S3 Ep125: כאשר לחומרת האבטחה יש חורי אבטחה [שמע + טקסט]

אין נגן אודיו למטה? להקשיב ישירות בסאונדקלאוד.

DOUG.   תוכנות כופר, יותר תוכנות כופר ופגיעויות TPM.

כל זה, ועוד, בפודקאסט הביטחון העירום.

[מודם מוזיקלי]

ברוכים הבאים לפודקאסט, כולם.

אני דאג אמות'; הוא פול דאקלין.

פול, מה שלומך היום?

---

ברווז.   שלג ושלג, דאג.

אז זו הייתה נסיעה קרה לאולפן.

אני משתמש במירכאות אוויר... לא עבור "נסיעה", עבור "סטודיו".

זה לא באמת סטודיו, אבל זה הסטודיו *שלי*!

מקום סודי קטן ב-Sophos HQ להקלטת הפודקאסט.

וזה מקסים וחם כאן, דאג!

---

DOUG.   בסדר, אם מישהו מקשיב... עצרו לסיור; פול ישמח להראות לכם את המקום.

ואני כל כך מתרגש לקראת השבוע בהיסטוריה הטכנולוגית, פול.

השבוע ב-06 במרץ 1992, וירוס סקטור האתחול הרדום של מיכלאנג'לו קם לחיים, ודרוס מגזרים מהדיסקים הקשיחים של הקורבנות שלו.

אין ספק שזה היה סוף העולם עבור מחשבים בכל מקום, כאשר התקשורת מעדה על עצמה כדי להזהיר אנשים מפני אבדון מתקרב?

עם זאת, על פי דו"ח ועידת ה-Virus Bulletin משנת 1994, ואני מצטט:

פול דאקלין, דובר נמרץ ומבדר, מאמין בתוקף שבמובנים רבים, המאמץ לחינוך שנעשה על ידי חברות ותקשורת כאחד החטיא את יעדו..

פול, אתה היית שם, בנאדם!

---

ברווז.   הייתי, דאג.

באופן אירוני, ה-6 במרץ היה היום שבו מיכלאנג'לו לא היה וירוס.

בכל שאר הימים, זה פשוט התפשט כמו אש בשדה קוצים.

אבל ב-06 במרץ, זה אמר, "אהה! זה יום המטען!"

ובדיסק קשיח, הוא יעבור דרך 256 הרצועות הראשונות, 4 הראשים הראשונים, 17 סקטורים לכל רצועה... מה שהיה פחות או יותר "הפינה השמאלית התחתונה", אם תרצה, של כל עמוד של רוב הדיסקים הקשיחים בשימוש באותו זמן.

אז זה ייקח בערך 8.5MByte מהדיסק הקשיח שלך.

זה לא רק דחף הרבה נתונים, זה הרס דברים כמו טבלאות הקצאת הקבצים.

אז אתה יכול לשחזר כמה נתונים, אבל זה היה מאמץ עצום ולא בטוח עבור כל מכשיר שרצית לנסות ולשחזר.

זה הרבה עבודה עבור המחשב השני כפי שהיה עבור המחשב הראשון, עבור המחשב השלישי כפי שהיה עבור המחשב השני... מאוד מאוד קשה לבצע אוטומציה.

למרבה המזל, כפי שאתה אומר, זה היה מאוד מוגזם בתקשורת.

למעשה, הבנתי שהנגיף נותח לראשונה על ידי רוג'ר ריורדן המנוח, שהיה חוקר אנטי-וירוס אוסטרלי מפורסם בשנות ה-1990, והוא למעשה נתקל בו בפברואר 1991.

והוא פטפט עם חבר שלו, אני מאמין, על זה, והחבר שלו אמר, "הו, ה-6 במרץ, זה יום ההולדת שלי. האם ידעת שזה גם יום ההולדת של מיכלאנג'לו?"

כי אני מניח שאנשים שנולדו ב-6 במרץ אולי ידעו במקרה ש...

