payload，並將其嵌入配置和一個或多個 C2 地址。
建立殭屍網絡的工具包可以在暗網上“出售”中找到或在 “ 軟體及服務 Software as a Service ”（SaaS）模型中找到。 ICE9（Ice IX）和 Neutrino 是兩個有名的範例。

一旦工具包打包了惡意 payload，C2 地址和配置文件後，最後一步就是將打包發布給受害者。通常，殭屍網路感染以釣魚電子郵件中的惡意附件的形式出現。即使在今天，這種傳染媒介仍是最有效的方法。對於殭屍網路牧民獲取新 “客戶來源”是經由購買其他已建立好的殭屍網絡，再加以利用。

Also see: Phishing | Revealing the Most Vulnerable Targets

Are Botnets Illegal?

殭屍網路本身就是一種主機網路，因此建立自己或有權控制的主機殭屍網路並不觸法。例如，研究人員可創建自己的“殭屍網路實驗室” 並對其深入研究。但是，未經他人允許將惡意軟體安裝在屬於他人的主機上是被視為刑事犯罪。然後，如果控制並指示主機進行其他活動也是非法的，則指示該主機進行其他活動也是一種刑事犯罪，因此，如果被執法機構抓到的話，這些網路牧者可能會面臨不止一項指控。

Mitigating Botnet Attacks

就如我們所見，botnets 是一堆感染了惡意程式的主機網路。因此，對殭屍網絡感染最有效的制止方式是使用有強大的 AI 行為安全解決方案，防止惡意 payload 在設備上執行。防火牆的控制對於檢測網路上的殭屍網路通訊也是有用的。

Conclusion

由於殭屍網路具有協調大規模攻擊以及提供各種 payload 並感染其他機器的能力，因此對個人，企業和政府組織構成了重大威脅。隨著殭屍網路現在針對越來越多的物聯網設備，並氾濫到公共和私人網路，你必須確保在端點上有 EDR 的保護，並洞悉網路中的每個設備。

原文

0 Comments

What is the True Cost of a Ransomware Attack? | 6 Factors to Consider

5/6/2020

0 Comments

一年又過去了，在令人震驚的統計數字中，有一個數字比其他數字高。據估計，勒索軟體去年在美國造成的損失超過 7.5 億美元。事實上，我們聽說過無數勒索軟體事件，並且看到了可自我創造的勒索軟體 RaaS projects 的爆炸式增長，這也讓駭客入門者更容易採取攻擊。但是，當我們將數字相加併計算平均支出時，這些金額並不能完全反映出遭受勒索軟體的企業組織所承受的財務負擔。以下，我們將研究勒索軟體攻擊的六大實際損失。

1. Direct Cost: The Ransom Payment 贖金

當然，勒索軟體的支付是最主要的，但這只是勒索軟體給受害者造成的總體成本中的一個小小的因素，而不是最大的。
在 2019 年第三季，我們看到平均贖金支付增加了 13％，達到 41,198 美元，而 2019 年第二季為 36,295 美元。

Ryuk 導致了勒索軟體付款的大量增加。平均需要 288,000 美元駭客們才能釋放系統，而其他平均要價 10,000 美元。

2. Indirect Cost: Enforced Downtime

間接性的損失是指與勒索軟體攻擊相關的業務中斷成本。業務中斷的成本通常是直接成本的五到十倍。

若是要計算實際 downtime 的成本是有挑戰性的，因為不同的企業和組織有著不同的影響。對於中小型企業來說，2019 年的平均 downtime 成本為 141,000 美元，比去年的 46,800 美元的平均 downtime 成本增加了 200％以上。這比對中小企業要求的平均贖金（5,900美元）高出了 20 倍以上。

在公家單位中，有 42％的單位在過去 12 個月中遭受了勒索軟體攻擊，其中 73％的組織因此遭受了兩天或更長的 downtime。根據 Ponemon Institute 的研究，對於企業來說，2019 年第三季的平均 downtime 時間為 12.1 天，總成本估計為 740,357 美元。製造商 Norsk 在遭受勒索軟體攻擊時造成了 5500 萬美元的累計損失，這導致了運營關閉的額外成本，這才是真正驚人的影響。對市政當局的襲擊也可能代價高昂。據估計，對 New orleans 的攻擊使這座城市損失了 100 萬美元，而對 Baltimore 的攻擊估計造成了總計 1800 萬美元的損失。

3. Indirect Cost: 名譽損失

勒索軟體攻擊與過往的隱形網路攻擊不同。因此，它們具有很高的破壞力，而且是看的見的，這使受害者別無選擇，只能讓大家知道他們已遭到攻擊。

這樣的公開，通常會導致客戶，投資者和其他利益相關者的強列負面反應。儘管數據是可以恢復，但想要恢復大眾的信任並不容易，尤其是如果未及時，很好的透明化處理的話。這可能對保留現有客戶，未來業務產生不利影響，甚至會對公司的股價產生負面影響。

4. Indirect Cost: Liability 企業責任

勒索軟體攻擊可能會產生不開信的客戶，而這些客戶反過來又可以走法律並尋求賠償。這就是在 2019年 12 月時，Alabama 醫院被勒索軟體攻擊後，患者對 DCH Health Systems 提起了集體訴訟，指控侵犯隱私，疏忽大意和醫療服務中斷。

儘管公司企業在其他狀況下還是會被提起誹謗訴訟，但只要一牽涉到勒索軟體，公開化了，要求賠償的理由也更加的簡單。此外，駭客們已開始公開竊取的數據，這可能導致受害公司陷入潛在的尷尬囧境，從洩露數據的客戶可更進一步提起訴訟。

5. Indirect Cost: Collateral Damage 附帶損害

與任何類型的網路感染一樣，即使與攻擊沒有直接關係，受害者要有心理準備遭受全部損失。正如 Brian Krebs 報導的那樣，一家被 Ryuk 攻擊的公司，公司的憑證全部被盜，然後再用於各種惡意行為，有部分是 Emotet 的幫助下進行的。

儘管這不是許多與勒索軟體相關的典型行為，駭客通常直接尋求快速付款，但這表現出此類的攻擊，是帶有可以更進一步造成附帶損害的可能性

6. Indirect Cost: Data Loss

不幸的是，在攻擊本身造成損失之後，支付贖金並不能保證受害者的加密數據可以安全地恢復。最近，我們發現 Ryuk 使用的數據恢復機制有問題，即使受害者支付了贖金，還是導致某些類型文件的沒有完全恢復及遺失。

在其他情況下，當收者支付了贖金後，駭客們也走了，也不提供解密方式，而不幸的受害者將陷入黑洞中，數據拜拜。

Is This The End?

