S3 Odc. 125: Gdy sprzęt zabezpieczający ma luki w zabezpieczeniach [Audio + Tekst]

Nie ma odtwarzacza audio poniżej? Słuchać bezpośrednio na Soundcloudzie.

DOUG.   Ransomware, więcej ransomware i luki w zabezpieczeniach modułu TPM.

Wszystko to i wiele więcej w podkaście Naked Security.

[MOM MUZYCZNY]

Witam wszystkich w podkaście.

Jestem Doug Aamoth; to jest Paul Ducklin.

Paul, jak się masz dzisiaj?

---

KACZKA.   Śnieg i deszcz ze śniegiem, Doug.

Więc to była zimna jazda do studia.

Używam cudzysłowów… nie dla „jazdy”, dla „studia”.

To naprawdę nie jest studio, ale to *moje* studio!

Małe sekretne miejsce w siedzibie głównej Sophos do nagrywania podcastu.

A tutaj jest cudownie i ciepło, Doug!

---

DOUG.   W porządku, jeśli ktoś słucha… wpadnij na wycieczkę; Paweł chętnie oprowadzi Cię po okolicy.

I jestem bardzo podekscytowany W tym tygodniu w historii technologii, Paweł.

W tym tygodniu, 06 marca 1992, uśpiony wirus sektora startowego Michelangelo ożył, nadpisując sektory dysków twardych swoich ofiar.

Z pewnością oznaczało to koniec świata dla komputerów na całym świecie, ponieważ media potknąły się o siebie, aby ostrzec ludzi o zbliżającej się zagładzie?

Jednak zgodnie z raportem z konferencji Virus Bulletin z 1994 r., cytuję:

Paul Ducklin, energiczny i zabawny mówca, jest głęboko przekonany, że pod wieloma względami wysiłek edukacyjny podejmowany zarówno przez korporacje, jak i media chybił celu..

Paul, byłeś tam, człowieku!

---

KACZKA.   Byłem, Doug.

Jak na ironię, 6 marca był jedynym dniem, w którym Michał Anioł nie był wirusem.

W pozostałe dni po prostu rozprzestrzeniał się jak pożar.

Ale 06 marca brzmiało to: „Aha! To dzień ładunku!”

A na dysku twardym przeszłoby przez pierwsze 256 ścieżek, pierwsze 4 głowice, 17 sektorów na ścieżkę… co było mniej więcej „lewym dolnym rogiem”, jeśli chcesz, każdej strony większości używanych dysków twardych w tym czasie.

Tak więc zajęłoby to około 8.5 MB fragmentu dysku twardego.

Nie tylko zniszczył wiele danych, ale zrujnował takie rzeczy, jak tabele alokacji plików.

Możesz więc odzyskać niektóre dane, ale był to ogromny i niepewny wysiłek dla każdego urządzenia, które chciałeś odzyskać.

To tyle samo pracy dla drugiego komputera, co dla pierwszego, dla trzeciego komputera jak dla drugiego… bardzo, bardzo trudne do zautomatyzowania.

Na szczęście, jak mówisz, było to bardzo przereklamowane w mediach.

W rzeczywistości rozumiem, że wirus został po raz pierwszy przeanalizowany przez nieżyjącego już Rogera Riordana, który był znanym australijskim badaczem antywirusów w latach 1990., i faktycznie natknął się na niego w lutym 1991 roku.

I chyba rozmawiał o tym ze swoim kumplem, a jego kumpel powiedział: „Och, 6 marca, to są moje urodziny. Czy wiesz, że to także urodziny Michała Anioła?

Ponieważ myślę, że ludzie urodzeni 6 marca mogą po prostu wiedzieć, że…

Oczywiście to była taka modna i fajna nazwa… i rok później, kiedy miała szansę się rozpowszechnić i, jak mówisz, często leżała uśpiona, wtedy wróciła.

