S3 Ep125: Kun suojauslaitteistossa on tietoturva-aukkoja [ääni + teksti]

Eikö alla ole audiosoitinta? Kuunnella suoraan Soundcloudissa.

DOUG.   Ransomware, lisää kiristysohjelmia ja TPM-haavoittuvuuksia.

Kaikki tämä ja paljon muuta Naked Security -podcastissa.

[MUSIIKKIMODEEMI]

Tervetuloa podcastiin kaikki.

Olen Doug Aamoth; hän on Paul Ducklin.

Paul, miten voit tänään?

---

ANKKA.   Lunta ja räntää, Doug.

Joten oli kylmä matka studioon.

Käytän ilma-lainauksia… en "ratsastukseen", "studioon".

Se ei todellakaan ole studio, mutta se on *minun* studioni!

Pieni salainen tila Sophosin päämajassa podcastin tallentamiseen.

Ja täällä on ihanaa ja lämmintä, Doug!

---

DOUG.   Selvä, jos joku kuuntelee… pysähtykää kiertueelle; Paul esittelee sinulle mielellään paikan.

Ja olen niin innoissani Tämä viikko tekniikan historiassa, Paul.

Tällä viikolla 06. maaliskuuta 1992 lepotilassa oleva Michelangelo-käynnistyssektorivirus heräsi henkiin ja ylikirjoitti uhrien kiintolevyjen sektorit.

Varmasti tämä merkitsi maailman loppua tietokoneille kaikkialla, kun media kompastui itsensä päälle varoittamaan ihmisiä lähestyvästä tuhosta?

Kuitenkin vuoden 1994 Virus Bulletin -konferenssiraportin mukaan, ja lainaan:

Energinen ja viihdyttävä puhuja Paul Ducklin uskoo vakaasti, että monella tapaa sekä yritysten että median pyrkimys valistaa on jäänyt tavoitteestaan..

Paul, sinä olit siellä, mies!

---

ANKKA.   Olin, Doug.

Ironista kyllä, maaliskuun kuudes päivä oli päivä, jolloin Michelangelo ei ollut virus.

Kaikkina muina päivinä se vain levisi kulovalkean tavoin.

Mutta maaliskuun 06. päivänä se sanoi: "Ahaa! On kuormapäivä!"

Ja kiintolevyllä se käy läpi ensimmäiset 256 raitaa, ensimmäiset 4 päätä, 17 sektoria raitaa kohden… mikä oli melkein kaikkien käytössä olevien kiintolevyjen jokaisen sivun "vasen alakulma", jos haluatte. siihen aikaan.

Joten se vaatisi noin 8.5 megatavua kiintolevyltäsi.

Se ei vain tuhonnut paljon tietoja, vaan myös tuhosi asioita, kuten tiedostojen varaustaulukot.

Voit siis palauttaa joitakin tietoja, mutta se oli valtava ja epävarma ponnistus jokaiselle laitteelle, jota halusit yrittää palauttaa.

Se on yhtä paljon työtä toiselle tietokoneelle kuin ensimmäiselle, kolmannelle tietokoneelle kuin toiselle… erittäin, erittäin vaikea automatisoida.

Onneksi, kuten sanot, se oli hyvin ylihyväksytty mediassa.

Itse asiassa ymmärrän, että viruksen analysoi ensimmäisenä edesmennyt Roger Riordan, joka oli kuuluisa australialainen virustorjuntatutkija 1990-luvulla, ja hän itse asiassa törmäsi siihen helmikuussa 1991.

Ja hän jutteli uskoakseni kaverinsa kanssa siitä, ja hänen ystävänsä sanoi: "Voi, maaliskuun 6. päivä, se on minun syntymäpäiväni. Tiesitkö, että se on myös Michelangelon syntymäpäivä?”

Koska luulen, että ihmiset, jotka ovat syntyneet 6. maaliskuuta, saattavat vain sattua tietämään, että…

Tietysti se oli niin trendikäs ja siisti nimi… ja vuotta myöhemmin, kun se oli saanut mahdollisuuden levitä ja, kuten sanot, usein lepäämään lepotilassa, silloin se palasi.

