Topic outline

  • General

  • Internet of Things: korzyści i wyzwania, Etyka a rewolucja informatyczna.

    Internet of Things: korzyści i wyzwania, Etyka a rewolucja informatyczna.

  • Cyberbezpieczeństwo i wykrywanie ataków za pomocą programów IDS.

    Cyberbezpieczeństwo

    Zrozumienie istoty cyberterroryzmu wymaga poznania oraz analizy pojęć oraz rzeczy, które są z nim związane. W pierwszej kolejności należy się skupić na informacji. Informacja jest to wiedza dotycząca obiektów, takich jak fakty, zdarzenia, przedmioty, procesy lub idee, zawierające koncepcje, mające w ustalonym kontekście określone znaczenie. Dane to reprezentacja informacji posiadająca interpretacje oraz możliwość przetwarzania. Przetwarzanie danych to wykonywanie na nich operacji, natomiast przetwarzanie informacji to wykonywanie operacji na informacji, w tym przetwarzanie danych [1]. Z pojęciem informacji wiąże się również wiedza, jak zostało to już wspomniane. Wiedza może istnieć w dwóch formach: fizycznej – dokumenty, opracowania, elektroniczne bazy danych; oraz w formie niematerialnej – wiedza poszczególnych osób. Wszelka dostępna wiedza oraz informacje dotyczące państwa lub organizacji powinny być zabezpieczone. Bezpieczeństwo to stan lub ochrona przed niekontrolowanymi stratami oraz skutkami takich strat. Są to również usługi i działania, które zapewniają integralność, poufność oraz dostępność. Należy zatem chronić dane przed przypadkowym lub umyślnym ich niszczeniem, poddawaniem modyfikacjom, ujawnianiem oraz nieuprawnionym dostępem. Cyberprzestrzeń jest ważnym elementem dzisiejszego świata. Obecnie większość informacji oraz danych przechowywana jest w cyberprzestrzeni, czyli w miejscu, gdzie możliwe jest gromadzenie, wymiana oraz przetwarzanie informacji poprzez systemy teleinformatyczne oraz użytkowników, którzy obsługują te systemy. Zwykli ludzie prowadzą swoje profile w serwisach społecznościowych, firmy prezentują swoje rozwiązania zachęcając to ich kupienia, prowadzone są różne zbiórki oraz inne przedsięwzięcia celem pomocy innym ludziom.

    Cyberprzestrzeń to także miejsce, w którym działają pospolici przestępcy oraz terroryści. Każde nielegalne działanie wykonane w sieci teleinformatycznej, atak wymierzony w zasoby materialne oraz osobowe lub pośrednio z nimi związane to tak zwany cyberatak. Cyberatak może się przejawiać w niszczeniu zasobów sieciowych, naruszaniu integralności danych, ich modyfikacji oraz w narażaniu ludzkiego życia na niebezpieczeństwo. Należy się zastanowić, co sprzyja przeprowadzaniu cyberataków oraz działalności przestępczej w cyberprzestrzeni. Obserwacja oraz analiza środowiska teleinformatycznego ukazują kilka przyczyn, które umożliwiają taką działalność. Pierwsza przyczyna to fakt, że atak może zostać może zostać przeprowadzony na wielką skalę z uwagi na powszechność dostępu do sieci oraz jej zasięgu. Kolejny powód to koszt takiego ataku – łatwy i często bezpłatny dostęp do różnych programów oraz narzędzi umożliwiających przeprowadzenie działania. Atakujący może zamaskować swoje położenie oraz zacierać ślady swojej działalności, znacząco utrudniając jego namierzenie oraz zidentyfikowanie. Cyberatak ma taką przewagę nad tradycyjną formą ataku, że jest względnie bezpieczny dla atakującego, natomiast jego skutki mogą być porównywalne a nawet większe. Atak w cyberprzestrzeni może być przeprowadzony nawet przez jedną odpowiednio przygotowaną osobę, a więc nie wymaga zaangażowania do tego celu wielkich sił i środków. Cyberatak ma również ważną cechę – może dotyczyć zarówno państw, organizacji, firm jak i zwykłych ludzi. Świadomość takiego zagrożenia może mieć trudne do przewidzenia konsekwencje, np. wywołanie powszechnej paniki oraz strachu w społeczeństwie [2].

    Cyberterroryzm

    Terroryzm to działania, które mają na celu wywołanie strachu i paniki w celu osiągnięcia określonych zamierzeń. Cyberterroryzm to cyberprzestępstwo o charakterze terrorystycznym. W szerszym ujęciu można powiedzieć, iż cyberterroryzm to terroryzm prowadzony w cyberprzestrzeni, przez osoby lub organizacje terrorystyczne, przeciwko zasobom teleinformatycznym, w celu osiągnięcia określonego celu, często politycznego lub ideologicznego. Cyberterroryzm jest bardzo szkodliwym oraz niebezpiecznym zagrożeniem we współczesnym świecie. Może być wymierzony w konkretne osoby, organizacje, państwa czy całe rejony. Analiza częstości występowania ataków w cyberprzestrzeni pozwala stwierdzić, iż pomimo stosowania różnych zabezpieczeń oraz metod przeciwdziałania atakom, ich liczba będzie stale wzrastać. Wynika to z faktu, iż cyberprzestępcy oraz cyberterroryści moją coraz większą wiedzę, którą mogą się dzielić między sobą. Rozwój nauki i technologii spowodował, że dzisiaj każdy człowiek ma kilka urządzeń ze stałym dostępem do sieci. Każdy może stać się obiektem ataku lub być jego częścią. Cyberterroryści poprzez przeprowadzanie ataków próbują zniszczyć psychicznie i fizycznie swoich wrogów, podważyć ich tożsamość oraz dorobek. Dążą również do tego, aby narzucić swój styl życia, religię oraz ideologię.