Nie uderzył w miliony komputerów, jak zdawały się obawiać media i jak lubił mawiać nieżyjący już John McAfee, ale to pocieszenie dla każdego, kto został trafiony, ponieważ prawie wszystko straciłeś.

Niezupełnie wszystko, ale odzyskanie części z tego kosztowało cię małą fortunę… prawdopodobnie niekompletnie, prawdopodobnie niewiarygodnie.

Złe w tym było to, że rozprzestrzeniało się na dyskietkach; i ponieważ rozprzestrzenił się w sektorze rozruchowym; a także dlatego, że w tamtych czasach prawie każdy komputer uruchamiałby się z dyskietki, gdyby po prostu znalazła się w niej dyskietka; i ponieważ nawet puste dyskietki miały sektor startowy i każdy kod w nim działał, nawet jeśli wszystko, do czego to prowadziło, to komunikat typu „Dysk niesystemowy lub błąd dysku, wymień i spróbuj ponownie”…

…było już za późno.

Tak więc, jeśli po prostu przez pomyłkę zostawiłeś dysk w napędzie, to po włączeniu zasilania następnego ranka, zanim zobaczyłeś komunikat „Dysk niesystemowy lub błąd dysku” i pomyślałeś: „Och, wysunę dyskietkę out i uruchom ponownie, uruchom z dysku twardego”…

…do tego czasu wirus był już na dysku twardym i rozprzestrzeniał się na każdą posiadaną dyskietkę.

Tak więc, nawet gdybyś miał wirusa, a potem go usunął, gdybyś nie przejrzał całego korporacyjnego zapasu dyskietek, gdzieś tam byłaby Tyfusowa Maria, która mogłaby go ponownie wprowadzić w dowolnym momencie.

---

DOUG.   Jest fascynująca historia.

Cieszę się, że byłeś tam, aby trochę posprzątać!

I posprzątajmy coś jeszcze.

Ten moduł zaufanej platformy… czasem kontrowersyjny.

Co się dzieje, gdy kod wymagany do ochrony komputera jest sam podatne, Paweł?

Poważne zabezpieczenia: luki w TPM 2.0 — czy Twoje superbezpieczne dane są zagrożone?

---

KACZKA.   Jeśli chcesz zrozumieć całą tę sprawę z modułem TPM, co brzmi jak świetny pomysł, prawda… jest taka mała płytka-córka, którą podłączasz do małego gniazda na płycie głównej (a może jest ona fabrycznie wbudowana) i ma jedną mały, specjalny układ koprocesora, który po prostu wykonuje te podstawowe czynności kryptograficzne.

Bezpieczny rozruch; Podpisy cyfrowe; mocne miejsce do przechowywania kluczy kryptograficznych… więc nie jest to z natury zły pomysł.

Problem polega na tym, że możesz to sobie wyobrazić, ponieważ jest to takie małe urządzenie i ma tylko ten podstawowy kod, z pewnością dość łatwo jest go rozebrać i uprościć?

Cóż, tylko specyfikacje modułu Trusted Platform Module lub TPM… mają łącznie: 306 stron, 177 stron, 432 strony, 498 stron, 146 stron i wielki zły chłopiec na końcu, „Część czwarta: procedury wspierające – Code”, gdzie są błędy, 1009 stron PDF, Doug.

---

DOUG.   [ŚMIECH] Wystarczy trochę lekkiej lektury!

---

KACZKA.   [wzdycha] Tylko trochę lekkiej lektury.

Pracy jest więc dużo. i dużo miejsca na robaki.

A najnowsze… cóż, jest ich całkiem sporo, które zostały odnotowane w najnowszej erracie, ale dwie z nich faktycznie otrzymały numery CVE.

Jest CVE-2023-1017 i CVE-2023-1018.

