https://edl.nyggen.com/EDL-Bad-IP-CVE-2024-3400.txt
IP list from my finding at 20.04.24 at 20.30 CEST
Telegram har lenge vært i søkelyset for sikkerhetsbekymringer, noe som har ledet mange bedrifter til å blokkere appen. Men dette langvarige fokuset mangler en viktigere innsikt: Vi må være bevisste på sikkerheten til alle digitale verktøy vi bruker, ikke bare Telegram.
Mange apper, som Facebook, Instagram, TikTok, og Snapchat, samler inn store mengder brukerdata. Dette inkluderer ikke bare grunnleggende personlige detaljer som navn og e-postadresse, men også lokasjonsdata, søkehistorikk, kjøpshistorikk, kontaktlister, SMS-innhold, samt detaljer om hvem du kommuniserer med og hvordan du interagerer med innhold på nettet. Denne omfattende datainnsamlingen kan ikke bare avsløre dine personlige preferanser og vaner, men også potensielt sensitive informasjoner som kan utnyttes for målrettet reklame, sosial manipulasjon, eller mer alvorlige former for cyberkriminalitet.
For de som arbeider med sensitiv informasjon innen helsevesenet, juridiske tjenester, journalistikk, IT-sikkerhet, finansanalyse, og HR, er risikoen spesielt høy. En utilsiktet lekkasje av informasjon i disse yrkene kan føre til identitetstyveri, økonomisk tap, eller skade på personers liv og karrierer.
For å beskytte sensitiv informasjon effektivt, bør de i sensitive roller begrense bruken av potensielt risikofylte apper til et minimum, og kun bruke apper som er godkjent av IT-avdelingen. Dette, kombinert med regelmessig opplæring i digital bevissthet og oppdatering av sikkerhetspraksiser, vil styrke forsvar mot digitale trusler.
Sikkerhet legges i lag!
Å stole utelukkende på et antivirusprogram er ikke (og har aldri vært) tilstrekkelig.
For å effektivt beskytte våre digitale eiendeler, må vi utnytte et bredt spekter av sikkerhetstiltak. Ved å integrere brannmurer, kryptering, nettverkssegmentering, endepunktbeskyttelse, Group Policy Objects, e-postfiltrering, adferdsanalyse, tilgangskontroll, og dekryptering for inspeksjon av trafikk, kan vi bygge en mer omfattende forsvarslinje.
I tillegg er sikkerhetsbevissthetstrening for ansatte avgjørende for å styrke det menneskelige leddet i sikkerhetskjeden.
Disse lagene av sikkerhetstiltak arbeider sammen for å forme en robust sikkerhetsarkitektur som er i stand til å stå imot og tilpasse seg det stadig skiftende landskapet av cybersikkerhetstrusler.
Gjør nettverket ditt sikrere med mikro-segmentering.
Mange virksomheter undervurderer mangfoldet av enheter som kjører på deres nettverk, ofte plassert innenfor samme VLAN, noe som kan føre til unødvendige sikkerhetsrisikoer og nettverks-belastning. Mikro-segmentering, prosessen med å dele opp nettverket i mindre, sikrere VLAN er basert på utstyrets funksjon, er nøkkelen til å forbedre både sikkerheten og ytelsen.
For de som ønsker å få en rask oversikt over nettverkets sammensetning og identifisere potensielle forbedringsområder, anbefales en IoT-lisens fra Palo Alto Networks. Denne lisensen kan aktiveres som en prøveperiode på brannmurene deres, og tilbyr en fantastisk kartlegging av tilkoblede enheter i løpet av få dager. Ved å utnytte denne innsikten kan virksomheter ta informerte steg mot en mer segmentert og sikker nettverkstruktur.
Her er et eksempel på hvordan du kan dele opp nettverket ditt for optimal sikkerhet og effektivitet, inspirert av faktiske behov og beste praksiser.
1. Alarmsystemer VLAN: Normalt har tilgang til overvåkningssentraler og sikkerhetsadministrasjonssystemer for å sende alarmer og statusoppdateringer.