Se ei osunut miljooniin tietokoneisiin, kuten tiedotusvälineet näyttivät pelkäävän, ja kuten edesmennyt John McAfee halusi sanoa, mutta se on kylmä lohtu jokaiselle, joka osui, koska menetit melkein kaiken.

Ei aivan kaikkea, mutta sen saaminen takaisin maksaisi pienen omaisuuden... luultavasti epätäydellisesti, luultavasti epäluotettavasti.

Ja huono puoli siinä oli, että koska se levisi levykkeillä; ja koska se levisi käynnistyssektorilla; ja koska noina aikoina lähes jokainen tietokone käynnistyi levykeasemalta, jos siinä vain sattui olemaan levy; ja koska muutenkin tyhjillä levykkeillä oli käynnistyssektori ja mikä tahansa koodi siellä toimisi, vaikka se johtaisi vain "Ei kuin järjestelmälevy tai levyvirhe, vaihda ja yritä uudelleen" -tyyppinen viesti...

… silloin oli liian myöhäistä.

Joten, jos jätit levyn asemaan vahingossa, kun käynnistit virran seuraavana aamuna, kun näit viestin "Ei-järjestelmälevy tai levyvirhe" ja ajattelit: "Voi, nostan levykkeen. ulos ja käynnistä uudelleen käynnistä kiintolevyltä ”…

… silloin virus oli jo kiintolevylläsi, ja se levisi jokaiselle levykkeelle.

Joten vaikka sinulla olisi virus ja poistaisit sen, jos et käynyt läpi koko yrityksen levykevarastoasi, siellä olisi lavantauti Mary, joka voisi ottaa sen uudelleen käyttöön milloin tahansa.

---

DOUG.   Siinä on kiehtova tarina.

Olen iloinen, että olit paikalla auttamaan siivoamaan sitä hieman!

Ja siivotaan vähän muutakin.

Tämä Trusted Platform Module… joskus kiistanalainen.

Mitä tapahtuu, kun koneen suojaamiseen vaadittava koodi on itse haavoittuva, Paul?

Vakava turvallisuus: TPM 2.0 vulns – ovatko supersuojatut tietosi vaarassa?

---

ANKKA.   Jos haluat ymmärtää koko tämän TPM-jutun, joka kuulostaa hienolta ajatukselta, eikö niin… on tämä pieni tytärlevyjuttu, jonka liität emolevyn pieneen paikkaan (tai ehkä se on valmiiksi sisäänrakennettu), ja siinä on sellainen. pieni erityinen apuprosessorisiru, joka vain tekee tämän ydinsalauksen.

Suojattu käynnistys; digitaaliset allekirjoitukset; vahva tallennustila salausavaimille… joten se ei ole luonnostaan ​​huono idea.

Ongelmana on, että kuvittelet sen, koska se on niin pieni pieni laite ja siinä on juuri tämä ydinkoodi, joten se on varmasti melko helppoa poistaa ja tehdä siitä yksinkertainen?

No, vain Trusted Platform Modulen eli TPM:n spesifikaatiot… niillä on yhdessä: 306 sivua, 177 sivua, 432 sivua, 498 sivua, 146 sivua ja lopussa oleva iso paha poika, "Osa neljä: Rutiinien tukeminen - Code”, jossa virheet ovat, 1009 PDF-sivua, Doug.

---

DOUG.   [NAURAA] vähän kevyttä luettavaa!

---

ANKKA.   [HUOKAA] Vain kevyttä luettavaa.

Töitä on siis paljon. ja paljon tilaa bugeille.

Ja viimeisimmät… no, on aika monta, jotka on huomattu viimeisimmässä virheessä, mutta kahdella niistä todella oli CVE-numero.

Siellä on CVE-2023-1017 ja CVE-2023-1018.