I niestety są to błędy, luki w zabezpieczeniach, które można łaskotać (lub osiągać) za pomocą poleceń, których może użyć normalny program w przestrzeni użytkownika, na przykład coś, co administrator systemu lub ty sam możesz uruchomić, tylko po to, aby poprosić moduł TPM o zrobienie coś bezpiecznego dla Ciebie.

Możesz więc robić takie rzeczy, jak: „Hej, idź i zdobądź dla mnie losowe liczby. Idź i zbuduj mi klucz kryptograficzny. Odejdź i zweryfikuj ten podpis cyfrowy”.

I fajnie, jeśli odbywa się to w osobnym małym procesorze, z którym nie może zadzierać ani procesor, ani system operacyjny – to świetny pomysł.

Ale problem polega na tym, że w kodzie trybu użytkownika, który mówi: „Oto polecenie, które ci przedstawiam”…

…niestety rozszyfrowanie parametrów, które są przekazywane w celu wykonania żądanej funkcji – jeśli złapiesz sposób dostarczania tych parametrów do modułu TPM, możesz go oszukać, aby albo odczytał dodatkową pamięć (przepełnienie bufora odczytu), albo co gorsza, niejako nadpisywanie rzeczy należących do następnego faceta.

Trudno sobie wyobrazić, w jaki sposób te błędy mogłyby zostać wykorzystane do takich rzeczy, jak wykonanie kodu w module TPM (ale, jak już wielokrotnie mówiliśmy, „nigdy nie mów nigdy”).

Ale z pewnością jasne jest, że kiedy masz do czynienia z czymś, co, jak powiedziałeś na początku: „Potrzebujesz tego, aby twój komputer był bardziej bezpieczny. Chodzi o poprawność kryptograficzną”…

…pomysł, że coś wycieknie nawet dwa bajty czyichś cennych tajnych danych, których nikt na świecie nie powinien znać?

Pomysł wycieku danych, nie mówiąc już o przepełnieniu bufora zapisu w takim module, jest rzeczywiście dość niepokojący.

Więc to jest to, co musisz załatać.

I niestety dokument z erratą nie mówi: „Oto błędy; oto jak je załatać”.

Jest tylko opis błędów i opis, jak powinieneś poprawić swój kod.

Przypuszczalnie więc każdy zrobi to na swój sposób, a następnie te zmiany zostaną przefiltrowane z powrotem do centralnego wdrożenia referencyjnego.

Dobrą wiadomością jest to, że istnieje implementacja modułu TPM oparta na oprogramowaniu [libtpms] dla osób korzystających z maszyn wirtualnych… już się przyjrzały i wymyśliły kilka poprawek, więc to dobre miejsce na rozpoczęcie.

---

DOUG.   Śliczny.

W międzyczasie skontaktuj się z dostawcami sprzętu i sprawdź, czy mają dla Ciebie jakieś aktualizacje.

---

KACZKA.   Tak.

---

DOUG.   Przejdziemy dalej… do początków oprogramowania ransomware, które obfitowało w wymuszenia, a potem sprawy skomplikowały się w przypadku „podwójnego wymuszenia”.

A kilka osób właśnie było aresztowany w systemie podwójnego wymuszenia, co jest dobrą wiadomością!

Podejrzani o ransomware DoppelPaymer aresztowani w Niemczech i na Ukrainie

---

KACZKA.   Tak, to gang ransomware znany jako DoppelPaymer. („Doppel” oznacza Podwójna po niemiecku.)

Więc pomysł jest taki, że to podwójne uderzenie.

Tam szyfrują wszystkie twoje pliki i mówią: „Sprzedamy ci klucz deszyfrujący. A tak przy okazji, jeśli myślisz, że twoje kopie zapasowe wystarczą, lub jeśli myślisz o tym, żeby powiedzieć nam, żebyśmy spadali i nie płacić nam pieniędzy, po prostu pamiętaj, że najpierw ukradliśmy wszystkie twoje pliki. ”

„Tak więc, jeśli nie zapłacisz i *możesz* samodzielnie odszyfrować i *możesz* uratować swój biznes… ujawnimy twoje dane”.