    Cyberterroryzm jest praktykowany przez różne organizacje terrorystyczne oraz państwa, które próbują zdobyć przewagę w prowadzonej przez siebie wojnie. Cyberterroryzmowi sprzyja brak spójnych regulacji prawnych w skali globalnej, zasięg sieci oraz mnogość urządzeń, możliwość zacierania śladów oraz łatwy dostęp do narzędzi. Jak zostało to już wspomniane, cyberterroryści dążą do osiągnięcia pewnych celów, dlatego bardzo starannie wybierają cele ataków. Ważne węzły teleinformatyczne, telekomunikacyjne – ich zniszczenie lub uszkodzenie może spowodować poważne problemy lub nawet uniemożliwić komunikacje. Szczególnie istotna jest infrastruktura krytyczna, czyli ogół systemów oraz powiązanych z nimi obiektów, w tym także budynków, urządzeń, instalacji, które są kluczowe dla zabezpieczenia szeroko pojętego bezpieczeństwa państwa.

    Infrastruktura krytyczna to w szczególności systemy zaopatrujące państwo w energię i paliwa, czyli elektrownie oraz rafinerie, systemy łączności oraz sieci teleinformatyczne, systemy bankowe i finansowe, wodociągi i kanalizacja, ochrona zdrowia, transport i komunikacja, ratownictwo, systemy administracji publicznej, systemy przechowywania i składowania substancji niebezpiecznych. Z wymienionych największe znaczenie dla państwa mają systemy zaopatrujące je w energię i paliwa oraz sieci teleinformatyczne i telekomunikacyjne świadczące usługi na rzecz tych systemów, również w zakresie sterowania oraz zarządzania zasobami. Ataki wymierzone w systemy sterowania produkcją i przesyłem w elektrowniach, ciepłowniach czy rafineriach mogą doprowadzić do paraliżu wielu miast, a w szczególnych przypadkach całego państwa. Zniszczenie sieci teleinformatycznej elektrowni może skutkować zaprzestaniem produkcji energii elektrycznej oraz wysyłania jej do odbiorców. Bez energii elektrycznej nie działa nic co tej energii potrzebuje, również sygnalizacja drogowa oraz oświetlenie, może to spowodować nagły wzrost liczby wypadków, służba zdrowia oraz służby porządkowe mogą mieć znacznie utrudnione funkcjonowanie, istnieje także ryzyko wybuchu zbiorowej paniki.

    Celem ataków mogą być także systemy łączności, w których znajduje się radiofonia, telewizja, łączność satelitarna czy dostęp do sieci Internet. Dezinformacja oraz sianie paniki to ważne działania dla cyberterrorystów. Atak na sektor bankowy może być niszczycielski w swoich skutkach. Uszkodzenie lub zniszczenie systemu banku, kradzież danych klientów oraz środków finansowych, również należących do państwa, manipulacja notowaniami na giełdzie, zablokowanie dostępu do kont, modyfikacja danych, takich jak zadłużenie czy stan konta. Bardzo niebezpieczne mogą być ataki na systemy produkcji, przechowywania i składowania substancji niebezpiecznych, w szczególności systemy podmiotów przemysłu chemicznego – petrochemia, produkcja kwasów i zasad oraz nawozów sztucznych. Systemy przemysłu farmaceutycznego, kosmetycznego, gumowego oraz lakierniczego również narażone są na ataki.

    Darknet

    W dzisiejszym świecie sieć Internet jest jednym z najważniejszych obszarów życia. Życie bez dostępu do sieci, a w szczególności prowadzenie firmy jest praktycznie niemożliwe. Sprawdzanie poczty, nawiązywanie nowych znajomości, zarówno prywatnych jak i służbowych, czytanie o najnowszych trentach w technologii i rozrywce czy sprawdzanie informacji z kraju i świata. Jednak do czego wykorzystać Darknet i jak on wygląda? Ażeby to lepiej zrozumieć należy powiedzieć parę słów na temat Internetu. Słowo Internet to skrót od internetwork i oznacz system zbudowany poprzez połączenie wielu sieci komputerowych. Komunikacja pomiędzy poszczególnymi urządzeniami możliwa jest dzięki wykorzystaniu różnych procedur oraz protokołów, jak chociażby TCP/IP. Warto wspomnieć, że sieć nie jest synonimem Internetu. Internet to medium, które pozwala na dostęp do pewnych zasobów, których nie ma wiele. Eksperci szacują, że to strony internetowe, które odwiedzane są każdego dnia przez miliony użytkowników to zaledwie około 4% wszystkich treści. Według danych firmy NetCraft na styczeń 2018 roku, liczba stron internetowych wynosiła ponad 1.8 miliarda, natomiast w styczniu 2019 liczba ta wynosi prawie 2 miliardy stron internetowych. Pod powierzchnią (surface web) znajduje się około 96% wszystkich zasobów.