כמובן, זה היה שם כל כך טרנדי ומגניב... ושנה לאחר מכן, כשהיתה לו הזדמנות להתפשט, וכפי שאתה אומר, לעתים קרובות שוכב רדום, אז הוא חזר.

זה לא פגע במיליוני מחשבים, כפי שנראה שהתקשורת חששה, וכפי שג'ון מקאפי המנוח אהב לומר, אבל זו נחמה קרה לכל מי שנפגע, כי כמעט איבדת הכל.

לא ממש הכל, אבל זה היה הולך לעלות לך הון קטן לקבל חלק ממנו בחזרה... כנראה בצורה חלקית, כנראה לא מהימנה.

והדבר הרע בזה היה שבגלל שהוא התפשט על תקליטונים; ובגלל שהוא התפשט בגזרת המגף; ומכיוון שבאותם ימים כמעט כל מחשב היה מאתחל מכונן התקליטונים אם במקרה היה בו דיסק; ומכיוון שגם אחרת לתקליטים ריקים היה סקטור אתחול וכל קוד שם היה פועל, גם אם כל מה שזה הוביל אליו היה הודעה מסוג "דיסק או דיסק שאינו מערכת, החלף ונסה שוב"...

… עד אז זה היה מאוחר מדי.

אז אם רק השארת דיסק בכונן בטעות, אז כשהדלקת למחרת בבוקר, עד שראית את ההודעה "לא מערכת דיסק או שגיאת דיסק" וחשבת, "אה, אני אוציא את התקליטון לצאת ולאתחל אתחול מהכונן הקשיח"...

...עד אז, הווירוס כבר היה בדיסק הקשיח שלך, והוא היה מתפשט לכל תקליטון שהיה לך.

אז, גם אם היה לך את הווירוס ואז הסרת אותו, אם לא עברת על כל מאגר התקליטונים הארגוניים שלך, תהיה שם טיפוס מרי שיכולה להכניס אותו מחדש בכל עת.

---

DOUG.   יש סיפור מרתק.

אני שמח שהיית שם כדי לעזור לנקות אותו קצת!

ובואו ננקה עוד משהו קטן.

מודול הפלטפורמה המהימנה הזה... לפעמים שנוי במחלוקת.

מה קורה כאשר הקוד הנדרש כדי להגן על המחשב שלך הוא עצמו פגיע, פול?

אבטחה רצינית: פגיעות ב-TPM 2.0 - האם הנתונים הסופר-מאבטחים שלך נמצאים בסיכון?

---

ברווז.   אם אתה רוצה להבין את כל עניין ה-TPM הזה, שנשמע כמו רעיון נהדר, נכון... יש את הדבר הקטן הזה של לוח הבתים הזה שאתה מחבר לחריץ קטן קטנטן בלוח האם שלך (או אולי הוא מובנה מראש), ויש לו אחד שבב קו-מעבד קטנטן ומיוחד שפשוט עושה את הליבה ההצפנה הזו.

הפעלה בטוחה; חתימה דיגיטלית; אחסון חזק למפתחות קריפטוגרפיים... אז זה לא רעיון רע מטבעו.

הבעיה היא שאתה מתאר לעצמך את זה, בגלל שזה מכשיר כל כך קטן והוא פשוט מכיל את קוד הליבה הזה, בטוח שזה די קל לפשוט אותו ולהפוך אותו לפשוט?

ובכן, רק המפרטים של Trusted Platform Module, או TPM... יש להם ביחד: 306 עמודים, 177 עמודים, 432 עמודים, 498 עמודים, 146 עמודים, והילד הרע הגדול בסוף, "חלק רביעי: רוטינות תמיכה - Code", איפה הבאגים, 1009 דפי PDF, דאג.

---

DOUG.   [צוחק] רק קצת קריאה קלה!

---

ברווז.   [אנחות] רק קצת קריאה קלה.

אז, יש הרבה עבודה. והרבה מקום לבאגים.

והאחרונים... ובכן, יש לא מעט שצוינו בשגיאות האחרונות, אבל שניים מהם קיבלו למעשה מספרי CVE.