Dobrą wiadomością w tej sprawie jest to, że niektórzy podejrzani zostali przesłuchani i aresztowani, a wiele urządzeń elektronicznych zostało skonfiskowanych.

Więc nawet jeśli jest to, jeśli chcesz, pocieszenie dla osób, które padły ofiarą ataków DoppelPaymer w ciągu dnia, oznacza to przynajmniej, że organy ścigania nie poddają się, gdy cybergany wydają się spuszczać głowy.

Najwyraźniej otrzymali aż 40 milionów dolarów w ramach szantażu w samych Stanach Zjednoczonych.

A oni notorycznie atakowali Szpital Uniwersytecki w Düsseldorfie w Niemczech.

Jeśli oprogramowanie ransomware ma słaby punkt…

---

DOUG.   Poważnie!

---

KACZKA.   …nie to, że to dobrze, że ktoś zostaje uderzony, ale pomysł, że faktycznie przejmujesz szpital, zwłaszcza szpital kliniczny?

To chyba najniższy z najniższych, prawda?

---

DOUG.   I mamy kilka rad.

Tylko dlatego, że ci podejrzani zostali aresztowani: Nie wyłączaj swojej ochrony.

---

KACZKA.   Nie, w rzeczywistości Europol przyznaje, w swoich słowach: „Według doniesień, Doppelpaymer od tego czasu zmienił nazwę [jako gang ransomware] na „Grief”.

Problem polega na tym, że kiedy złapiesz kilka osób w cybergangu, być może nie znajdziesz wszystkich serwerów…

…jeśli przejmiesz serwery, niekoniecznie możesz cofnąć się do poszczególnych osób.

To robi wgniecenie, ale to nie znaczy, że ransomware się skończyło.

---

DOUG.   I w tym punkcie: Nie skupiaj się wyłącznie na oprogramowaniu ransomware.

---

KACZKA.   W rzeczy samej!

Myślę, że gangi takie jak DoppelPaymer jasno to wyjaśniają, prawda?

Zanim przyjdą pomieszać twoje pliki, już je ukradli.

Tak więc, zanim rzeczywiście otrzymasz część związaną z oprogramowaniem ransomware, dokonali już N innych elementów cyberprzestępczości: włamania; rozglądanie się; prawdopodobnie otwierając kilka tylnych drzwi, aby mogli wrócić później, lub sprzedać dostęp następnemu facetowi; i tak dalej.

---

DOUG.   Co łączy się z następną radą: Nie czekaj, aż alerty o zagrożeniach pojawią się na pulpicie nawigacyjnym.

Być może łatwiej to powiedzieć niż zrobić, w zależności od dojrzałości organizacji.

Ale jest dostępna pomoc!

---

KACZKA.   [ŚMIECH] Myślałem, że zamierzasz wspomnieć Zarządzanie wykrywaniem i reagowaniem Sophos przez chwilę, Doug.

---

DOUG.   Starałem się go nie sprzedawać.

Ale możemy pomóc!

Jest tam pomoc; Powiadom nas.

---

KACZKA.   Luźno mówiąc, im wcześniej tam dotrzesz; im wcześniej zauważysz; im bardziej proaktywne jest Twoje zabezpieczenie prewencyjne…

… tym mniejsze jest prawdopodobieństwo, że oszuści będą w stanie przeprowadzić atak ransomware.

A to może być tylko dobre.

---

DOUG.   I na koniec, ale nie najmniej: Bez osądu, ale nie płać, jeśli możesz tego uniknąć.

---

KACZKA.   Tak, myślę, że mamy obowiązek to powiedzieć.

Ponieważ płacenie finansuje kolejną falę cyberprzestępczości, na pewno wielką.

Po drugie, możesz nie dostać tego, za co płacisz.