    Deep Web skrywa przed popularnymi wyszukiwarkami oraz użytkownikami treści, które nie powinny być publicznie dostępne. Bazy danych w Deep Webie posiadają własne funkcje wyszukiwania, które umożliwiają autoryzowanym użytkownikom dostęp do danych. Jako przekład takiej bazy danych można podać zasoby rządowe, dokumentacje medyczną pacjentów czy systemy administracji publicznej.

    Jeszcze dalej za Deep Webem znajduje się Darknet. Jest to celowo ukryta i niedostępna bez odpowiednich narzędzi sieć. Celem jego projektowania było zachowanie przez użytkowników anonimowości oraz bezpieczeństwa. Żadna z popularnych wyszukiwarek nie jest w stanie odnaleźć strony w Darknecie, gdyż są one ukryte.

    Sposoby dostępu do sieci               

    Dostęp do sieci Darknet możliwy jest tylko poprzez wykorzystanie specjalnych przeglądarek. Najpopularniejszą z nich jest Tor. PirateBrowser to przeglądarka opublikowana w 2013 roku, która pierwotnie służyła do omijania cenzury. Spersonalizowany pakiet, zawiera klienta Tor oraz przenośną wersję Firefoxa oraz dodatkowe zabezpieczenia, których zadaniem jest zagwarantowanie prywatności i bezpieczeństwa. Wczesne wersje programu działały niestabilnie powodując odrzucenie połączenia z Darknetem lub eksponując adres IP użytkownika. Obecnie PirateBrowser oferuje bezpieczny dostęp do sieci, pracując szybciej niż Tor w przypadku przeglądania stron w Internecie oraz porównywalne osiągi w przypadku przeglądania Darknetu. Subgraph OS to przeglądarka stworzona na bazie Tora, która zapewnia bezpieczny i prywatny dostęp do sieci. Przeglądarka posiada możliwość odizolowania złośliwego oprogramowania od reszty połączenia. Jest to przydatne rozwiązanie w przypadku odbierania wiadomości czy plików, korzystania z poczty elektronicznej. Kolejną alternatywą dla Tora jest Invisible Internet Project. I2P umożliwia dostęp do sieci za pośrednictwem warstwowego strumienia danych. Połączenie jest w pełni zaszyfrowane za pomocą kluczy publicznych oraz prywatnych. Tails to kolejna przeglądarka bazująca na Torze. Po uruchomieniu przeglądarki, która właściwie jest systemem operacyjnym, praca systemu działającego na urządzeniu zostaje tymczasowo wstrzymana, celem zapewnienia bezpieczeństwa. Tails nie wymaga miejsca na dysku twardym, a jedyne zasoby jakie wykorzystuje to pamięć RAM. Połączenie nawiązywane jest z wykorzystaniem sieci Tor, każda próba wyjścia poza sieć powoduje przerwanie połączenia. Whonix to jeszcze jedna przeglądarka zbudowana na bazie Tora. Jest nie tylko przeglądarką, ale także systemem, na którym można skonfigurować oraz zarządzać własnym serwerem, na którym wstępnie zainstalowanych jest wiele aplikacji.

    Klasyczny adres strony internetowej składa się z protokołu, hosta oraz ścieżki dostępu do zasobu. Często nazwa podmiotu, do który jest właścicielem strony internetowej zawarta jest w adresie strony. Jako przykład można podać Google, którego jeden z adresów strony internetowej to google.pl, gdzie .pl to krajowa domena najwyższego poziomu. Domeny najwyższego poziomu używane w protokole DNS odpowiadają za zamianę nazwy komputera na jego adres. Sytuacja wygląda inaczej w przypadku stron internetowych w Darknecie. Adres strony może wydawać się przypadkowym ciągiem liter i cyfr, zakończonym .onion, który jest pseudodomeną najwyższego poziomu.

    Nazwa .onion nie funkcjonuje w spisie domen najwyższego poziomu, dlatego też nie przystosowane do tego celu przeglądarki nie są w stanie odnaleźć takich stron. Jako przykład wyglądu adresu strony w Darkniecie można podać jeden z serwisów oferujących wymianę kryptowaluty Bitcoin - http://jzn5w5pac26sqef4.onion/. Zauważyć można wspomnianą już pseudodomenę .onion oraz protokół http, z którego korzysta strona.

    W związku z tym jak wyglądają adresy stron internetowych, poruszanie się po Darknecie może być w znacznym stopniu utrudnione. Roboty internetowe (web crawlers) przeszukują strony internetowe oraz indeksują ich zawartość. Zindeksowane treści można łatwo znaleźć za pomocą wyszukiwarek internetowych. W Darknecie występują podobne mechanizmy. Hidden Wiki (Ukryta Wikipedia) jest punktem wyjścia dla nowych użytkowników. Zawiera bezpośrednie linki do wielu stron o różnych tematykach, od wymiany kryptowaluty po handel narkotykami. Część z linków może być w danym momencie nieaktywna, jednak po pewnym czasie strony powracają, często z tym samym adresem. Domyślną wyszukiwarką w Torze jest DuckDuckGo, która działa podobnie jak wyszukiwarka Google. Warto również sięgnąć po inne wyszukiwarki takie jak notEvil, Ahmia, TORCH czy Grams.