勒索軟體攻擊對企業是致命的，它們可能永遠無法從直接性或間接性中造成的損害恢復財務。在一個案例中，一家美國 fundraising 公司在 10 月被勒索軟體嚴重攻擊之後，被迫關門。即使他們已支付了贖金，但這家超過 60 年的企業，不得不在12月下旬結束營運，他們員工被迫過了一個非常不愉快的聖誕節。

Summary

在嘗試評估勒索軟體攻擊產生的潛在風險時，公司企業應考慮以下幾點：贖金支出，downtime ，名譽受損，數據遺失等。一旦考慮了這些因素，我們建議尋求一個受信任的端點解決方案，可針對勒索軟體來提供最大的安全性，並通過適當的備份系統和營運不斷電進行加強。我們還建議購買合適的網路保險，以進一步降低風險。

原文

0 Comments

COVID-19 Outbreak | Defending Against the Psychology of Fear, Uncertainty and Doubt

3/13/2020

0 Comments

歷史上到目前為止，地球人民所經歷過的有：地震、淹水、海嘯、森林大火、山崩、颱風、龍捲風、SARS、H1N1、MERS、伊波拉、 HIV、愛滋、茲卡。而現在有了 COVID-19，也稱為新冠狀病毒。

天災和流行傳染病有很多共同點，包括人類生命的失去。但其實還存在著一個更黑暗，更險惡的連鎖反應 - 駭客們利用這樣的機會來傳播惡意程式，開始了網路釣魚和交叉式活動，再利用情感來進行欺詐。新冠狀病毒（也稱為COVID-19）就是這種情況。

WHO 不斷的在警告針對新冠狀病毒緊急情況發送包含惡意程式的網路釣魚 email。

利用恐懼來幫助和教唆詐財

駭客們不會把自己設限於惡意程式。 FDA 還發出警告消費者有關騙人的產品，這些產品 “聲稱可以預防，治療，減輕，診斷或治愈 2019 年新冠狀病毒（COVID-19）”。這次是一個全面性的詐欺。

在 2019 年 12 月，SentinelLabs 發布了關於網路犯罪組織 TrickBot (APT 進階持續性滲透攻擊) 與北韓之間關係的突破性報告。報告表示當對收件人部署了有效心理攻勢之後，TrickBots 功能的使用就會放大。

最近，SentinelLabs 發現了一個使用來自加拿大當局發送關於新冠狀病毒醫療通知後，間接對金融機構發送惡意程式的攻擊。

Johns Hopkins 和 CSSE (Center for Systems, Science, and Engineering) 共同開發了一個依照國家，地區，州和城市中被 COVID-19 的傳染人數來呈現的一個地圖。到 2020 年 3 月 10 日，按感染人數排列的國家是中國，意大利，伊朗，韓國，西班牙，法國，德國，美國和日本。這意味著每個國家都將成為被大量網路釣魚攻擊的目標。

在設計惡意電子郵件時，內容是非常重要的。人性總是恐懼損失，相比之下，這些反應比獲得利益的可能性更好預測。例如，你們看看以下哪個主題會產生更高的回應？

“How to prevent the spread of the coronavirus in 3 easy steps.” 預防新冠病毒傳染的三步驟

“URGENT: You have been in contact with a verified coronavirus patient.” 警急：你與一名確診病患有接觸到。

第一個主題不會引起人們對損失的恐懼，他只會產生獲得更多有關阻止冠狀病毒傳播的信息的潛力。第二個成功的攻擊了問題的核心 – 對死亡的恐懼。相關連的行為會影響人們對有價值的稀缺性的正面信念。針對 COVID-19，可能是篩檢的可行性。

“Don’t lose your chance to get these hard-to-find coronavirus test kits.” 別錯失了篩檢的機會！

最後一個主題是既有對失去的恐懼，並帶有缺乏、少量的意味。數千年來的人類進化讓我們避免了損失。同樣的進化也增強了人類大腦的主要目的，那就是活著。除此之外，其餘的一切都是增加的紅利。

為什麼市民不能購買這些快篩而只有政府可以擁有並使用？對失去的恐懼，緊迫感以及專於在 COVID-19 的媒體數量讓我們忘記常識，並迫使我們回到原始的恐懼並採取行動。死亡，是最後的王牌。

利用人類的脆弱漏洞

犯罪份子在利用對人類情感的更多理解來執行針對性的攻擊。社交工程基於這樣一個前提，也就是: 我可以讓你採取並控制行動，但實際上它是一個通過操縱，影響和欺騙而構成的惡意行為。

激進駭客長期以來一直依靠社會工程來執行間諜活動，system compromise，影響選舉和操控社交媒體等目標。變臉詐騙（BEC）基於說服 email 的接收者，發件人是授權人，並且應該執行特定的行為（例如轉帳數十萬美元）。

對抗政府者和激進駭客使用的第一策略不是利用漏洞。而是利用人類的弱點。在本文作者為《Hill》撰寫的一篇文章中，他概述了俄羅斯如何成功地使用名為 Black Energy 的惡意程式發動第一次攻擊。最初的方法？據稱是烏克蘭政府發送的魚叉式網絡釣魚電子郵件。附檔中的 Excel 要求用戶啟動 macros。