---

DOUG.   Cóż, przejdźmy od jednego przedsiębiorstwa przestępczego do drugiego.

A tak się dzieje, gdy przestępcze przedsiębiorstwo wykorzystuje każdy Narzędzie, technika i procedura w książce!

Federalni ostrzegają przed prawdziwym atakiem ransomware Royal, który obejmuje całą gamę TTP

---

KACZKA.   To jest z CISA - USA Agencja ds. Bezpieczeństwa cybernetycznego i bezpieczeństwa infrastruktury.

W tym przypadku w biuletynie AA23 (to jest w tym roku) myślnik 061A-dla-alfy mówi o gangu o nazwie Royal ransomware.

Królewski przez duże R, Doug.

Złą rzeczą w tym gangu jest to, że ich narzędzia, techniki i procedury wydają się być „do wszystkiego, co jest konieczne do obecnego ataku”.

Malują bardzo szerokim pędzlem, ale atakują też bardzo głęboką łopatą, jeśli wiecie, co mam na myśli.

To zła wiadomość.

Dobrą wiadomością jest to, że jest bardzo dużo do nauczenia się, a jeśli potraktujesz to wszystko poważnie, będziesz mieć bardzo szeroką profilaktykę i ochronę nie tylko przed atakami ransomware, ale także przed tym, o czym wspomniałeś wcześniej w segmencie Doppelpaymer: „Nie” nie skupiaj się tylko na oprogramowaniu ransomware”.

Martw się o wszystkie inne rzeczy, które do tego prowadzą: rejestrowanie klawiszy; kradzież danych; implantacja tylnym wejściem; kradzież hasła.

---

DOUG.   W porządku, Paul, podsumujmy niektóre wnioski z porad CISA, zaczynając od: Ci oszuści włamują się przy użyciu wypróbowanych i zaufanych metod.

---

KACZKA.   Tak!

Statystyki CISA wskazują, że ten konkretny gang wykorzystuje stary, dobry phishing, który odniósł sukces w 2/3 ataków.

Kiedy to nie działa dobrze, szukają niezałatanych rzeczy.

Ponadto w 1/6 przypadków nadal są w stanie uzyskać dostęp za pomocą protokołu RDP… stare dobre ataki RDP.

Ponieważ potrzebują tylko jednego serwera, o którym zapomniałeś.

Nawiasem mówiąc, CISA poinformowało, że kiedy już znajdą się w środku, nawet jeśli nie uzyskali dostępu za pomocą protokołu RDP, wydaje się, że nadal stwierdzają, że wiele firm ma raczej bardziej liberalną politykę dotyczącą dostępu do protokołu RDP * wewnątrz* ich sieci.

[ŚMIECH] Kto potrzebuje skomplikowanych skryptów PowerShell, w których można po prostu połączyć się z czyimś komputerem i sprawdzić to na własnym ekranie?

---

DOUG.   Po wejściu przestępcy starają się unikać programów, które w oczywisty sposób mogą wyglądać jak złośliwe oprogramowanie.

Jest to również znane jako „życie z ziemi”.

---

KACZKA.   Nie mówią po prostu: „Cóż, użyjmy programu PsExec firmy Microsoft Sysinternal i użyjmy tego jednego popularnego skryptu PowerShell.

Mają dowolną liczbę narzędzi do robienia wielu różnych rzeczy, które są całkiem przydatne, od narzędzi, które znajdują numery IP, po narzędzia, które powstrzymują komputery od uśpienia.

Wszystkie narzędzia, które dobrze poinformowany administrator systemu może równie dobrze mieć i regularnie używać.

I, luźno mówiąc, jest tylko jeden kawałek czystego złośliwego oprogramowania, które ci oszuści wprowadzają, i to jest to, co robi ostateczne szyfrowanie.

Nawiasem mówiąc, nie zapominaj, że jeśli jesteś przestępcą ransomware, nie musisz nawet przynosić własnego zestawu narzędzi do szyfrowania.