Ja valitettavasti ne ovat bugeja, haavoittuvuuksia, joita voidaan kutittaa (tai saavuttaa) komennoilla, joita tavallinen käyttäjäavaruusohjelma saattaisi käyttää, kuten jokin, jota järjestelmänvalvoja tai sinä itse saatat suorittaa vain pyytääkseen TPM:ää tekemään jotain sinulle turvallisesti.

Joten voit tehdä asioita, kuten sanoa: "Hei, mene hakemaan minulle satunnaisia ​​numeroita. Mene ja rakenna minulle salausavain. Mene pois ja vahvista tämä digitaalinen allekirjoitus."

Ja on mukavaa, jos se tehdään erillisessä pienessä prosessorissa, jota prosessori tai käyttöjärjestelmä ei voi häiritä – se on hieno idea.

Mutta ongelma on, että käyttäjätilan koodissa, joka sanoo: "Tässä on komento, jonka esitän sinulle"…

…valitettavasti niiden parametrien purkaminen, jotka on siirretty suorittamaan haluamasi toiminto – jos huomaat tavan, jolla nämä parametrit toimitetaan TPM:ään, voit huijata sen joko lukemaan ylimääräistä muistia (puskurin lukuylivuodon) tai mikä pahempaa, ikään kuin seuraavalle kaverille kuuluvien juttujen päällekirjoittaminen.

On vaikea ymmärtää, kuinka näitä bugeja voitaisiin hyödyntää esimerkiksi koodin suorittamiseen TPM:ssä (mutta kuten olemme useaan otteeseen sanoneet: "Älä koskaan sano ei koskaan").

Mutta on varmasti selvää, että kun olet tekemisissä jonkin asian kanssa, kuten alussa sanoit: "Tarvitset tätä tehdäksesi tietokoneestasi turvallisemman. Kyse on salauksen oikeellisuudesta”…

…ajatus jostakin vuotaa jopa kaksi tavua jonkun toisen arvokasta salaista dataa, jota kenenkään maailmassa ei pitäisi tietää?

Ajatus tietovuodosta, puhumattakaan puskurin kirjoitusylivuodosta sellaisessa moduulissa, on todellakin varsin huolestuttava.

Se on siis se, mitä sinun on korjattava.

Ja valitettavasti errata-asiakirja ei sano: "Tässä ovat virheet; näin voit korjata ne."

Siellä on vain kuvaus virheistä ja kuvaus siitä, kuinka sinun pitäisi muuttaa koodiasi.

Joten oletettavasti jokainen tekee sen omalla tavallaan, ja sitten ne muutokset suodattuvat takaisin keskeiseen referenssitoteutukseen.

Hyvä uutinen on, että on olemassa ohjelmistopohjainen TPM-toteutus [libtpms] ihmisille, jotka käyttävät virtuaalikoneita… he ovat jo katsoneet ja keksineet joitain korjauksia, joten se on hyvä paikka aloittaa.

---

DOUG.   Ihana.

Tarkista sillä välin laitteistotoimittajiltasi, onko heillä sinulle päivityksiä.

---

ANKKA.   Kyllä.

---

DOUG.   Jatkamme… kiristysohjelmien alkuaikoihin, jotka olivat täynnä kiristystä, ja sitten asiat muuttuivat monimutkaisemmiksi "kaksoiskiristyksen" myötä.

Ja joukko ihmisiä on juuri käynyt pidätetty kaksoiskiristysjärjestelmässä, mikä on hyvä uutinen!

DoppelPaymer ransomware epäillään pidätetty Saksassa ja Ukrainassa

---

ANKKA.   Kyllä, tämä on ransomware-jengi, joka tunnetaan nimellä DoppelPaymer. ("Doppel" tarkoittaa kaksinkertainen saksaksi.)

Joten idea on, että se on kaksinkertainen.

Siellä he sekoittavat kaikki tiedostosi ja sanovat: "Myymme sinulle salauksenpurkuavaimen. Ja muuten, vain siltä varalta, että uskot varmuuskopioidesi toimivan, tai jos aiot käskeä meitä eksymään etkä maksa meille rahoja, muista vain, että olemme myös varastaneet kaikki tiedostosi ensin. ”

"Joten, jos et maksa ja voit *purkaa salauksen itse ja *voit* pelastaa yrityksesi… me vuodatamme tietosi."