יש CVE-2023-1017, ו-CVE-2023-1018.

ולמרבה הצער, הם באגים, פגיעויות, שניתן לדגדג (או להגיע אליהם) על ידי פקודות שתוכנית מרחב משתמש רגילה עשויה להשתמש בהן, כמו משהו שמנהל מערכת או אתה בעצמך עלול להפעיל, רק כדי לבקש מה-TPM לעשות משהו בטוח בשבילך.

אז אתה יכול לעשות דברים כמו, לומר, "היי, לך ותביא לי מספרים אקראיים. לך ותבנה לי מפתח קריפטוגרפי. לך ואמת את החתימה הדיגיטלית הזו."

וזה נחמד אם זה נעשה במעבד קטן נפרד שלא יכול להתעסק איתו על ידי המעבד או מערכת ההפעלה - זה רעיון מצוין.

אבל הבעיה היא שבקוד מצב המשתמש שאומר, "הנה הפקודה שאני מציג לך"...

...למרבה הצער, פירוק הפרמטרים שהועברו כדי לבצע את הפונקציה הרצויה - אם אתה מלכוד מלכודת האופן שבו הפרמטרים האלה מועברים ל-TPM, אתה יכול להערים אותו לקריאת זיכרון נוסף (הצפת קריאת חיץ), או גרוע מכך, החלפת דברים ששייכים לבחור הבא, כביכול.

קשה לראות כיצד ניתן לנצל את הבאגים הללו לדברים כמו ביצוע קוד ב-TPM (אבל, כפי שאמרנו פעמים רבות, "לעולם אל תגיד לעולם").

אבל זה בהחלט ברור שכאשר אתה מתמודד עם משהו שכפי שאמרת בהתחלה, "אתה צריך את זה כדי להפוך את המחשב שלך לאבטח יותר. הכל עניין של נכונות קריפטוגרפית"...

...הרעיון שמשהו מדליף אפילו שני בייטים של נתונים סודיים יקרים של מישהו אחר שאף אחד בעולם לא אמור לדעת?

הרעיון של דליפת נתונים, שלא לדבר על גלישת כתיבה במאגר במודול כזה, אכן די מדאיג.

אז זה מה שאתה צריך לתקן.

ולמרבה הצער, מסמך ה-errata לא אומר, "הנה הבאגים; הנה איך אתה מתקן אותם."

יש רק תיאור של הבאגים ותיאור של איך אתה צריך לתקן את הקוד שלך.

אז ככל הנראה כל אחד יעשה את זה בדרכו שלו, ואז השינויים האלה יסוננו חזרה למימוש ההפניה המרכזי.

החדשות הטובות הן שיש הטמעת TPM מבוססת תוכנה [libtpms] לאנשים שמפעילים מכונות וירטואליות... הם כבר הסתכלו, והם העלו כמה תיקונים, אז זה מקום טוב להתחיל בו.

---

DOUG.   יָפֶה.

בינתיים, בדוק עם ספקי החומרה שלך ובדוק אם יש להם עדכונים עבורך.

---

ברווז.   כן.

---

DOUG.   נעבור... לימים הראשונים של תוכנת הכופר, שהיו גדושים בסחיטה, ואז העניינים הסתבכו יותר עם "סחיטה כפולה".

וחבורה של אנשים זה עתה היו נֶעצָר בתוכנית סחיטה כפולה, ואלה חדשות טובות!

חשודים בתוכנת כופר של DoppelPaymer נעצרו בגרמניה ובאוקראינה

---

ברווז.   כן, זו כנופיית תוכנות כופר הידועה בשם DoppelPaymer. ("דופל" פירושו לְהַכפִּיל בגרמנית.)

אז הרעיון הוא שזאת מעשה כפול.

זה המקום שבו הם מערבבים את כל הקבצים שלך והם אומרים, "אנחנו נמכור לך את מפתח הפענוח. ודרך אגב, למקרה שאתה חושב שהגיבויים שלך יצליחו, או למקרה שאתה חושב להגיד לנו ללכת לאיבוד ולא לשלם לנו את הכסף, רק שים לב שגם גנבנו את כל הקבצים שלך קודם. ”

"אז, אם אתה לא משלם, ואתה *יכול* לפענח בעצמך ואתה *תוכל* להציל את העסק שלך... אנחנו הולכים להדליף את הנתונים שלך."