    Sieć Tor

    Tor (skrót od The Onion Routing) jest darmowym oprogramowaniem (przeglądarka internetowa) o otwartym kodzie źródłowym do implementacji drugiej generacji routingu cebulowego. Tor jest systemem serwera proxy, który pozwala ustanowić chronione przed podsłuchiwaniem, anonimowe połączenie sieciowe. Program został napisany głównie w języku C, liczy około 146 tysięcy linijek kodu, a wszystkie pliki źródłowe dostępne są na serwisie GitHub. Dzięki Torowi użytkownicy mogą zachować anonimowość odwiedzając strony internetowe, wysyłając wiadomości błyskawiczne oraz e-mail, a także korzystać z aplikacji wykorzystujących protokół TCP/IP. Ruch w sieci odbywa się poprzez wykorzystanie rozproszonej sieci serwerów - węzłów. Tor zapewnia także ochronę przed analizą ruchu sieciowego, które stanowią zagrożenie dla prywatności oraz poufności wymienianych danych.

    Początki Tora sięgają lat 1995, kiedy to pracownicy Laboratorium Badawczego Marynarki Wojennej USA: Paul Syverson, Michael G. Reed oraz David Goldschlag (United States Naval Research Laboratory) próbowali opracować system ochrony danych wywiadowczych online. Routing cebulowy został opracowany w 1997 roku przez DARPA. Wersja alfa opracowana została przez Paula Syversona, Rogera Dingledine'a oraz Nicka Mathewsona i uruchomiona 20 września 2002 roku jako projekt The Onion Routing, natomiast rok później miało miejsce pierwsze publiczne wydanie programu. W 2004 roku Laboratorium Badawcze Marynarki Wojennej USA wydało kod Tora na podstawie bezpłatnej licencji, a Dingledine oraz Mathewson otrzymali dofinansowanie od Electronic Frontier Foundation (EFF), w celu kontynuowania prac nad rozwojem projektu. W grudniu 2006 roku w Massachusetts została założona organizacja The Tor Project, która miała czuwać nad rozwojem oprogramowania. Tor został przez The Economist nazwany “ciemnym zakątkiem sieci”, w związku ze sprawą Silk Road. Była to internetowa platforma aukcyjna działająca w sieci Tor, która umożliwiała handel narkotykami, natomiast płatności odbywały się za pomocą kryptowaluty Bitcoin. Silk Road został zamknięty, a jego twórca aresztowany i skazany na dożywotnie więzienie. Nie oznacza to jednak, że Tor nie jest bezpiecznym miejscem. FBI zidentyfikowało poszukiwanego twórcę portalu dzięki jego aktywności oraz zadawanym pytaniom w serwisie StackOverflow. Tor umożliwia prowadzenie nielegalnej działalności jak wspomniany handel narkotykami, udostępnianie numerów kradzionych kart kredytowych, nielegalnej pornografii, sprzedaż broni, amunicji, materiałów wybuchowych oraz wynajęcie płatnego zabójcy na zlecenie. To jest ta ciemna strona sieci, jednak Tor posiada również jasną stronę. Tor jest używany przez osoby, które chcą zachować prywatność w sieci, pozbyć się uciążliwych reklam czy uniknąć cenzury. Tor jest oknem na świat dla ludzi, którzy nie mogą w normalny sposób przeglądać sieci z uwagi na zarządzenia władz państwowych, które tego kategorycznie zakazują. Jest on również używany w połączeniu z SecureDrop przez dziennikarzy dużych korporacji między innymi The Guardian do ochrony swoich informatorów oraz zdobytych informacji.

    Wykrywanie ataków

    Do wykrywania ataków w systemie IT wykorzystuje się systemy IDS, IPS (ang. Intrusion Detection System, Intrusion Prevention System). Są to systemy wykrywania i zapobiegania włamaniom, czyli urządzenia sieciowe zwiększające bezpieczeństwo sieci komputerowych przez wykrywanie (IDS) lub wykrywanie i blokowanie ataków (IPS) w czasie rzeczywistym. Celem tego typu testów jest empiryczne określenie odporności systemu na ataki. Testy penetracyjne mogą być prowadzone z wnętrza badanej sieci oraz z zewnątrz. Testy zewnętrzne są zwykle realizowane przez ludzi, którzy nie znają penetrowanego systemu. Nie znają szczegółów jego topologii konfiguracji i zabezpieczeń. W przypadku realizacji testów należy liczyć się z możliwością załamania systemu. Nie może to być jednak czynnik ograniczający zakres badań i powodujący realizację zbyt ostrożnych testów. Przez takimi badaniami należy przede wszystkim utworzyć nowe, pełne kopie zapasowe.