就這樣，最初的 payload 就成功了。沒有什麼花招。只是一種忘記常識的壓迫感(烏克蘭政府)(還有千萬不要啟用附件中的marcos）。

沒有人對社交工程是免疫的

恐懼，不確定和懷疑的心態是強大的武器。在作者執法期間，他是專門從事連續犯罪和行為分析採訪。讓人按下電子郵件中的連接，並沒有讓罪犯承認謀殺一個人要來的困難得多。

在 behavioral analysis 行為分析訪談（BAI）中，我分析了案例（內容）並相應提出了問題。 BAI 的目的是確定受訪者是誠實的還是個騙子。如果對象具有欺騙性，並且看起來他們可能犯了罪，那麼該是收集事實並轉到偵訊的時候了。但是，並非每次受訪後都會偵訊。

在偵訊過程中，目的地是使受訪者感到焦慮，以至於減輕焦慮的唯一方法就是誠實。作者曾在國家安全局向參與美國歷史上一些最嚴重間諜活動的損害評估人員教導相同的技術。員工點擊可疑連結或打開帶有惡意程式的檔案的原因也相同：找出答案，解除恐懼，不確定和懷疑的焦慮感受。

那這個故事的意義是什麼？不管你進行了多少安全意識訓練，在辦公室貼了多少網路安全海報，或者通過 email 發送了多少每週提醒，最後，數十萬年的人類行為還是會勝出。這意味著害怕失去（死亡）和自我保護（減輕焦慮/壓力）將戰勝常識。

機器說：害怕是什麼？

但是，在黑暗中還是會出現一匹白馬，帶來一線希望。人工智慧和機器學習的使用將平衡從攻擊者轉移到了被攻擊者身上的力量。 AI / ML 提高了檢測和預防的速度和準確度，而不是回應攻擊並從中恢復。

數千年來，根深蒂固的行為已可以通過利用應用科技來平衡。與其要求使用者確定物件是否 “安全”，還不如從一開始就避免。防止勒索程式攻擊要比從攻擊中恢復容易。還有，管理好新聞要比管理壞新聞也容易得多。

人工智慧不會屈服於恐懼。沒有情感可以操縱，也不能感染新冠狀病毒。這或許是對於恐懼，不確定性和懷疑的完美解毒劑。

作者 Morgan是 SentinelOne 的 Chief 安全顧問，也是 Center for Digital Government 的高階院士。他多次在國會上為大型政府系統的安全性作證，目前是 Fox News Channel 和 Fox Business Network 的首席技術分析師，負責網路安全。

原文

0 Comments

OUR TAKE: SENTINELONE PLACED FURTHEST FOR COMPLETENESS OF VISION WITHIN THE VISIONARIES QUADRANT

8/29/2019

0 Comments

你們的成功，等於我們的成功
SentinelOne is proud to be recognized by Gartner as a Visionary in the Magic Quadrant for Endpoint Protection Platforms. This year, we’re placed furthest for completeness of vision within the Visionaries quadrant.
SentinelOne 很自豪能夠被 Gartner 視為 Visionary in the Magic Quadrant 之端點保護平台。

對於我們的 2,500 多位客戶，我們感謝您對我們的信任！對於那些正在評估解決方案的人，無論是替換傳統的 AV，傳統的EDR 或還在尋找企業的第一個EDR解決方案，我們都鼓勵您評估我們。

對於已部署我們產品及評價我們的人，我們將他們視為核心理念。我們敢於做事，做同行公司不做的事只為為一個目的：保護我們的客戶並確保他們的成功。正如我們的客戶和競爭對手所知，我們是一個致力於行動，堅持不懈追求客戶成功的團隊。我們夢想大並執行它。

我們很快地提供創新。我們推動網路安全，向前發展。
在過去的一年裡，我們已經提供並交付了300多種產品，並發布了影響其他人追隨的創新。我們認為物聯網設備是端點。 SentinelOne Ranger 允許企業從同一個代理平台發現，映射和降低其物聯網設備的風險。我們知道，我們的客戶比以往任何時候都更快地遷移到雲端，我們的 native container 和數據中心解決方案可幫助客戶安全地實現數字化轉型的下一步。

成效會為自己說話
言歸正傳，我們每天都在阻止數百萬次攻擊。 SentinelOne 部署在 Fortune 10 及 hundred of the Global 2000,，其中每個競爭對手的贏率都超過 70％。今天，我們是市場上增長最快的端點供應商。我們相信這一點可以通過我們對 Gartner Peer Insights 的評論得到證明，我們在 2018 年 11 月獲得了 EPP 的 Gartner Peer Insights 客戶選擇獎以及 2019 年 1 月最新的Gartner Peer Insights - 客戶對 EDR 的選擇。*

我們的承諾是始終如一地提供：創新，質量和成果。我們相信，我們在2019中 Magic Quadrant 的定位象徵著我們對客戶和整個市場的承諾。讓我們幫助您將端點安全性 - 以及一般的網絡安全 - 帶到前所未有的地方。我們通過完全自主的解決方案最大化您的團隊輸出，幫助您最大限度地降低企業風險。賦予人們更多，更豐富的產品體驗，並專注於其他安全問題。讓我們向您展示如何通過主動 SOC 在您的企業的每個方面為您工作，使停滯的時間成為過去式。

GET A DEMO

原文

0 Comments

A REVIEW OF MALWARE AFFECTING MACOS IN 2018

12/31/2018

在 2018 年的最後一天，讓我們來回顧一下 macOS 安全狀態。

2018年是 MacOS RAT 的一年，特別有 Empyre 作為一路領先多種惡意軟件變體的首選開發框架。 EvilOSX，EvilEgg 和基於Java 的 RAT 也一起亮相。今年加密貨幣的惡意軟體在新聞中佔到量的也很大，因為糟糕的演員既針對比特幣的錢包，又利用加密貨幣實用程序來感染毫無戒心的用戶。 Cryptojacking 仍然在增加，但主要局限於持續存在的 macOS 廣告軟體問題。

Malware in Development
這一年由 OSX.MaMi 開始，一個可疑的舊版 Windows 惡意軟體 DNSUnlocker 的 macOS 變種。 Mami 改變 macOS 的SystemConfiguration.plist 以劫持受害者的DNS服務器。該惡意軟體包含用於遠程下載和上傳文件，記錄滑鼠點擊，截屏和嘗試權限提升的邏輯。