Możesz, jeśli chcesz, użyć programu takiego jak, powiedzmy, WinZip lub 7-Zip, który zawiera funkcję „Utwórz archiwum, przenieś pliki” (co oznacza usunięcie ich po umieszczeniu ich w archiwum), „i zaszyfruj je hasłem”.

Tak długo, jak oszuści są jedynymi ludźmi, którzy znają hasło, mogą nadal oferować ci odsprzedanie go…

---

DOUG.   I żeby dodać trochę soli do rany: Przed zaszyfrowaniem plików atakujący próbują skomplikować drogę do odzyskania.

---

KACZKA.   Kto wie, czy utworzyli nowe tajne konta administratora?

Celowo zainstalowane wadliwe serwery?

Celowo usunięto poprawki, aby wiedzieć, jak wrócić następnym razem?

Zostawiłeś keyloggery, które aktywują się w przyszłości i sprawią, że twoje kłopoty zaczną się od nowa?

Robią to, ponieważ jest to bardzo korzystne dla nich, że kiedy odzyskujesz siły po ataku ransomware, nie wyzdrowiejesz całkowicie.

---

DOUG.   W porządku, mamy kilka pomocnych linków na dole artykułu.

Jeden link, który zabierze Cię, aby dowiedzieć się więcej Zarządzanie wykrywaniem i reagowaniem Sophos [MDR] i kolejny, który prowadzi do Poradnik aktywnego przeciwnika, który jest dziełem naszego własnego Johna Shiera.

Kilka wniosków i spostrzeżeń, których możesz użyć, aby lepiej wzmocnić swoją ochronę.

Znasz swojego wroga! Dowiedz się, jak wkraczają przeciwnicy cyberprzestępcy…

---

KACZKA.   To jest jak meta-wersja tego raportu CISA „Royal ransomware”.

To przypadki, w których ofiara nie zdawała sobie sprawy, że osoby atakujące były w jej sieci, dopóki nie było za późno, a następnie zadzwoniła do Sophos Rapid Response i powiedziała: „O rany, myślimy, że padliśmy ofiarą oprogramowania wymuszającego okup… ale co jeszcze się działo? ”

I to właśnie znaleźliśmy w prawdziwym życiu, w szerokim zakresie ataków wielu często niezwiązanych ze sobą oszustów.

Daje więc bardzo, bardzo szerokie pojęcie o zakresie TTP (narzędzi, technik i procedur), których musisz być świadomy i przed którymi możesz się bronić.

Ponieważ dobrą wiadomością jest to, że zmuszając oszustów do korzystania z tych wszystkich oddzielnych technik, tak aby żadna z nich sama nie wywołała ogromnego alarmu…

… dajesz sobie szansę na wczesne wykrycie ich, jeśli tylko [A] wiesz, gdzie szukać, a [B] znajduje na to czas.

---

DOUG.   Bardzo dobrze.

I mamy komentarz czytelnika do tego artykułu.

Andy, czytelnik nagiego Security, pyta:

Jak pakiety Sophos Endpoint Protection radzą sobie z tego typu atakami?

Widziałem na własne oczy, jak dobra jest ochrona plików przed oprogramowaniem ransomware, ale jeśli zostanie wyłączona przed rozpoczęciem szyfrowania, to chyba w większości polegamy na ochronie antysabotażowej?

---

KACZKA.   Cóż, mam nadzieję, że nie!

Mam nadzieję, że klient Sophos Protection nie powie po prostu: „Cóż, uruchommy tylko niewielką część produktu, który ma cię chronić jako coś w rodzaju saloonu ostatniej szansy… tego, co nazywamy CryptoGuard.

To jest moduł, który mówi: „Hej, ktoś lub coś próbuje zaszyfrować dużą liczbę plików w sposób, który może być prawdziwym programem, ale po prostu nie wygląda dobrze”.