2. Applikasjonsserver VLAN (per unik enhetstype): Gir tilgang til databaser og andre back-end systemer nødvendige for applikasjonens funksjonalitet, samt utviklings- og testmiljøer for oppdateringer.
3. Backup VLAN: Har tilgang til lagringsnettverk og administrasjonssystemer for sikkerhetskopiering og gjenoppretting av data.
4. Betalingsenheter VLAN: Kobles til transaksjonsbehandlere og banknettverk, med streng tilgangskontroll for å oppfylle betalingsindustriens sikkerhetsstandarder.
5. Brukerdatamaskin VLAN: Har tilgang til internett, interne applikasjoner, e-posttjenester, og delte ressurser som filservere og skrivere.
6. Domene Kontroller VLAN: Interagerer med servere og endepunkter innen organisasjonen for autentisering, autorisering og policyhåndheving.
7. E-postserver VLAN: Kobles til internett for inn- og utgående e-post, samt interne brukere for e-posttilgang.
8. Gjestenettverk VLAN: Begrenset tilgang til internett og eventuelt noen offentlige tjenester tilbudt av organisasjonen, uten tilgang til interne systemer.
9. HVAC VLAN: Har tilgang til bygningsadministrasjonssystemer og eventuelt eksterne vedlikeholdstjenester for overvåking og styring.
10. Microsoft SQL Server VLAN: Gir tilgang til applikasjonsservere som krever databasetjenester, samt administrasjonssystemer.
11. Møteromsteknologi VLAN: Kobles til presentasjonsutstyr, konferansesystemer, og utvalgte eksterne videokonferansetjenester.
12. MySQL Server VLAN: Tilbyr databasetjenester til web- og applikasjonsservere, samt tilgang til utviklingsverktøy.
13. NAS/SAN VLAN: Tilgjengelig for servere som krever lagringstjenester, backup-systemer, og administrasjonsverktøy.
14. Oracle Server VLAN: Gir databasetjenester til applikasjonsservere som trenger høy ytelse og pålitelig datalagring, med tilgang til databaseadministrasjonsverktøy.
15. Partner VLAN: Tilgang begrenset til spesifikke tjenester og systemer som kreves for samarbeid eller integrasjon med partnerorganisasjoner.
16. PostgreSQL Server VLAN: Serverer databasetjenester til applikasjoner, med tilgang til utviklings- og test-verktøy.
17. Printer VLAN: Gir utskriftstjenester til brukerdatamaskiner og møterom, med administrativ tilgang for vedlikehold og overvåking.
18. Sikkerhetskamera VLAN: Har tilgang til videoovervåkingsstasjoner og sikkerhetsadministrasjonssystemer for opptak og overvåking.
19. Smart Lighting Systems VLAN: Kobles til bygningsadministrasjonssystemer for styring og overvåking av belysning, med potensiell ekstern tilgang for vedlikehold.
20. Smartbygg/IoT-enhet VLAN (per unik enhetstype): Isolert tilgang til spesifikke styringssystemer og vedlikeholdstjenester dedikert for hver enhetstype.
21. Testmiljø VLAN: Gir tilgang til utviklings- og applikasjonsservere for testing av nye applikasjoner og oppdateringer under kontrollerte forhold.
22. Trådløse Tilgangspunkt (AP) VLAN: Serverer trådløs tilkobling for enheter, med tilgang til internett og interne nettverksressurser basert på brukerrettigheter.
23. Utviklingsmiljø VLAN: Tilgang til utviklingsverktøy, kodearkiver, og interne testservere for applikasjonsutvikling og -testing.
24. VoIP VLAN: Kobles til VoIP-servere og telefonsystemer for intern og ekstern talekommunikasjon, med kvalitetssikring for taletrafikk.
25. Webserver VLAN (per unik enhetstype): Gir webtjenester til interne og eksterne brukere, med tilgang til relevante backend-systemer og internett for utvalgte nettsteder.