同月，Java 基礎的 CrossRAT 被發現作為 Dark Caracel APT 工具包的一部分，該組織代表黎巴嫩政府為了國家安全目的收集攻擊性網絡能力情報。 CrossRAT 是一個多平台監控工具，它通過自身副本在 macOS 上寫入〜/ Library / mediamgrs.jar 並安裝用戶 LaunchAgent 來實現持久性。

有趣的是，或者令人擔憂的是，MaMi 和 CrossRAT 都有版本號，表明它們處於早期開發狀態，未來看到這兩種的進階版本也就不足為奇了。

Lazarus APT
在今年年初發生的兩項重要發現之後，惡意軟體方面有點相對的安靜，直到4月份才發布了一個名為 CelasTradePro 的加密貨幣交易應用程序。該惡意軟體歸屬於與朝鮮有關的 APT 小組 Lazarus，由三部分組成。作為 CelasTradePro.app 中的更新程式植入的木馬下載程序，具有標記 “com.celastradepro.plist” 和有效負載的 LaunchDaemon，最初被放在 / var / zdiffsec 處。

目前還不清楚這種被稱為 OSX.AppleJeus 的惡意軟體是否是軟體供應鏈攻擊，或者 CelasTradePro.app 是專門用於感染加密貨幣交易所。在任何一種情況下，該應用程式都有一個有效的開發人員簽名，因此很容易繞過 Apple 的內置安全技術。

WindShift APT
雖然是在4月底創造的，AppleJeus 一直到 8月才被發現，而那個月也出現了另一個針對 Mac 平台的 APT 組織，WindShift APT 的消息。雖然早在去年 1 月就被認為首次針對 macOS，但 WindShift 似乎已經在2018年開始活動，因為這個數字（感謝 DarkMatter）顯示：

WindTail.A 針對受害者電腦上具有以下檔類的文件：.txt .pdf .doc .docx .ppt .pptx .db .rtf .xls .xlsx 並使用 LoginItem 進行持久化。後門 WindTape 獲取當前桌面的螢幕截圖，將其發送到 C2 伺服器並刪除本地副本。並每5秒重複一次這個過程。

感染此特定惡意軟體的關鍵是在默認情況下 Safari 選項允許 .zip 文件在下載時自動取消歸檔。此功能意味著 macOS 將自動註冊在惡意軟體中定義的自定 URL，這是有助於進一步感染的。一般情況下，用戶在 Safari 的選項中取消選中以下設置總是明智的：

The Weakest Links?
7月，OSX.Dummy 出現在一些挖礦聊天群組中。因為認為這是來自可靠的來源，攻擊者讓受害者運行具有提升權限的工具，。詐騙的也不必太努力，因為他們提供惡意軟體作為受害者自己尋求幫助問題的答案。該工具安裝了一個 bash 腳本，該腳本利用 python 打開 reverse shell：

OSX.Dummy 之所以如此命名，是因為它接受到了受害者的大量的同意，並成功地破壞了目標。在這方面，至少，它與下一個在2018年出現的惡意軟體的極端相反。九月看到了許多人認為最不可能的威脅來源：Apple 自己的 App Store。從 Mac App Store 下載的軟體是已被 Apple 的 Gatekeeper 信任的，因此沒有額外防禦的用戶在未經許可的情況下，完全不受一系列批准的應用程式洩露個資的保護就不足為奇了。APP 程式包括 Adware Doctor，Open Any Files，Dr. AntiVirus 和 Dr. Cleaner。蘋果在9月份最終將所有這些商品從商店中移除，但至少有兩名違規者已與 Apple 報告過，並未採取任何行動。

The Other Side of the Coin
10月份，CoinTicker 進入戰場，通過挖礦應用程式植入木馬後門。結合 open source 利用工具，EvilOSX 和 EggShell，CoinTicker 似乎是一個簡單的狀態工作表程式，顯示各種加密貨幣的當前交易價格。該應用程序功能齊全，但同時嘗試通過reverse shell 允許攻擊。

" 感謝 " 開發工具的性質，攻擊者可以有多種選擇功能。可以第一優先攻擊的事情之一就是竊取受害者的虛擬貨幣錢包。

針對虛擬貨幣的用戶攻擊並未在 2018 年停止。去年 11 月，Exodus cryptowallet 的用戶成為電子郵件網絡釣魚活動的目標。攻擊者曾希望安裝基於 RealTimeSpy 商業間諜軟體的惡意軟體。雖然沒有任何關於 RealTimeSpy 開發人員參與的暗示，但毫無疑問，此活動背後的人希望在受害者的主機上安裝 RealTimeSpy 版本。假設目標是竊取比特幣錢包是合理的，但是這個 macOS 間諜軟體還可以通過螢幕截圖和鍵盤記錄來竊取其他個資。此外，該計劃還能夠捕獲社交網絡活動和網站訪問。

Festive Crackers

這一年在繁忙的12月結束，在一周之內發現了一連串的三次惡意軟體（有相關性）。首先是Adobe CC的破解應用程式，OSX.DarthMiner，利用 Automator 工作流程通過 Empyre 後端安裝加密器。 OSX.LamePyre 是遊戲玩家的 Discord 語音和聊天應用程式的假冒版，也使用了類似的 Automator 工作流程和 Empyre 後門程式。 LamePyre 的主要功能似乎是採用受害者桌面的常規螢幕截圖並將其上傳到 C2 服務器。

目前尚不清楚這兩個相關的木馬是由同一攻擊者創作的，或是最近在 DarkNet 上交易的一些通用代碼。我們也注意到假的Discord 應用程式似乎已經俄語本地化並包含一些俄文。

當然，我們無法說出這些線索是故意留下來誤導還是粗心的結果。無論哪種方式，我們都不會驚訝看到這些 Automator 基礎的木馬程式在 2019年新年之前或之後再次出現。