Hyvä uutinen tässä tapauksessa on, että joitain epäiltyjä on kuulusteltu ja pidätetty, ja monia elektronisia laitteita on takavarikoitu.

Joten vaikka tämä onkin, jos haluat, kylmää lohtua ihmisille, jotka joutuivat aikanaan kärsimään DoppelPaymer-hyökkäyksistä, se tarkoittaa ainakin sitä, että lainvalvontaviranomaiset eivät vain anna periksi, kun kybergangit näyttävät laskevan päänsä alas.

He ilmeisesti saivat jopa 40 miljoonaa dollaria kiristysmaksuja pelkästään Yhdysvalloissa.

Ja he kuuluivat Düsseldorfin yliopistolliseen sairaalaan Saksassa.

Jos kiristysohjelmissa on alhainen kohta…

---

DOUG.   Vakavasti!

---

ANKKA.   …ei siksi, että olisi hyvä, että joku joutuu iskemään, mutta ajatus siitä, että todella vietät sairaalan, erityisesti opetussairaalan?

Luulen, että se on matalin, eikö?

---

DOUG.   Ja meillä on neuvoja.

Vain siksi, että nämä epäillyt on pidätetty: Älä soita takaisin suojaasi.

---

ANKKA.   Ei, itse asiassa Europol myöntää heidän sanoin: "Raporttien mukaan Doppelpaymer on sittemmin brändätty uudelleen [lunnasohjelmajengiksi] nimeltä "Grief".

Ongelmana on siis se, että kun murtaat joitain ihmisiä kybergangissa, et ehkä löydä kaikkia palvelimia…

…jos otat palvelimet haltuun, et välttämättä voi työskennellä taaksepäin yksilöihin.

Se tekee lommo, mutta se ei tarkoita, että kiristysohjelma on ohi.

---

DOUG.   Ja siinä kohtaa: Älä keskity pelkästään lunnasohjelmiin.

---

ANKKA.   Todellakin!

Luulen, että DoppelPaymerin kaltaiset jengit tekevät tämän täysin selväksi, eikö niin?

Kun he tulevat sekoittamaan tiedostojasi, he ovat jo varastaneet ne.

Joten siihen mennessä, kun saat lunnasohjelman osan, he ovat jo tehneet N muuta kyberrikollisuuden elementtiä: murtautuminen; ympärilleen katsominen; luultavasti avaa pari takaovea, jotta he voivat palata myöhemmin tai myydä pääsyn seuraavalle kaverille; ja niin edelleen.

---

DOUG.   Mikä liittyy seuraavaan neuvoon: Älä odota, että uhkailmoitukset tulevat kojelautaan.

Se on ehkä helpommin sanottu kuin tehty, riippuen organisaation kypsyydestä.

Mutta apua löytyy!

---

ANKKA.   [NAURA] Luulin, että aiot mainita Sophosin hallinnoima tunnistus ja vastaus hetkeksi siellä, Doug.

---

DOUG.   Yritin olla myymättä sitä.

Mutta voimme auttaa!

Siellä on apua; kerro meille.

---

ANKKA.   Löyhästi sanottuna, mitä aikaisemmin pääset perille; mitä aikaisemmin huomaat; sitä ennakoivampi ennaltaehkäisevä tietoturvasi on…

… sitä epätodennäköisempää on, että roistot pääsevät lunnasohjelmahyökkäykseen asti.

Ja se voi olla vain hyvä asia.

---

DOUG.   Ja viimeisenä mutta ei vähäisimpänä: Ei tuomiota, mutta älä maksa, jos voit mahdollisesti välttää sen.

---

ANKKA.   Kyllä, mielestäni meidän on pakko sanoa se.

Koska maksamalla varoja seuraavan kyberrikollisuuden aallon, suuri aika, varmasti.

Ja toiseksi, et ehkä saa sitä, mistä maksat.

---

DOUG.   No, siirrytään rikollisyrityksestä toiseen.