החדשות הטובות בתיק זה הן שכמה חשודים נחקרו ונעצרו, ומכשירים אלקטרוניים רבים נתפסו.

אז למרות שזוהי, אם תרצו, נחמה קרה לאנשים שסבלו מהתקפות DoppelPaymer בזמנו, זה אומר לפחות שרשויות אכיפת החוק לא מוותרות רק כשנדמה כי כנופיות סייבר מורידות את הראש.

הם ככל הנראה קיבלו תשלומי סחיטה של ​​עד 40 מיליון דולר בארצות הברית לבדה.

וכידוע הם הלכו אחרי בית החולים האוניברסיטאי בדיסלדורף בגרמניה.

אם יש נקודת שפל בתוכנת כופר...

---

DOUG.   ברצינות!

---

ברווז.   ...לא שזה טוב שמישהו נפגע, אלא הרעיון שאתה בעצם מוציא בית חולים, במיוחד בית חולים להוראה?

אני מניח שזה הנמוך מבין הנמוך, לא?

---

DOUG.   ויש לנו כמה עצות.

רק בגלל שהחשודים האלה נעצרו: אל תחזיר את ההגנה שלך.

---

ברווז.   לא, למעשה, יורופול כן מודה, במילים שלהם, "לפי דיווחים, דופלפיימר מיתגה מאז מחדש [ככנופיית תוכנת כופר] בשם 'צער'".

אז הבעיה היא שכשאתה חוסל כמה אנשים בקבוצת סייבר, אולי אתה לא מוצא את כל השרתים...

...אם אתה תופס את השרתים, אתה לא בהכרח יכול לעבוד אחורה לאנשים.

זה עושה שקע, אבל זה לא אומר שתוכנת הכופר הסתיימה.

---

DOUG.   ובנקודה הזו: אל תתבסס על תוכנות כופר בלבד.

---

ברווז.   אכן!

אני חושב שכנופיות כמו DoppelPaymer מבהירות זאת היטב, לא?

כשהם באים לטרוף את הקבצים שלך, הם כבר גנבו אותם.

אז, עד שאתה מקבל את החלק של תוכנת הכופר, הם כבר עשו N אלמנטים אחרים של עבריינות רשת: הפריצה; ההסתכלות מסביב; כנראה לפתוח כמה דלתות אחוריות כדי שיוכלו לחזור מאוחר יותר, או למכור גישה לבחור הבא; וכולי.

---

DOUG.   מה שמתאים לעצה הבאה: אל תחכה להתראות איומים שייכנסו ללוח המחוונים שלך.

זה אולי קל יותר לומר מאשר לעשות, תלוי בבגרות הארגון.

אבל יש עזרה זמינה!

---

ברווז.   [צוחק] חשבתי שאתה הולך להזכיר Sophos Managed Detection and Response לרגע שם, דאג.

---

DOUG.   ניסיתי לא למכור את זה.

אבל אנחנו יכולים לעזור!

יש קצת עזרה בחוץ; תודיע לנו.

---

ברווז.   באופן רופף, ככל שתגיעו לשם מוקדם יותר; ככל שתשים לב מוקדם יותר; ככל שהאבטחה המונעת שלך תהיה פרואקטיבית יותר...

... כך פחות הסיכוי שכל נוכל יוכל להגיע עד להתקפת תוכנת כופר.

וזה יכול להיות רק דבר טוב.

---

DOUG.   אחרון חביב: בלי שיפוט, אבל אל תשלם אם אתה יכול להימנע מזה.

---

ברווז.   כן, אני חושב שאנחנו מחויבים לומר את זה.

כי התשלום מממן את הגל הבא של פשעי סייבר, בגדול, ללא ספק.

ושנית, ייתכן שלא תקבל את מה שאתה משלם עבורו.