最後，OSX.BadWord 通過利用 Microsoft Word for Mac 沙箱逃離並提供 Meterpreter payload 來提供不同類型的威脅。襲擊者似乎已經在八月份已首次介紹了武器化的概念驗證。與 Windows 上類似的基於 Word 的攻擊一樣，它利用 VBA marcro 來執行代碼並感染用戶。 OSX.BadWord 似乎是通過電子郵件發送給 Quidax 加密貨幣平台的員工，邀請他們為 “BitCoin Magazine UK” 捐獻。

Also Ran
除了完全的惡意軟體之外，我們今年也已看到許多廣告軟體安裝程式充當了密碼管理器的木馬程式，例如 PPMiner，CreativeUpdate 和 SearchPageInstaller。

廣告軟體仍然是一個問題，特別是當我們看到廣告軟體開發人員越來越擴展他們的技術範圍並開始越線進入類似惡意軟體的行為時。

Summary
總結一下，2018 年 APT 針對 macOS 攻擊增加以及意圖利用加密技術或針對加密貨幣參與者（包括員工和貨幣交易）的犯罪分子。像 Empyre 這樣的 open-source 開發工具包在過去12個月中一直是 macOS 惡意軟體的首選工具。我們預計這樣的趨勢將持續到 2019 年，而一如往常，在 SentinelOne，我們會持續發布最新消息並使我們的用戶受到保護。

祝大家有一個 "安全" 的新年！HAPPY NEW YEAR!!

原文

WHAT IS A PHISHING SCAM? (AND WHAT TO DO TO STOP ATTACKS)

12/22/2018

雖然惡意軟體攻擊和大數據洩露通常會成為媒體的頭條新聞，但網絡釣魚詐騙更為常見，在許多情況下對公司構成嚴重威脅。除了用於竊取信用卡詳細信息，登錄憑據，社會安全號碼和其他個資之外，網絡釣魚詐騙還被廣泛用作惡意軟體和勒索軟體攻擊的入口點。網絡釣魚不僅會導致身份盜用，還會導致客戶數據和公司知識產權的遺失。當攻擊者參與魚叉式網絡釣魚攻擊，針對公司人員有針對性攻擊或冒充軟體即服務（SaaS）等企業平台時，風險為更大。在過去12個月中，69％遭受勒索軟體攻擊的組織表示，攻擊者通過電子信箱或社交媒體進行網絡釣魚獲取了對其網絡的訪問權限。

本週發布的追踪網絡釣魚活動趨勢的最新報告顯示，針對有品牌的網絡釣魚活動在上一季度一直在穩步增長：

該報告指出，網絡釣魚詐騙越來越多託管在 HTTPS 網站上，近一半的網絡釣魚網站現在都已使用安全協議。這些不會觸發Chrome 不安全標籤等機制的警告，並且其內容對於傳統AV解決方案是隱形的，也無法讀取其加密流量。

HTTPS對詐騙者很有吸引力，因激勵用戶認為瀏覽器地址欄中大肆吹噓的綠色表示安全或合法的網站。但事實上，任何網站，無論多麼危險，都可以獲得 SSL 證書。它們甚至可以通過 Comodo 和 Let's Encrypt 等服務免費提供。 SSL證書僅建立與用戶登陸的網站點的安全連接。並不保證網站不是為惡意的。

Phishing for Profit 釣魚如何獲利
對於任何網絡攻擊，網絡釣魚活動是一個很好的開始。讓我們看看為什麼它是壞演員中的一個受歡迎的原因

心理學上

正如古老的格言所說，任何電腦防禦策略中最薄弱的環節通常是在鍵盤和椅子之間;換句話說，利用人類心理學通常比利用技術系統更容易。即使是那些知道如何從惡意連結發現真正連結的人，也無法免受精心設計的網絡釣魚活動的影響。

使用社群工程技術，持久性和一些良好的初始偵察，網絡釣魚是攻擊者獲得入口點的合理可靠方式。詐騙者有自己的心理和技術。再加上某種時間壓力，例如 “黑色星期五” 或“ Cyber Monday” 等有季節性的跳樓大拍賣，或者來自假律師告知您的配偶提出離婚意外消息，這都是在統計上有利於攻擊者並讓受害者點擊的連結。

特別是在有針對性的魚叉式網絡釣魚活動中，訣竅就是要充分了解目標，以便知道 “按下按鈕” 的內容，並在精心設計的可靠來源中模擬中使用這些信息。

低風險，高回報
網絡釣魚受攻擊者歡迎的第二個原因是它是一種低風險，高回報的策略。雖然威脅者可以使用網絡釣魚來實現直接進入目標，但是這種技術更常被玩家使用，除了竊取憑據並在暗網上出售之外，使用比特幣和其他加密貨幣輕鬆接收無法追踪付款。由於許多人在多個站點上重複使用相同的登錄憑據，因此通過在線銷售敏感信息，網絡釣魚可以為參與牟取暴利的人帶來意外獎勵，其中單點登錄憑證可能會打開龐大的數據和訪問點。

模擬
眾所周知，通過書面溝通來驗證身份是很困難的。如果朋友進行視頻或打個電話，您可以立即識別出該線路的另一端是您的朋友。如果您收到來自朋友的簡訊，要求您查看連結或打開檔案，則事情要困難得多。繁忙中，總是有一些人會無意中點擊惡意內容，統計上來說，這是一種必然性。詐騙者知道這一點，就像任何類型的廣告一樣，獲得 “點擊通過” 都是一個了解你的觀眾並提供足夠數據的問題。

It Started With a Link
那麼網絡釣魚騙局如何運作？電子郵件是主要的，但不是唯一的誘因。 Facebook，Twitter 和 LinkedIn 等簡訊和社交媒體網站也被利用，但目標始終如一：讓受害者點擊連結，撥打電話或啟動其他一些會觸發的操作騙局。
許多網絡釣魚詐騙將試圖模仿受害者熟悉的商店，例如這個假的 Spotify 訂閱消息：

像這樣的訊息直接正中下懷正確的心理按鈕。收件人將對 “錯誤” 感到憤怒，並擔心收費，因此有強烈的動機點擊誘餌 “審核您的訂閱” 連結。

連結本身經常被操縱，以便在不經意下看起來看起來正常。但其中只有一個是真的，但有多少使用者可立即知道呢？

然後是 Homographic attacks，其中詐騙者使用 unicode 註冊網站，這些文字在視覺上類似於真實網站名稱中使用的 ASCII 。請比較這兩個unicode：