Ja näin tapahtuu, kun rikollinen yritys käyttää jokaista Työkalu, tekniikka ja menettelytapa kirjassa!

Feds varoittaa oikeasta Royal lunnasohjelmien riehumisesta, joka ohjaa TTP:iden kirjoa

---

ANKKA.   Tämä on CISAlta - Yhdysvalloista Kyberturvallisuus- ja infrastruktuuriturvallisuusvirasto.

Ja tässä tapauksessa tiedotteessa AA23 (tämä vuosi) viiva 061A-for-alpha, he puhuvat jengistä nimeltä Royal ransomware.

Royal isolla R-kirjaimella, Doug.

Huono puoli tässä jengissä on, että heidän työkalunsa, tekniikansa ja menettelynsä näyttävät olevan "mukaan lukien kaikki, mitä nykyiseen hyökkäykseen tarvitaan".

He maalaavat hyvin leveällä siveltimellä, mutta hyökkäävät myös erittäin syvällä lapiolla, jos tiedät mitä tarkoitan.

Siinäpä huonot uutiset.

Hyvä uutinen on, että opittavaa on hirveän paljon, ja jos otat kaiken vakavasti, sinulla on erittäin kattava ehkäisy ja suojaus ei vain lunnasohjelmahyökkäyksiä vastaan, vaan se, mitä mainitsit aiemmin Doppelpaymer-segmentissä: "Älä" älä keskity vain kiristysohjelmiin."

Huolehdi kaikista muista siihen johtavista asioista: keylogging; tietojen varastaminen; takaoven implantointi; salasanan varastaminen.

---

DOUG.   Selvä, Paul, tehdään yhteenveto joistakin CISA-ohjeista alkaen: Nämä roistot murtautuvat sisään käyttämällä hyväksi havaittuja ja luotettavia menetelmiä.

---

ANKKA.   He tekevät!

CISA:n tilastot viittaavat siihen, että tämä jengi käyttää vanhaa hyvää tietojenkalastelua, joka onnistui 2/3 hyökkäyksistä.

Kun se ei toimi hyvin, he etsivät korjaamatonta tavaraa.

Lisäksi 1/6 tapauksista he voivat silti päästä sisään käyttämällä RDP:tä… vanhoja hyviä RDP-hyökkäyksiä.

Koska he tarvitsevat vain yhden palvelimen, jonka olet unohtanut.

Ja muuten, CISA raportoi, että kun he ovat sisällä, vaikka he eivät päässeet käyttämään RDP:tä, he näyttävät silti huomaavan, että monilla yrityksillä on melko vapaampi politiikka RDP: n pääsyn suhteen * verkon sisällä*.

[NAURAA] Kuka tarvitsee monimutkaisia ​​PowerShell-skriptejä, joissa voit vain muodostaa yhteyden jonkun toisen tietokoneeseen ja tarkistaa sen omalta näytöltäsi?

---

DOUG.   Päästyään sisään rikolliset yrittävät välttää ohjelmia, jotka voivat ilmeisesti esiintyä haittaohjelmina.

Se tunnetaan myös nimellä "eläminen maasta".

---

ANKKA.   He eivät vain sano: "No, käytetään Microsoft Sysinternalin PsExec-ohjelmaa ja tätä yhtä suosittua PowerShell-komentosarjaa.

Heillä on useita työkaluja, joiden avulla voidaan tehdä useita erilaisia ​​​​hyödyllisiä asioita, IP-numeroiden selvittävistä työkaluista tietokoneiden nukkumisen estämiseen.

Kaikki työkalut, joita hyvin perillä oleva järjestelmänvalvoja saattaa hyvinkin omistaa ja käyttää säännöllisesti.

Ja löyhästi puhuen, nämä roistot tuovat mukanaan vain yhden puhtaan haittaohjelman, ja se on tavara, joka tekee lopullisen sekoituksen.

Muuten, älä unohda, että jos olet ransomware-rikollinen, sinun ei tarvitse edes tuoda omaa salaustyökalupakettiasi.