---

DOUG.   ובכן, בואו נעבור ממפעל פלילי אחד לאחר.

וזה מה שקורה כשמפעל פלילי משתמש בכל כלי, טכניקה ונוהל בספר!

הפד מזהירים מפני השתוללות נכונה של תוכנת כופר מלכותית שמפעילה את מגוון ה-TTPs

---

ברווז.   זה מ-CISA - ארה"ב סוכנות אבטחת סייבר ותשתיות.

ובמקרה הזה, בעלון AA23 (זה השנה) מקף 061A-for-alpha, הם מדברים על כנופיה בשם Royal Ransomware.

רויאל עם ר' גדולה, דאג.

הדבר הרע בכנופיה הזו הוא שהכלים, הטכניקות והנהלים שלהם נראים "עד וכולל כל מה שנחוץ למתקפה הנוכחית".

הם צובעים עם מכחול רחב מאוד, אבל הם גם תוקפים עם חפירה עמוקה מאוד, אם אתה יודע למה אני מתכוון.

אלה החדשות הרעות.

החדשות הטובות הן שיש הרבה מאוד מה ללמוד, ואם תיקח את הכל ברצינות, תהיה לך מניעה רחבה מאוד והגנה מפני לא רק התקפות כופר, אלא מה שהזכרת בקטע Doppelpaymer קודם לכן: "אל לא פשוט להתבסס על תוכנת כופר."

דאגה לגבי כל הדברים האחרים שמובילים אליו: רישום מקשים; גניבת נתונים; השתלת דלת אחורית; גניבת סיסמאות.

---

DOUG.   בסדר, פול, בוא נסכם כמה מהדברים שנלקחו מעצת ה-CISA, החל ב: הנוכלים הללו פורצים פנימה תוך שימוש בשיטות בדוקות ומהימנות.

---

ברווז.   הם כן!

הנתונים הסטטיסטיים של CISA מצביעים על כך שהחבורה הספציפית הזו משתמשת בדיוג ישן וטוב, שהצליח ב-2/3 מההתקפות.

כשזה לא עובד טוב, הם הולכים לחפש דברים לא מתוקנים.

כמו כן, ב-1/6 מהמקרים, הם עדיין מסוגלים להיכנס באמצעות RDP... התקפות RDP ישנות וטובות.

כי הם צריכים רק שרת אחד ששכחת ממנו.

וכמו כן, אגב, CISA דיווחה שברגע שהם בפנים, גם אם הם לא נכנסו להשתמש ב-RPP, נראה שהם עדיין מגלים שלהרבה חברות יש מדיניות ליברלית יותר לגבי גישה ל-RDP * בתוך* הרשת שלהם.

[צוחק] מי צריך סקריפטים מסובכים של PowerShell שבהם אתה יכול פשוט להתחבר למחשב של מישהו אחר ולבדוק את זה על המסך שלך?

---

DOUG.   ברגע שנכנסו, הפושעים מנסים להימנע מתוכנות שעלולות להופיע כתוכנות זדוניות.

זה ידוע גם בשם "לחיות מהאדמה".

---

ברווז.   הם לא סתם אומרים, "נו טוב, בואו נשתמש בתוכנת PsExec של Microsoft Sysinternal, ובואו נשתמש בסקריפט הפופולרי הפופולרי הזה של PowerShell.

יש להם כל מספר של כלים, לעשות כל מספר דברים שונים שהם די שימושיים, מכלים שמגלים מספרי IP, וכלים שעוצרים מחשבים לישון.

כל הכלים שיכול מאוד להיות למנהל מערכת מיודע ולהשתמש בהם באופן קבוע.

ובאופן רופף, יש רק חלק אחד של תוכנות זדוניות טהורות שהנוכלים האלה מביאים, וזה החומר שעושה את הטירוף האחרון.

אגב, אל תשכח שאם אתה פושע תוכנת כופר, אתה אפילו לא צריך להביא את ערכת כלי ההצפנה שלך.