    Test penetracyjny rozpoczyna się zwykle od zebrania informacji o systemie poza nim samym. Może obejmować analizowanie pakietów rozgłoszeniowych, badanie DNS, uzyskiwanie danych u dostawcy usług internetowych przeszukiwanie publicznych zbiorów informacji jak WWW czy LDAP.

    Pułapki Internetowe

    Internetowa pułapka jest zbiorem elementów funkcjonalnych, które posługują się oszustwem w celu odwrócenia uwagi potencjalnego intruza od rzeczywistych, wartościowych zasobów poprzez użycie zasobów fikcyjnych i skierowanie intruza do systemu gromadzenia informacji wiążących się z włamaniami.

    Symptomy działania intruzów

    *         Powtarzanie się podejrzanego działania

    *         Omyłkowe polecenia lub odpowiedzi pojawiające się podczas wykonywania sekwencji automatycznych

    *         Wykorzystanie znanych słabych punktów

    *         Niespójności kierunkowe w pakietach przychodzących lub wychodzących

    *         Niespodziewane atrybuty pewnego żądania usługi lub pakietu

    *         Niewyjaśnione problemy z pewnym żądaniem usługi, z systemem lub środowiskiem

    *         Zewnętrzna wiedza o włamaniu

    *         Pojawianie się podejrzanych objawów w ruchu pakietów w sieci

    IDS

    Systemy wykrywania intruzów zajmują się wykrywaniem prób uzyskania dostępu do systemu. Ich zadaniem jest wykrycie takiego zdarzenia i poinformowanie o tym odpowiednich osób. Działanie takich systemów jest podobne do alarmu chroniącego dom przed włamywaczami.

    Elementy systemu IDS/IPS

    *         sonda(sensor) – element analizujący ruch sieciowy i wykrywający ataki

    *         baza danych – zbierająca informacje o atakach z grupy sensorów

    *         analizator logów – umożliwiający wizualizację i analizę logów z grupy sensorów

    Zadania IDS

    *         Monitorowanie systemu

    *         Detekcja ataków

    *         Podejmowanie odpowiednich działań w zależności od zagrożenia (np. wylogowanie użytkowników, zablokowanie kont, wykonanie odpowiednich skryptów)

    System IDS wykorzystywany jest do uzupełnienia całości dobrze zorganizowanego systemu bezpieczeństwa, w którego skład oprócz IDS powinny wchodzić:

    *         polityka bezpieczeństwa

    *         szyfrowanie danych

    *         weryfikacja użytkowników

    *         kontrola dostępu

    *         zapory sieciowe

    Podział IDS

    Host-Based IDS

    System wykrywania ograniczony do jednego hosta w sieci, np. serwera aplikacji czy serwera bazodanowego. Główną zaletą jest dużą zdolność do wykrywania prób ataków pochodzących z tej samej sieci, w której są one zlokalizowane. Taki system jednak może być niepraktyczny. Przy dużych sieciach zbieranie informacji od każdej maszyny jest posunięciem nieefektywnym oraz niewygodnym w obsłudze.

    Rodzaje systemów HIDS:

    *         tradycyjne – na każdej z chronionych maszyn zainstalowany jest tzw. agent, czyli program bezpośrednio odpowiedzialny za monitorowanie aktywności na danym hoście (analiza logów systemowych, dostępu do plików itp.).

    *         badające integralność systemu – np. przez sprawdzanie sum kontrolnych ważnych plików systemowych czy też rejestru systemowego. To pozwala wykrywać np. rootkity bądź inne szkodliwe oprogramowanie (trojany).

    *         badające tzw. anomalie w działaniu systemu – przykładową anomalią może być próba logowania w nocy do hosta, na którym normalnie logowanie możliwe jest jedynie w dzień, np. w godzinach otwarcia biura.

    *         działające w oparciu o tzw. wykrywanie sygnatur – przechowujące pewne wzorce zachowań, których wystąpienie może świadczyć o potencjalnej próbie ataku (np. trzykrotnej nieudanej próbie logowania bądź otwarcie połączenia na porcie usługi uznanej za potencjalnie niebezpieczną, jak telnet czy ftp).

    *         kompletne systemy IPS – w połączeniu z systemowymi rozwiązaniami, np. wbudowanym firewallem, poza detekcją nieprawidłowości są w stanie także aktywnie ją zablokować (systemy te często działają w sposób umożliwiający im wykonywanie funkcji systemowych w celu uniemożliwienia wykonania złośliwego kodu – czasem rodzi to problemy w “standardowym” użytkowaniu systemu-gospodarza).

    Network-Based IDS

    Rozbudowany system wykrywania będący w stanie analizować ruch w całej sieci, często składający się z wielu rozproszonych agentów. Jego zaletą jest zdolność do analizy ruchu pochodzącego z spoza sieci oraz możliwość wykrywania prób ataków DoS/DDoS. Jest to najczęściej spotykane rozwiązanie IDS. Do wad systemów NIDS trzeba zaliczyć niekompatybilność z sieciami, w których przesyłane są szyfrowane dane, bądź ruch jest bardzo szybki by nie stać się wąskim gardłem systemu i jednocześnie nadążać za ruchem pakietów, analiza ich treści może stać się zbyt powierzchowna.