Więc nawet jeśli jest to zgodne z prawem, prawdopodobnie wszystko zepsuje, ale prawie na pewno jest to ktoś, kto próbuje wyrządzić ci krzywdę.

---

DOUG.   Tak, CryptoGuard jest jak kask, który zakładasz, gdy przelatujesz nad kierownicą swojego roweru.

Sprawy stały się dość poważne, jeśli CryptoGuard zaczyna działać!

---

KACZKA.   Większość produktów, w tym obecnie Sophos, ma element ochrony antysabotażowej, który próbuje pójść o krok dalej, tak że nawet administrator musi przeskoczyć przez obręcze, aby wyłączyć niektóre części produktu.

To sprawia, że ​​trudniej jest to zrobić w ogóle i trudniej zautomatyzować, aby wyłączyć to dla wszystkich.

Ale trzeba to przemyśleć…

Jeśli cyberprzestępcy dostaną się do Twojej sieci i naprawdę mają w niej „odpowiednik administratora sysadmina”; jeśli udało im się skutecznie uzyskać te same uprawnienia, które mają twoi zwykli administratorzy systemu (i to jest ich prawdziwy cel; tego naprawdę chcą)…

Biorąc pod uwagę, że administratorzy systemu obsługujący produkt taki jak Sophos mogą konfigurować, dekonfigurować i ustawiać ustawienia otoczenia…

… to jeśli oszuści *są* administratorami systemu, to tak jakby już wygrali.

I dlatego musisz je znaleźć z wyprzedzeniem!

Utrudniamy więc to tak bardzo, jak to możliwe, i zapewniamy tyle warstw ochrony, ile tylko możemy, miejmy nadzieję, że spróbujemy powstrzymać tę rzecz, zanim jeszcze się pojawi.

A skoro już o tym mowa, Doug (nie chcę, żeby to zabrzmiało jak marketingowy schpiel, ale to po prostu cecha naszego oprogramowania, która raczej mi się podoba)…

Mamy coś, co nazywam komponentem „aktywnego przeciwnika”!

Innymi słowy, jeśli wykryjemy zachowanie w Twojej sieci, które zdecydowanie sugeruje rzeczy, na przykład, których twoi administratorzy nie do końca by zrobili lub nie zrobiliby w ten sposób…

…”aktywny przeciwnik przeciwnik” mówi: „Wiesz co? W tej chwili zamierzamy zwiększyć ochronę do poziomu wyższego, niż normalnie tolerujecie”.

Jest to świetna funkcja, ponieważ oznacza, że ​​jeśli oszuści dostaną się do Twojej sieci i zaczną próbować robić niepożądane rzeczy, nie musisz czekać, aż to zauważysz i *potem* zdecydujesz: „Które tarcze mamy zmienić?”

Doug, to była dość długa odpowiedź na pozornie proste pytanie.

Ale pozwólcie, że przeczytam tylko, co napisałem w mojej odpowiedzi na komentarz do Naked Security:

Naszym celem jest być czujnym przez cały czas i interweniować tak wcześnie, automatycznie, tak bezpiecznie i zdecydowanie, jak to tylko możliwe – w przypadku wszelkiego rodzaju cyberataków, nie tylko ransomware.

---

DOUG.   Dobrze, dobrze powiedziane!

Dziękuję bardzo, Andy, za przesłanie tego.

Jeśli masz ciekawą historię, komentarz lub pytanie, które chciałbyś przesłać, chętnie przeczytamy o tym w podkaście.

Możesz wysłać e-mail na adres tips@sophos.com, skomentować jeden z naszych artykułów lub skontaktować się z nami na portalu społecznościowym: @NakedSecurity.

To nasz program na dzisiaj; bardzo dziękuję za wysłuchanie.

Dla Paula Ducklina jestem Doug Aamoth i przypominam. Do następnego razu, do…

---

OBIE.   Bądź bezpieczny!

[MOM MUZYCZNY]