אתה יכול, אם תרצה, להשתמש בתוכנה כמו, נגיד, WinZip או 7-Zip, הכוללת תכונה ל"צור ארכיון, להעביר את הקבצים פנימה," (מה שאומר למחוק אותם ברגע שאתה מכניס אותם לארכיון), "והצפין אותם עם סיסמה."

כל עוד הנוכלים הם האנשים היחידים שיודעים את הסיסמה, הם עדיין יכולים להציע למכור לך אותה בחזרה...

---

DOUG.   ורק כדי להוסיף מעט מלח לפצע: לפני ערבול קבצים, התוקפים מנסים לסבך את הדרך שלך להתאוששות.

---

ברווז.   מי יודע אם הם יצרו חשבונות אדמין סודיים חדשים?

שרתי באגי מותקנים בכוונה?

טלאים שהוסרו בכוונה כדי שהם יודעים איך לחזור בפעם הבאה?

השארת את המקלדות שוכבות מאחור, שם הם יפעלו ברגע עתידי כלשהו ויגרמו לצרות שלך להתחיל מחדש?

והם עושים את זה כי זה מאוד לטובתם שכשאתה מתאושש ממתקפת כופר, אתה לא מתאושש לחלוטין.

---

DOUG.   בסדר, יש לנו כמה קישורים מועילים בתחתית המאמר.

קישור אחד שייקח אותך ללמוד עוד על Sophos Managed Detection and Response [MDR], ועוד אחד שמוביל אותך אל ספר יריב פעיל, שהוא יצירה שהרכיב ג'ון שייר שלנו.

כמה תובנות ותובנות שתוכלו להשתמש בהן כדי לחזק טוב יותר את ההגנה שלכם.

דע את האויב! למד כיצד יריבי פשעי סייבר נכנסים...

---

ברווז.   זה כמו גרסה מטה של ​​דוח "תוכנת כופר מלכותית" של CISA.

אלו מקרים שבהם הקורבן לא הבין שתוקפים נמצאים ברשת שלהם עד שהיה מאוחר מדי, ואז התקשר ל-Sophos Rapid Response ואמר, "אוי אלוהים, אנחנו חושבים שנפגענו מתוכנת כופר... אבל מה עוד קרה? ”

וזה מה שבאמת מצאנו, בחיים האמיתיים, על פני מגוון רחב של התקפות על ידי מגוון של נוכלים לעתים קרובות שאינם קשורים.

אז זה נותן לך מושג מאוד מאוד רחב על מגוון ה-TTPs (כלים, טכניקות ונהלים) שאתה צריך להיות מודע אליהם ושאתה יכול להתגונן מפניהם.

כי החדשות הטובות הן שעל ידי אילוץ הנוכלים להשתמש בכל הטכניקות הנפרדות הללו, כך שאף אחת מהן לא מפעילה אזעקה מסיבית בעצמה...

...אתה כן נותן לעצמך סיכוי לחימה לזהות אותם מוקדם, אם רק אתה [A] יודע היכן לחפש ו[B] יכול למצוא את הזמן לעשות זאת.

---

DOUG.   טוב מאוד.

ויש לנו הערת קורא על המאמר הזה.

קורא אבטחה עירום אנדי שואל:

כיצד חבילות Sophos Endpoint Protection עומדות בפני סוג זה של התקפה?

ראיתי ממקור ראשון כמה טובה ההגנה על תוכנת הכופר של קבצים, אבל אם היא מושבתת לפני שההצפנה מתחילה, אנחנו מסתמכים על Tamper Protection, אני מניח, לרוב?

---

ברווז.   ובכן, אני מקווה שלא!

אני מקווה שלקוח Sophos Protection לא פשוט יאמר, "ובכן, בוא נריץ רק את החלק הזעיר של המוצר שנמצא שם כדי להגן עליך כסוג של סלון אחרון... מה שאנחנו מכנים CryptoGuard.

זה המודול שאומר, "היי, מישהו או משהו מנסה לטרוף מספר גדול של קבצים בצורה שאולי תהיה תוכנית מקורית, אבל פשוט לא נראה כמו שצריך."