Fra Zero Trust til Trust Through Verification:
"Zero Trust" er et begrep som ofte misforstås som en sikkerhetsstrategi som indikerer en grunnleggende mistillit til alle. I virkeligheten fokuserer det på kontinuerlig verifisering for å sikre nettverk, enheter, og tilgang til skytjenester. For å fremme en bedre forståelse, kan det være nyttig å vurdere en endring til begrepet "Trust Through Verification".
Vanlige mistolkning av Zero Trust:
Feiltolkningen her er at Zero Trust-prinsippet innebærer en grunnleggende mistillit til ansatte eller medlemmer av en organisasjon. I virkeligheten fokuserer Zero Trust på nødvendigheten av å verifisere tilgang til systemer og data for å beskytte mot sikkerhetstrusler. Det handler ikke om personlig mistillit, men om å anerkjenne at trusler kan komme fra hvor som helst.
Kritikere mener at Zero Trust-strategier er uforenlige med en kultur av gjensidig tillit, og at det skaper en 'militærstruktur' hvor hierarki dominerer over gjensidighet. Dette perspektivet overser at Zero Trust primært er et teknisk sikkerhetskonsept som sikter mot å minimere risiko for datalekkasjer og angrep. Det er designet for å styrke, ikke svekke, den organisatoriske tilliten ved å etablere klare og rettferdige sikkerhetsprotokoller som beskytter alle i organisasjonen.
En annen vanlig misforståelse er at implementering av Zero Trust automatisk fører til en overvåkingsintensiv tilnærming som kompromitterer personvernet. Selv om Zero Trust krever detaljert logging og overvåking av nettverksaktivitet, er målet å sikre datatilgang basert på nødvendighet og minste privilegiums prinsipp, ikke å overvåke ansatte unødvendig.
Det kan være utfordrende å sette opp GlobalProtect og det kan gjøre på forskjellige måter så her viser jeg litt hvordan det er satt opp hos meg.
Her er noen av feilmeldingene jeg har hatt og som er løst med mitt nåværende oppsett:
PanHttpsClient: 1738, found exception
The network connection is unreachable
Gateway does not exist
Har også hatt noen tilfeller at noen Android enheter får koblet opp på GlobalProtect, andre ikke.
Sertifikater laget på brannmuren har noen ganger gitt meg problemer så jeg laget et gratis (90dagers) via https://app.zerossl.com/certificate/new
Jeg har importert 350 sertifikater fra før så om du mangler de 3 andre så legg inn dem også.
1. Endre passord
Umiddelbart endre passordet til kontoen. Velg et sterkt, unikt passord som ikke er brukt på andre kontoer for å forhindre gjentatt uautorisert tilgang.
2. Tilbakestill MFA (Multi-Faktor Autentisering)
Etter å ha endret passordet, tilbakestill MFA-innstillingene for å fjerne eventuelle koblinger hackere kan ha opprettet. Verifiser at MFA er aktivert på alle relevante kontoer for et ekstra lag med sikkerhet.
3. Gjennomgå kontoaktivitet
Fra brukers konto:
Sjekk kontoaktiviteten for uautorisert tilgang ved å besøke https://mysignins.microsoft.com/ og https://myaccount.microsoft.com/device-list for å se om det er noen ukjente enheter i bruk.
Fra administrator konto:
Bruk https://portal.azure.com/#view/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/~/SignIns for å gjennomgå innloggingsforsøk og aktiviteter for bruker (eller alle brukere)
4. Skanne etter malware
Kjør en fullstendig malware-skan på brukerens enheter for å identifisere og fjerne eventuell skadelig programvare som kan kompromittere sikkerheten.
5. Fjerne mailkontoen fra eventuelle Blacklist`er
Hvis kontoen er blitt svartelistet, start prosessen for fjerning ved å bruke verktøy som https://multirbl.valli.org/email-test/ for å identifisere og ta tak i problemet.
6. Informere relevante parter
Varsle relevante parter om sikkerhetsbruddet, spesielt hvis sensitiv informasjon har blitt kompromittert. Dette kan inkludere kunder og interne eller eksterne parter.