    Podział systemów NIDS:

    Wyróżnia się dwie kategorie metod wykrywania:

    *         Metody bazujące na sygnaturach (Signature-based detection)

    *         Metody bazujące na anomaliach (Anomally detection)

    Signature-based detection:

    *         analiza pakietów w oparciu o zdefiniowane reguły – najprostsza metoda, a jej działanie polega na porównaniu komunikacji sieciowej do zdefiniowanych wcześniej list kontroli dostępu. Pakiety nie spełniające reguł są zgłaszane jako potencjalne zagrożenie.

    *         śledzenie pakietów w dłuższym okresie – analiza kontekstowa. Służy do wykrywania rozłożonych w czasie, wielofazowych ataków, poprzedzanych np. szczegółowym rozpoznaniem. W tej metodzie czasem stosuje się pewien trik polegający na wysyłaniu do intruza specjalnie spreparowanych odpowiedzi, wyglądających na poprawne. Ma to utwierdzić go w przekonaniu, że nie został wykryty.

    *         dekodowanie protokołów warstw wyższych (np. HTTP czy FTP) – pozwala na wstępną detekcję ataków pochodzących z tych warstw.

    Anomally detection:

    *         analiza heurystyczna – wykorzystująca algorytmy definiujące pewne zachowania jako anomalie (np. algorytm definiujący, kiedy ruch sieciowy wskazuje np. na skanowanie portów)

    *         analiza anomalii – metoda polegająca na wykrywaniu ruchu sieciowego odbiegającego od normy

    Network Node IDS

    Systemy hybrydowe, łączące cechy HIDS oraz NIDS. NNIDS działając bezpośrednio na hoście, jest w stanie przeanalizować pakiety pochodzące z ruchu szyfrowanego zanim dotrą do docelowej aplikacji, ale już po rozszyfrowaniu ich przez system operacyjny. Pozwala to na wykrywanie ataków np. na aplikacje WWW, które korzystają z szyfrowanego połączenia SSL, czy analizy pakietów z protokołu IPsec.

    IPS

    IPS (Intrusion Prevention Systems) to sprzętowe lub programowe rozwiązania, których zadaniem jest wykrywanie ataków na system komputerowy z wewnątrz jak i od zewnątrz systemu oraz uniemożliwianie przeprowadzenia takich ataków. Od strony technicznej systemy IPS w dużym uproszczeniu to połączenie Firewall i systemu IDS.

    Podział IPS

    W zakresie topologii, systemy IPS dzielą się na rozwiązania sieciowe, a w tym bazujące na sondzie pasywnej podłączonej do portu monitorującego przełącznika analizującej wszystkie pakiety w danym segmencie sieci oraz online – z sondą umieszczoną pomiędzy dwoma segmentami sieci, pozbawioną adresów IP i działającą w trybie przezroczystego mostu przekazującego wszystkie pakiety w sieci. Sensory IPS porównują ruch sieciowy z sygnaturami. Sygnatury mają trzy charakterystyczne cechy: typ sygnatury, triger, podejmowana akcja.

    Network-Based IPS

    W przypadku technologii NIPS sensory są podłączone do segmentów sieci, przy czym pojedynczy sensor może monitorować kilka komputerów. Rozbudowa sieci nie wpływa na skuteczność ochrony dodanych urządzeń, które wprowadzono bez dodatkowych sensorów. Sensory te są urządzeniami sieciowymi dostosowanymi do zapobiegania włamaniom określonego typu.

    Cechy:

    ·         efektywne kosztowo (pojedynczy sensor może chronić dużą sieć)

    ·         zapewniają analizę ruchu podczas ataków w niższych warstwach modelu ISO/OSI

    ·         są niezależnym systemem operacyjnym

    ·         mają wiele możliwości wykrywania

    ·         są niewidoczne w sieci (brak przypisanego IP)

    Ograniczenia:

    ·         mogą być przeciążone ruchem sieciowym

    ·         mogą wystąpić różnice między ruchem sieciowym postrzeganym przez IPS oraz odbieranym przez cel

    ·         nie działają w sieci szyfrowanej

    Host-Based IDS

    HIPS jest programowym agentem instalowanym na systemie operacyjnym podlegającym ochronie. Zapewnia on wykrycie i ochronę przed atakami. Nie wymaga dedykowanego sprzętu.

    Cechy:

    ·         dedykowany systemowi, na którym jest zainstalowany

    ·         rejestruje informacje o przeprowadzonych przez intruza atakach

    ·         szyfrowanie transmisji danych nie ogranicza działania systemu

    Ograniczenia:

    ·         brak możliwości korelowania zdarzeń w przypadku obserwacji odosobnionych agentów

    ·         każdy agent wymaga licencji,

    ·         brak oprogramowania (agent) dla niektórych platform programowych wprowadzonego przez dostawcę systemu

    Typy sygnatur:

     

    ·         Sygnatury typu Atomic mają proste formy. Zawierają opis pojedynczego pakietu, aktywności oraz zdarzenia. Nie wymagają przechowywania informacji o stanie („horyzont zdarzeń”) w systemie IPS. Sygnatury te są łatwe do zidentyfikowania.