אז גם אם זה לגיטימי, זה כנראה יבלבל את העניינים, אבל זה כמעט בטוח שמישהו מנסה להזיק לך.

---

DOUG.   כן, CryptoGuard הוא כמו קסדה שאתה חובש כשאתה עף מעל כידון האופניים שלך.

הדברים נעשו די רציניים אם CryptoGuard נכנס לפעולה!

---

ברווז.   לרוב המוצרים, כולל Sophos בימינו, יש אלמנט של Tamper Protection שמנסה ללכת צעד אחד קדימה, כך שאפילו מנהל מערכת צריך לקפוץ בין חישוקים כדי לכבות חלקים מסוימים של המוצר.

זה מקשה לעשות את זה בכלל, וקשה יותר להפוך אותו לאוטומטי, לכבות את זה עבור כולם.

אבל צריך לחשוב על זה...

אם נוכלי סייבר נכנסים לרשת שלך, ובאמת יש להם "מקבילות מערכת הניהול" ברשת שלך; אם הם הצליחו להשיג ביעילות את אותם כוחות שיש למנהלי המערכת הרגילים שלך (וזו המטרה האמיתית שלהם; זה מה שהם באמת רוצים)...

בהתחשב בכך שמנהלי המערכת המריצים מוצר כמו זה של Sophos יכולים להגדיר, לבטל את התצורה ולהגדיר את הגדרות הסביבה...

...אז אם הנוכלים *הם* מנהלי מערכת, זה כאילו הם כבר ניצחו.

ובגלל זה צריך למצוא אותם מראש!

אז אנחנו מקשים ככל האפשר, ואנחנו מספקים כמה שכבות של הגנה שאנחנו יכולים, בתקווה לנסות ולעצור את הדבר הזה לפני שהוא בכלל נכנס.

ובדיוק בזמן שאנחנו עוסקים בזה, דאג (אני לא רוצה שזה יישמע כמו מכשיר מכירה, אבל זו רק תכונה של התוכנה שלנו שאני אוהב יותר)...

יש לנו מה שאני מכנה מרכיב "יריב פעיל יריב"!

במילים אחרות, אם נזהה התנהגות ברשת שלך שמרמזת מאוד על דברים, למשל, שמנהלי המערכת שלך לא ממש יעשו את זה, או לא ממש יעשו את זה...

..."יריב פעיל יריב" אומר, "אתה יודע מה? בדיוק ברגע זה, אנחנו הולכים להגביר את ההגנה לרמות גבוהות יותר ממה שהייתם סובלים בדרך כלל."

וזו תכונה נהדרת כי זה אומר שאם נוכלים אכן נכנסים לרשת שלך ומתחילים לנסות לעשות דברים לא ראויים, אתה לא צריך לחכות עד שתשים לב ו*אז* להחליט, "איזה חוגים נשנה?"

דאג, זו הייתה תשובה די ארוכה לשאלה פשוטה לכאורה.

אבל תן לי פשוט לקרוא את מה שכתבתי בתגובה שלי לתגובה על Naked Security:

המטרה שלנו היא להיות ערניים כל הזמן, ולהתערב מוקדם, הכי אוטומטי, הכי בטוח והחלטי שאנחנו יכולים - לכל מיני מתקפות סייבר, לא רק תוכנות כופר.

---

DOUG.   בסדר, כל הכבוד!

תודה רבה, אנדי, ששלחת את זה.

אם יש לכם סיפור מעניין, תגובה או שאלה שתרצו לשלוח, נשמח לקרוא אותם בפודקאסט.

אתה יכול לשלוח דוא"ל ל-tips@sophos.com, אתה יכול להגיב על כל אחד מהמאמרים שלנו, או שאתה יכול להכות אותנו בחברתית: @NakedSecurity.

זו ההופעה שלנו להיום; תודה רבה על ההקשבה.

בשביל פול דאקלין, אני דאג אמות', להזכירך. עד לפעם הבאה, כדי…

---

שניהם.   הישאר בטוח!

[מודם מוזיקלי]