7. Revisjon av e-postregler
Se etter uautoriserte e-postregler og automatiske videresendinger.
Kontroller endringer i filtrering og søppelpostinnstillinger.
8. Oppdater software
Sørg for at all software på alle enheter til bruker er oppdatert.
9. Videre opplæring og bevisstgjøring
Bruk denne erfaringen som en læremulighet for å forbedre digitale sikkerhetsrutiner.
Vurder å gjennomføre ytterligere opplæring i sikkerhetsbevissthet for alle ansatte.
Årsaken til at kontoen ble hacket kan være mange, men det skader ikke med å gi bruker(ne) litt MFA opplæring, som du finner her
Skjermbilde multirbl.valli.org |
Noen ganger kan det være problemer med å få ny PA til å hente sertifikat fra license.api.paloaltonetworks.com
En kan da få feilmeldinger som:
Failed to Fetch the Device Certificate eller Device certificate not found
Legger ut en liten phishing test her:
https://phishingquiz.withgoogle.com/
Denne er gratis, det er ingen registrering, den spør etter din email for at angrepet skal se reelt ut, men du kan legge inn hvilken som helst mailadresse!
..og noen gode lære videoer her:
Sosial manipulasjon og MFA-koder:
Vær forsiktig hvis noen ringer eller sender deg melding og ber om MFA-koden din. Selv om de påstår å være fra IT-avdelingen, bør du aldri dele MFA-koden din. Hackere kan late som de er pålitelige personer for å skaffe seg kodene dine.
MFA-tretthets angrep:
I disse angrepene vil du motta gjentatte MFA-forespørsler på enheten din. Målet er å irritere eller overvelde deg slik at du godkjenner forespørselen bare for å stoppe varslingene, noe som deretter gir hackeren tilgang.
Uventede MFA-forespørsler:
Vær alltid mistenksom overfor uventede MFA-forespørsler. Hvis du ikke har startet en påloggings prosess, bør du ikke godkjenne MFA-forespørselen.
Bekreft forespørselens ekthet:
Hvis du får en MFA-forespørsel som virker malplassert, bør du kontakte IT-avdelingen din gjennom kjente, offisielle kanaler for å bekrefte om den er legitim.
Økt kapring etter MFA:
Etter at du har autentisert deg vellykket med MFA, kan hackere forsøke å stjele økten din for å få tilgang til kontoen din. Selv om du har blitt autentisert med MFA, eksisterer denne risikoen. Dette skjer vanligvis gjennom falske nettsteder, som for eksempel "offffice.com," der hackere lurer brukere til å gi fra seg øktinformasjonen sin.
Hvordan konfigurere SSL Inbound Inspection.
P.S. På inbound decrypt regel bør du også legge til Dest.IP til din server!
Automatisert IT-sikkerhet i ferien
PaloAltoNetworks' brannmur tilbyr dynamiske sikkerhetsregler som automatisk isolerer PC-er eller servere ved forsøk på kontakt med kjente Ransomware-nettsider. Dette sikrer umiddelbar beskyttelse mot skade ved uhell, som å klikke på skadelige lenker, og reduserer risikoen for nedetid og skade på både arbeidsstasjoner og servere.
Før implementering er det viktig å vurdere konsekvensene av at enheter kan bli isolert til IT-avdelingen har verifisert trusselen. Det er essensielt å balansere sikkerhet med kontinuerlig tilgjengelighet. I denne sammenheng kan det være nyttig å tilpasse karanteneregler, som å bestemme varigheten av karantenen og om enheten skal være i full eller delvis karantene. Dette kan for eksempel innebære at visse nøkkelfunksjoner forblir tilgjengelige mens potensielt risikable funksjoner blir begrenset. Slik tilpasning sikrer at virksomheten kan fortsette å operere effektivt samtidig som den beskytter mot cyber trusler.
Julen - En tid for gleder men vær på vakt!
Falske Gavekort og Rabattkoder:
E-poster eller meldinger som tilbyr "gratis" gavekort eller store rabatter.