Voit halutessasi käyttää ohjelmaa, kuten esimerkiksi WinZip tai 7-Zip, joka sisältää toiminnon "Luo arkisto, siirrä tiedostot" (eli poista ne, kun olet laittanut ne arkistoon). "ja salaa ne salasanalla."

Niin kauan kuin roistot ovat ainoita ihmisiä, jotka tietävät salasanan, he voivat silti tarjota myytävänsä sen takaisin sinulle…

---

DOUG.   Ja lisää vain hieman suolaa haavaan: Ennen tiedostojen sekoitusta hyökkääjät yrittävät monimutkaistaa palautuspolkuasi.

---

ANKKA.   Kuka tietää, ovatko he luoneet uusia salaisia ​​järjestelmänvalvojatilejä?

Asennettu tarkoituksella bugiset palvelimet?

Poistettiinko laastarit tarkoituksella, jotta he tietävät tavan päästä takaisin ensi kerralla?

Jätitkö näppäinloggerit taakse, missä ne aktivoituvat jossain tulevassa hetkessä ja saavat ongelmasi alkamaan alusta?

Ja he tekevät niin, koska on heidän edukseen, että kun toivut kiristysohjelmahyökkäyksestä, et toivu kokonaan.

---

DOUG.   Selvä, artikkelin lopussa on hyödyllisiä linkkejä.

Yksi linkki, josta saat lisätietoja Sophosin hallinnoima tunnistus ja vastaus [MDR] ja toinen, joka johtaa sinut Active Adversary Playbook, joka on oman John Shierimme kokoama pala.

Muutamia poimintoja ja oivalluksia, joiden avulla voit vahvistaa suojaasi.

Tunne vihollisesi! Opi kuinka tietoverkkorikollisuuden vastustajat pääsevät sisään…

---

ANKKA.   Se on kuin meta-versio CISA:n "Royal ransomware" -raportista.

Tapauksissa, joissa uhri ei tajunnut, että hyökkääjät olivat heidän verkossaan ennen kuin oli liian myöhäistä, soitti sitten Sophos Rapid Response -palveluun ja sanoi: "Voi helvetti, luulemme joutuneemme kiristysohjelmien uhriksi... mutta mitä muuta tapahtui? ”

Ja tämä on se, mitä me itse asiassa löysimme tosielämässä useiden usein toisiinsa liittymättömien roistojen useista hyökkäyksistä.

Joten se antaa sinulle hyvin, hyvin laajan käsityksen TTP:istä (työkaluista, tekniikoista ja menettelyistä), jotka sinun on oltava tietoisia ja joita vastaan ​​voit puolustautua.

Koska hyvä uutinen on, että pakottamalla roistot käyttämään kaikkia näitä erillisiä tekniikoita, jotta yksikään heistä ei laukaise massiivista hälytystä yksinään…

…annat itsellesi taistelumahdollisuuden havaita ne ajoissa, jos vain [A] tiedät mistä etsiä ja [B] löytää aikaa tehdä niin.

---

DOUG.   Erittäin hyvä.

Ja meillä on lukijan kommentti tähän artikkeliin.

Naked Securityn lukija Andy kysyy:

Miten Sophos Endpoint Protection -paketit kestävät tämäntyyppisiä hyökkäyksiä?

Olen nähnyt omakohtaisesti, kuinka hyvä tiedostojen lunnasohjelmasuojaus on, mutta jos se poistetaan käytöstä ennen salauksen alkamista, luotamme luultavasti suurimmaksi osaksi peukalointisuojaukseen?

---

ANKKA.   No toivottavasti ei!

Toivon, että Sophos Protectionin asiakas ei vain sanoisi: "No, käytetään vain sitä pientä osaa tuotteesta, joka on olemassa suojellakseen sinua eräänlaisena Last Chance -salonana… mitä me kutsumme CryptoGuardiksi.

Se on moduuli, joka sanoo: "Hei, joku tai jokin yrittää sekoittaa suuren määrän tiedostoja tavalla, joka saattaa olla aito ohjelma, mutta ei vain näytä oikealta."