\ u0430 \ u0440 \ u0440 \ u04CF \ u0435

\ u0061 \ u0070 \ u0070 \ u006C \ u0065

和他們的視覺上 “印刷” 形式，如下圖所示：

這兩種編碼就乍看之下類似，但電腦會以不同的方式讀取它們。如果第一個用於域名註冊，它實際上將指向與第二個完全不同的站點。

幸運的是，大多數現在的瀏覽器都能識別出這種類型的攻擊，但是最近一年中 Chrome，Firefox 和 Opera 都存在漏洞，這些漏洞能夠繞過這些瀏覽器的同形保護過濾器。

在最近的攻擊中，詐騙者使用 Google.com 的真實子域 sites.google.com 來託管網頁，然後將受害者重定向到惡意網站。

Reeling in the Catch 掉入陷阱中
一旦受害者被吸引住，該騙局可能涉及任何數量的詭計，從欺詐性技術支持詐騙到假電子郵件登錄頁面。一個常見的策略是告訴受害者他們需要更新他們的電子郵件帳戶，然後提供一個相當令人信服的假網站：

但是，檢查網站後台的代碼將會顯示它的真實身份是什麼：試圖竊取用戶的登錄憑據。用戶在虛假站點中輸入憑據後，代碼會將其重定向到真實站點。

針對企業的魚叉式網絡釣魚活動可能正在尋找工業或國家間諜活動的知識產權。例如，一家英國工程公司最近成為針對其海事技術秘密的魚叉式網絡釣魚活動的目標，可能是來自支持中國的APT小組。

How to Avoid A Scam
考量到危險，一個忙碌的人可以做些什麼來降低網絡釣魚詐騙的風險？這裡有一些提示：

Take Control
確保已打開瀏覽器的反網絡釣魚首選項。
而使用者會取消此選項是很罕見的，惡意軟體在沒有用戶許可的情況下禁用它是很簡單可以做到的。
根據不同的瀏覽器，可以在不同的位置找到設定，及不同的名稱。對於 Chrome 和 Chromium瀏覽器，它們通常屬於“進階”或“隱私”，並且會被稱為 “安全瀏覽” 或 “網絡釣魚和惡意軟件防護” 。

Firefox 的是在 “阻止危險和欺騙性內容” 設置，該設置位於 “ 隱私和安全 ” 下的 “ 選項 ” 頁面中。對於 Safari，請在 “ 選項 ” 的
“ 安全 ” 選項卡中選中 “ 訪問欺詐性網站時發出警告 ” 選項。

在您的電子郵件客戶端中，禁用自動加載存儲在遠程服務器上的圖像和外部內容。如果不這樣做，攻擊者就可以代替使用可點擊的圖像，而不是連結本身，並可以避免安全過濾器。並允許包含隱藏的圖像，以便在目標打開中毒的電子郵件時通知他們。

Take a Closer Look
電子郵件和其他郵件中的拼寫錯誤和語法錯誤始終是一個危險信號，因此養成仔細查看包含連結的電子郵件文本的習慣。將游標停在任何連結上，然後點擊它們以查看它們真正的位置。

養成不從電子郵件中點擊連結的習慣也是一個好方式。避免點擊連結或撥打要求個人資訊，信用卡號或帳戶密碼的電話號碼。並從瀏覽器中的書籤轉到頁面，或在搜索引擎中查找地址。同樣，請務必仔細檢查您要求通過網絡搜索或查看之前的信件來撥打的電話號碼。

Get with the Program
對於企業用戶，請考慮定期模擬網絡釣魚活動的員工培訓。使用像 SentinelOne 這樣的優秀的次世代 AV，它可以檢查加密的流量並強制執行防火牆控制來阻止已知的詐騙站點。

Be a Good Citizen
當然，如果發現網絡釣魚攻擊，請務必告知。您可以於 Federal Trade Commission（FTC）報告網絡釣魚，身份盜竊和其他詐騙，並告知相關組織欺詐是否欺騙合法網站。報告功能由 Apple，Google，Microsoft 和大多數其他主要供應商提供。您可以通過互聯網搜索“報告網絡釣魚到”和供應商名稱輕鬆找到其他供應商的相應頁面。

MALICIOUS MEDIA | WHY YOUR ENDPOINTS NEED DEVICE CONTROL

12/10/2018

0 Comments

USB 中的 U 的是真的最佳解釋：“Universal” 幾乎描述了可以插入端口的設備範圍及其普遍程度。幾乎每個工作點和筆電上都有 USB 端口，遍布企業網絡。但是 USB 槽有多危險以及您的安全解決方案使您能夠查看和控制正在加載到網路上的內容有多重要？讓我們來看看與 USB 端口相關的五大威脅。

1. 自動執行和其他攻擊
我們都聽說過 Stuxnet，這是現在著名的襲擊伊朗核燃料濃縮廠的氣隙伺服器，後來洩漏到外。 Stuxnet 利用了這樣一個模式：外圍設備將自動在桌面上顯示一個圖標，並將其與 Windows Shell 中的 zero-day 相結合，以實現遠程代碼執行。

這是與自動執行，cold boot 攻擊和預設命令相關的一整類漏洞的戲劇性範例，這些漏洞利用了操作系統識別，枚舉和與USB 協議和標準交互的方式。將惡意製作的文件加載到普通的 flash drive 上會產生毀滅性的影響。

2. 黃色小鴨和朋友
外觀可能是欺騙性的，在這種情況下，並非所有看似簡單的數據存儲設備的東西都是它看起來的樣子。大拇哥可能看起來像被動數據存儲設備，但它們實際上是 mini 電腦。它們包含一個帶有自己的 CPU，RAM 和 ROM 的小型板載微控制器單元。從本質上講，這些用於管理 NAND flash drive，以及大拇哥通過報告它是什麼類型的設備來向主機標識自己。這些功能可能被其他 MCU（如 Teensy 和R ubber Ducky ）所欺騙，這些 MCU 安裝在正常的 flash drive 內。當用戶認為他們正在插入USB 時，惡意外設可以將自己辨別為鍵盤或滑鼠，並開始發送自動鍵盤敲擊和點擊以控制主機，遍歷文件系統或打開應用程式。