    ·         Sygnatury typu Composite często nazywane są sygnaturami stanowymi. Określają sekwencję działań na wielu hostach. Sygnatura tego typu musi zawierać informację o jej stanie.

    Sposoby reakcji systemów IDS

    ·         wysłanie powiadomienia o zaistniałym incydencie

    ·         zebranie dodatkowych informacji – po wykryciu próby ataku system IDS stara się zebrać jak najwięcej dodatkowych informacji.

    ·         zmiana zachowania środowiska sieciowego – np. przez zmianę konfiguracji zapór ogniowych czy routerów system IDS stara się “wyłączyć” aktywność zarejestrowaną jako szkodliwą. Działanie takie ma zniechęcić agresora do dalszych prób ataku. W praktyce może się to odbywać przez zrywanie połączenia z adresem IP agresora, ignorowaniem ruchu na określonych portach czy całkowitym wyłączeniu niektórych interfejsów sieciowych

    ·         podjęcie akcji przeciwko intruzowi – nie polecana metoda akcji “odwetowej”, która może w niektórych sytuacjach doprowadzić do nieprzewidzianego ataku na całkowicie niewinne systemy (np. gdy napastnik do ataku używa przejętych wcześniej hostów bądź gdy fałszuje źródłowy adres IP)

    Podstawowe błędy popełniane przy używaniu systemów IDS IPS

    ·         Nieświadomość celów systemów (do czego mają konkretnie służyć)

    ·         Nieznajomość ilości potrzebnych sensorów i ich możliwości

    ·         Nie reagowanie na zmiany w sieci (należy aktualizować reguły, sygnatury)

    Źródła:

     

    1.       PN-ISO/IEC 2382-1:1996 Technika informatyczna – Terminologia – Terminy podstawowe.

    2.       Kowalewski J., Kowalewski M.: Zagrożenia informacji w cyberprzestrzeni, cyberterroryzm, Oficyna Wydawnicza Politechniki Warszawskiej, Warszawa 2017.

    3.       Rządowy program ochrony cyberprzestrzeni Rzeczypospolitej Polskiej na lata 2011 – 2016

    4.       Ustawa z dnia 26 kwietnia 2007 roku o zarządzaniu kryzysowym (Dz.U. z 2007r. nr 89, poz. 590 ze zm.)

    5.       https://www.darkowl.com/what-is-the-darknet/

    6.       https://thehackernews.com/2016/02/deep-web-search-engine.html

    7.       https://www.makeuseof.com/tag/find-active-onion-sites/

    8.       http://www.fpiec.pl/moto/dark-web-10-krokow-czyli-jak

    9.       https://www.torproject.org/about/overview.html.en

    10.    https://en.wikipedia.org/wiki/Tor_(anonymity_network)

    https://niebezpiecznik.pl/post/silk-road-najwiekszy-sklep-z-narkotykami-winternecie-zamkniety-fbi-namierzylo-i-aresztowalo-jego-tworce/


  • Programy antywirusowe typu klient/chmura.

    Tradycyjne programy antywirusowe oparte są na rozpoznawaniu sygnatur odbywającym się na urządzeniach końcowych. Ta strategia nie jest skuteczna z kilku powodów:

    Liczba rozpoznanych zagrożeń wzrosła tak bardzo, iż bezcelowe stało się aktualizowanie sygnatur na urządzeniach końcowych, jako że nie są one w stanie porównywać plików ze wszystkimi znanymi sygnaturami.

    Hakerzy i cyberprzestępcy wykorzystują rozmaite techniki oraz sieci bonet do przeprowadzania ataków typu zero-day, zanim sygnatury zostaną zaktualizowane na urządzeniach końcowych.

    W sytuacji, kiedy cyberatak wymierzony jest w konkretną jednostkę lub organizację, prawdopodobne jest, że sygnatura w ogóle nie istnieje. Hakerzy wykorzystują takie techniki jak szyfrowanie złośliwych kodów, polimorfowanie po stronie serwerów oraz testowanie QA, których rozpoznanie na podstawie sygnatur jest niemożliwe.

    W obliczu tego rodzaju zagrożeń, większość ekspertów zajmujących się bezpieczeństwem informacji zgadza się, iż tradycyjne produkty antywirusowe, oparte na rozpoznawaniu sygnatur nie są w stanie skutecznie zapobiegać atakom najnowszego i najbardziej niebezpiecznego złośliwego oprogramowania.

    Architektura typu klient / chmura

    Architektura „ciężkiego klienta” tradycyjnych produktów antywirusowych oparta jest na modułach zajmujących bardzo dużą przestrzeń pamięci dyskowej urządzeń końcowych. Rozwiązanie to umożliwia porównywania podejrzanych plików z sygnaturami zagrożeń, jednak stwarza jednocześnie kilka zasadniczych problemów:

    skanowanie w poszukiwaniu złośliwego oprogramowania oraz porównywanie sygnatur spowalnia działanie komputerów, zmniejsza efektywność pracy, irytuje użytkownika i, w niektórych przypadkach, zmusza go do wyłączenia oprogramowania antywirusowego,

    z powodu konieczności przesyłania do urządzeń końcowych tysięcy nowych sygnatur (często nawet 5MB na każdy z nich dziennie), przepustowość łącza zostaje ograniczona, a cały proces musi być monitorowany przez administratora systemu.

    ponieważ aktualizacja bazy sygnatur jest często możliwa jedynie po podłączeniu do sieci korporacyjnej za pomocą VPN, użytkownicy zdalni oraz ci korzystający z roamingu są narażeni na ataki typu zero-day.