Joten vaikka se olisikin laillista, se todennäköisesti sotkee ​​asiat, mutta melkein varmasti joku yrittää tehdä sinulle vahinkoa.

---

DOUG.   Kyllä, CryptoGuard on kuin kypärä, jota käytät lentäessäsi pyöräsi ohjaustangon yli.

Asiat ovat muuttuneet melko vakaviksi, jos CryptoGuard alkaa toimia!

---

ANKKA.   Useimmissa tuotteissa, mukaan lukien Sophos nykyään, on peukalointisuojauselementti, joka yrittää mennä askeleen pidemmälle, joten jopa järjestelmänvalvojan on hypättävä vanteiden läpi sammuttaakseen tietyt tuotteen osat.

Tämä vaikeuttaa sen tekemistä ollenkaan ja vaikeampaa automatisoida, sammuttaa se kaikilta.

Mutta sitä pitää miettiä…

Jos verkkohuijareita pääsee verkkoosi ja heillä on todella "sysadmin-ekvivalenssi" verkossasi; jos he ovat onnistuneet saamaan tehokkaasti samat valtuudet kuin normaalilla järjestelmänvalvojallasi (ja se on heidän todellinen tavoitteensa; sitä he todella haluavat)…

Ottaen huomioon, että Sophosin kaltaista tuotetta käyttävät järjestelmänvalvojat voivat määrittää, purkaa ja asettaa ympäristöasetukset…

…sitten jos roistot *ovat* järjestelmänvalvojia, se on tavallaan kuin he olisivat jo voittaneet.

Ja siksi sinun on löydettävä ne etukäteen!

Joten teemme siitä mahdollisimman vaikean ja tarjoamme mahdollisimman monta suojaustasoa, toivottavasti yritämme pysäyttää tämän asian ennen kuin se edes tulee sisään.

Ja juuri kun puhumme siitä, Doug (en halua tämän kuulostavan myyntijuhlilta, mutta se on vain ohjelmistomme ominaisuus, josta pidän)…

Meillä on niin sanottu "aktiivinen vihollinen" -komponentti!

Toisin sanoen, jos havaitsemme verkossasi toimintaa, joka viittaa vahvasti esimerkiksi sellaisiin asioihin, joita järjestelmänvalvojasi eivät aivan tekisi tai eivät tekisi niin…

…”aktiivinen vihollinen” sanoo: “Tiedätkö mitä? Tällä hetkellä aiomme nostaa suojausta korkeammalle tasolle kuin tavallisesti siedät."

Ja se on hieno ominaisuus, koska se tarkoittaa, että jos roistot pääsevät verkkoosi ja alkavat yrittää tehdä epämiellyttäviä asioita, sinun ei tarvitse odottaa, kunnes huomaat ja *sitten* päättää: "Mitä numeroita muutamme?"

Doug, se oli melko pitkä vastaus näennäisesti yksinkertaiseen kysymykseen.

Mutta haluan vain lukea, mitä kirjoitin vastauksessani Naked Securityn kommenttiin:

Tavoitteemme on olla valppaana koko ajan ja puuttua asiaan mahdollisimman varhaisessa vaiheessa, niin automaattisesti, turvallisesti ja päättäväisesti kuin mahdollista – kaikenlaisiin kyberhyökkäuksiin, ei vain kiristysohjelmiin.

---

DOUG.   Selvä, hyvin sanottu!

Kiitos paljon, Andy, että lähetit sen.

Jos sinulla on mielenkiintoinen tarina, kommentti tai kysymys, jonka haluat lähettää, luemme sen mielellämme podcastista.

Voit lähettää sähköpostia tips@sophos.com, voit kommentoida mitä tahansa artikkeleistamme tai voit lyödä meitä sosiaalisessa mediassa: @NakedSecurity.

Se on tämän päivän esitys; kiitos paljon kuuntelusta.

Paul Ducklinille olen Doug Aamoth, muistutan sinua. Seuraavaan kertaan asti…

---

Molemmat.   Pysy turvassa!

[MUSIIKKIMODEEMI]