3. Flashed Firmware
此為更難實現，但許多研究人員已證明可以修補或更換正常的 USB 設備的 fireware 以進行惡意攻擊。這些有可能是，從注入鍵盤敲擊到通過重新編程的 USB - ethernet adapter 捕獲網絡流量。在一個 demo 中，研究人員討論了如何修改幾個字節的 fireware 代碼可以使用戶認為保存在設備上的數據是加密的，而實際上數據可以通過任何密碼來存取。

4. Denial of Service
心懷不滿的員工，激烈的競爭對手或駭客行為主義者 “就因為他們路在其中” 只是一些人可以使用你無人看守的 USB 端口來銷毀帶有 USB.Killer 的筆電或工作點。這種惡意設備會向其插入的任何設備發送重複的電流。在大多數情況下，這會導致電腦邏輯板的致命損壞。

5. 數據洩露
大多數的商業攻擊都是關於賺錢和竊取數據，USB 是網路盜賊的理想切入點。從不可見的分區到簡單的複制和貼上，不受保護的 USB 端口使犯罪分子可以在未經許可的情況下輕鬆傳輸機密信息。有鑑於大拇哥體積小但容量大，可以是客戶數據庫，機密電子郵件，產品規格以及您擁有的任何 IP。當一名員工將 APT 駭客工具複製到大拇哥並將他帶回家時，即使是NSA 也失去了對其資產的控制權！

結論：
為了防範這些威脅，您的安全軟體必須實施設備控制，並使您能夠管理整個網路中 USB 和其他外圍設備的使用。結合SentinelOne 端點防火牆控制功能，設備控制提供了一些被認為是缺失的部分，以完全取代傳統的防病毒（AV）解決方案。與平台的其他功能一樣，這些功能可通過 SentinelOne 的單一代理，單代碼庫，單一控制台架構來提供。隨著 SentinelOne 全球部署的增長，我們將繼續專注於解決客戶關心的問題。從Eiffel / 2.8 agent 開始提供設備控制。

想看 SentinelOne 設備控制的 demo?，請按我。

原文

0 Comments

FIREWALL CONTROL – FEATURE SPOTLIGHT

12/6/2018

0 Comments

請想像以下故事情節：IT 獲取有效情報，指示特定的網路釣魚 URL 正在全局掃描憑據。為了保護網路上的用戶，管理員立即向網路防火牆添加規則以阻止 URL 。但那些不在防火牆後的遠端用戶呢？如果 perimeter 保護失敗或被規避怎麼辦？

端點防火牆控制通過管理與每個端點之間的允許通信來應對這些挑戰。它允許管理員控制和實施策略。

為什麼？
我們在 SentinelOne agent 中建立此功能有 4 個原因：

1. 能見度
據 SentinelOne Ransomware 調查顯示，在過去12個月中，遭受勒索軟體攻擊的企業中，近十分之七（69％）的人表示攻擊者能夠通過電子郵件或社交媒體進行網路釣魚，從而獲得對其企業網路的訪問權限。大約五分之二的受訪者表示，通過點擊受感染網站（44％）導致的下載驅動獲得了訪問權限。這清楚地表明網路是最普遍的感染來源。為了使事情更具挑戰性，大多數網路流量都經過加密，從而提高了隱私性，但卻消除了網路防火牆超出 header 的選項。同時，越來越多的用戶處於遠端的狀態，使得網路防火牆無法提供防禦屏蔽。您的用戶可以在任何地方工作，而唯一可以確定的是他們是使用他們的端點設備。

最佳的答案是通過使用網路控制處理與網路相關的感染來增加資產保護。SentinelOne Deep Visibility功能的一部分可查看所有流量，該功能還支持對加密流量的可見性。

2. 惡意軟體預防
對於惡意攻擊者，網路流量有兩個主要原因：

大多數惡意軟體感染都會嘗試連接到 Command & Control（C2）伺服器以建立遠端控製或洩露數據。

勒索軟體通常將加密密鑰存儲在遠端伺服器上以增加支付的機會。

3. 預防企業數據遺失
防火牆控制可以阻止未經授權的數據傳輸到企業網路內外的所有端點。這樣可以降低資產洩漏數據的風險。當惡意軟體和/或惡意行為者從電腦執行未經授權的數據傳輸時，就會發生數據竊取。惡意軟體通常會試圖保持未被發現並刪掉個人數據，無論是敲詐勒索還是間諜活動。例如，今年早些時候，我們得知特斯拉員工編寫軟體來定期導出數 gigabytes 的專有數據並將其匯集到組織外部並分享出去。網路訪問控制是可以防止這種損失。

4. 符合法規
由於防火牆控制提供了另一種降低企業風險的措施，它可以幫助您的企業實現需要網路訪問控制的合規性。

易於管理
向平台添加功能始終是一個理想的舉動，但它不能犧牲可用性來做為代價。建立一個需要經過嚴格培訓的人員來管理的產品可能會解決一些客戶的需求，但這會產生另一個問題。您仍然可以看到那些產品未正確配置或由於使用困難而無法有效監控的情況。結果是複雜的產品無法解決他們想要解決的問題。在防火牆控制的情況下，我們實施了一種簡單基於規則的體驗，提供了靈活性而沒有複雜性。

Demo
在此 Demo 中，您可以看到如何使用防火牆控制來阻止網路釣魚的嘗試。

Take Away

資安不僅僅是防止惡意軟體。整個網路的良好乾淨狀況有助於在戰鬥之前贏得戰鬥。端點防火牆控制是分層安全模型的重要組成部分。保護網路流量對 SentinelOne 來說並不陌生。我們已經看到許多嘗試過的攻擊，並對其進行了自動響應。平台的強大之處在於您可以在一個自動 Agent 中獲得所有這些功能 - 無需額外安裝。

Firewall Control is supported starting with 2.8 agents (with Eiffel console) and is part of the SentinelOne “Complete” offering.

原文

0 Comments

SENTINELONE IS RECOGNIZED AS A 2018 GARTNER PEER INSIGHTS CUSTOMERS’ CHOICE FOR ENDPOINT PROTECTION PLATFORMS

11/22/2018

Gartner Peer Insights 客戶的選擇區別基於用戶有購買，實施和/或使用產品或服務之經驗專業人士的反饋和評價。

於加州山景城，2018年11月19日 - SentinelOne ，一領先的自動端點保護解決方案軟體提供商很高興地分享他們被命名為2018 年 Gartner Peer Insights 客戶選擇端點保護平台。 Gartner 將端點保護平台定義為部署在端點設備上的解決方案，以防止基於文件的惡意軟體，檢測和阻止來自受信任和不受信任的應用程序的之惡意活動，並提供動態響應安全事件和警報所需的調查和修復功能。

SentinelOne 首席執行官兼聯合創始人Tomer Weingarten 表示：“我們相信，被評為2018年 Gartner Peer Insights 客戶選擇進一步證實了我們傾聽客戶意見並不斷創新我們的解決方案以滿足其安全需求的承諾，並且擁有一些世界上最大的公司作為我們的客戶是一個很好的認證我們的技術處於第一線。” “ SentinelOne 堅信，今天的威脅形勢需要自動端點保護，可以即時響應每個攻擊媒介，並且我們一直在努力確保我們的平台始終讓客戶領先於每個設備，無論是虛擬的、物理的，端點，伺服器或雲端。“

截至 2018 年 11 月 17 日，依據 276 個經過驗證的評論，SentinelOne 在 Endpoint Protection 平台市場的總體評分為 4.7 分（滿分5分）。 SentinelOne 收到的一些評論包括：

“SentinelOne 是一個令人驚嘆的次世代端點保護平台。易於實施，檢測威脅的力度，對於可能已經成為威脅的 roll-back 能力補救措施，並且他們的支援團隊的迅速響應確實贏得了我們的支持。我們已經看到了我們以前的 AV 平台錯過的威脅，有點令人失望是，當 SentinelOne 已攔截到時但其他平台卻沒有。我強烈推薦 SentinelOne。他們的開發團隊是很快速及迅速地整合與改進他們的產品。這是一個很大的優勢“ - 資深IT系統管理員

“我們選擇 SentinelOne 的原因如下：

安全有效性水平超過了同一領域的競爭對手 - 通過 NSS Labs 和 Gartner 的報告。）
易用性，端點上的輕量級客戶端負載以及基於公司的規模增長來、部署和管理能力.
離線檢測能力
TCO 排在248美元，而行業平均水平為 690美元
跨OS（操作系統）兼容性。“ - IT經理 - 端點系統製造業

“我從病毒和勒索軟體的各個角度攻擊它，每次都讓我的測試系統保持乾淨。他們非常友善，讓我在生產中進行測試，並且在檢測，預防和易於安裝和管理方面超出了我的預期。我終於覺得我從威脅中受到了保護。“ - 製造業所有者

通過機器學習和 AI，SentinelOne 端點保護平台（EPP）可以主動保護企業免受進階威脅，以及全自動和自動檢測和修復端點問題。 SentinelOne 的行為 AI 引擎監控每個系統進程，不僅提供最廣泛的攻擊媒介之卓越保護，而且在單個 codebase 中產生無與倫比的端點可見性。

關於 Peer Insights:
Peer Insights 是 IT 專業人員和技術決策者編寫和閱讀的 IT 軟體和服務評級和評論的在線平台。目標是幫助 IT 領導者做出更具洞察力的購買決策，並通過從客戶那裡獲得客觀，公正的反饋來幫助技術提供商改進他們的產品。 Gartner Peer Insights在 200 多個市場中包含超過 70,000 條經過驗證的評論。欲知更多信息: www.gartner.com/reviews/home

免責聲明：
Gartner Peer Insights Customers’ Choice constitute the subjective opinions of individual end-user reviews, ratings, and data applied against a documented methodology; they neither represent the views of, nor constitute an endorsement by, Gartner or its affiliates.

關於 SentinelOne
SentinelOne 通過單個代理提供自動端點保護，該代理成功的防止，檢測和響應所有主要向量的攻擊。 S1 平台專為極易使用而設計，通過應用 AI 為內部和雲端環境即時自動消除威脅，為客戶節省了時間，是唯一可直接從端點提供跨網絡可見性的解決方案。

The Gartner Peer Insights Customers’ Choice logo is a trademark and service mark of Gartner, Inc., and/or its affiliates, and is used herein with permission. All rights reserved. Gartner Peer Insights Customers’ Choice distinctions are determined by the subjective opinions of individual end-user customers based on their own experiences, the number of published reviews on Gartner Peer Insights and overall ratings for a given vendor in the market, as further described here, and are not intended in any way to represent the views of Gartner or its affiliates.

原文

<<Previous

Zerologon (CVE-2020-1472): SentinelOne First to Detect on the Endpoint

WHAT IS A BOTNET? (AND WHY ARE THEY DANGEROUS?)

What is the True Cost of a Ransomware Attack? | 6 Factors to Consider

COVID-19 Outbreak | Defending Against the Psychology of Fear, Uncertainty and Doubt

OUR TAKE: SENTINELONE PLACED FURTHEST FOR COMPLETENESS OF VISION WITHIN THE VISIONARIES QUADRANT

A REVIEW OF MALWARE AFFECTING MACOS IN 2018

WHAT IS A PHISHING SCAM? (AND WHAT TO DO TO STOP ATTACKS)

MALICIOUS MEDIA | WHY YOUR ENDPOINTS NEED DEVICE CONTROL

FIREWALL CONTROL – FEATURE SPOTLIGHT

SENTINELONE IS RECOGNIZED AS A 2018 GARTNER PEER INSIGHTS CUSTOMERS’ CHOICE FOR ENDPOINT PROTECTION PLATFORMS

Categories

Archives