    Architektura typu klient/chmura całkowicie zmienia tę sytuację, jako że na urządzeniu końcowym potrzebny jest jedynie ultralekki klient, który odnajduje nowe pliki i tworzy ich znaczniki (hashe). Hash wysyłany jest do ulokowanego w chmurze serwera i porównywany z bardzo rozbudowaną bazą sygnatur, a wyniki przesyłane są z powrotem do urządzenia końcowego.

    Architektura typu klient/chmura ma ogromną przewagę nad tradycyjnymi produktami antywirusowymi:

    jako że bardzo niewielka część zadań wykonywana jest w obrębie urządzenia końcowego, jego wydajność nie zmniejsza się;

    przepustowość łącza i działanie sieci nie są osłabione, ponieważ tylko kilka haszy w danym systemie jest wymienianych w obrębie sieci (zwykle ok. 120 KB dziennie), podczas gdy w przypadku tradycyjnych programów antywirusowych codziennie przesyłanych jest kilka tysięcy sygnatur;

    systemy działające w chmurze dysponują niezwykle rozbudowaną bazą sygnatur, a porównywanie wzorów odbywa się na ogromnych serwerach, co zwiększa skuteczność działania i w zdecydowany sposób przyspiesza cały proces;

    otrzymują one również w czasie rzeczywistym informacje źródłowe dotyczące pojawiających się unikalnych kodów złośliwego oprogramowania od laboratoriów testowych, zewnętrznych producentów rozwiązań bezpieczeństwa, tysięcy przedsiębiorstw oraz milionów użytkowników, dzięki czemu zagrożenia typu zero-day mogą być natychmiast rozpoznawane i blokowane;

    połączenie z siecią Internet wystarcza, aby chronić użytkowników zdalnych oraz tych korzystających z roamingu przed atakami typu zero-day. - Administratorzy systemów nie muszą instalować „ciężkich klientów” ani aktualizować bazy sygnatur na urządzeniu końcowym.

    Produkty antywirusowe typu „ciężki klient” są całkowicie przestarzałe, a architektura typu chmura/klient jest jedynym rozwiązaniem, dzięki któremu dopasowywanie sygnatur w czasie rzeczywistym będzie wydajne i skuteczne.

    Rozpoznawanie zachowań

    Nawet najszybsze i najpełniejsze porównywanie sygnatur nie zapobiegnie jednak atakom typu zero-day czy atakom kierowanym, wymierzonym w konkretne komputery. Ich sygnatury po prostu nie istnieją.  Najważniejszą innowacją w obliczu konieczności walki z tego rodzaju zagrożeniami jest metoda rozpoznawania zachowań, w połączeniu z architekturą typu klient / chmura.

    Technologie identyfikacji zachowań pozwalają programom na działanie w bezpiecznym środowisku typu sandbox i rozpoznawanie zachowań typowych dla złośliwego oprogramowania, takich jak: edytowanie kluczy rejestru, uzyskiwanie dostępu do mailowych list dystrybucyjnych czy próby dezaktywowania pakietów antimalware na urządzeniach.

    Proces ten nie jest jednak tak prosty, jak może się to pierwotnie wydawać, gdyż wzory zachowań wyróżniające te złośliwe mogą być bardzo złożone. Muszą być one rozpoznane i porównane z ogromną bazą zachowań złośliwych kodów, a aby proces mógł być skuteczny konieczne jest nieustanne aktualizowanie bazy.

    W niniejszym procesie:

    Nieznane aplikacje i pliki wykonywalne przetwarzane są w środowisku typu sandbox na urządzeniu końcowym.

    Otwieranie plików, odczytywanie i zapisywanie, zmiany rejestru klucza i inne działania są rejestrowane, a ich charakterystyka (lista działań) wysyłane do serwera umieszczonego w chmurze.

    Charakterystyka zachowania jest porównywana z ogromną bazą wzorów złośliwych zachowań i analizowana w odniesieniu do zastawu zasad (heurystyki), co pozwala ustalić, czy zachowania są złośliwe, czy nie.

    Wyniki przesyłane są z powrotem do systemu urządzenia końcowego i wskazują, które programy powinny zostać poddane kwarantannie, a którym można zezwolić na działanie.

    W ten sposób możliwe jest wykrywanie złośliwego oprogramowania na podstawie sposobu jego działania, nawet w przypadku braku sygnatury, a dzięki temu, iż analiza wzorów i reguł odbywa się w chmurze, nie wpływa ona w żaden sposób na wydajność pracy urządzeń końcowych oraz umożliwia dostęp do ogromnej bazy danych niebezpiecznych zachowań.

    Co więcej, charakterystyka nowych zagrożeń jest pozyskiwana natychmiast ze źródeł zewnętrznych, a nowopoznane wzory mogą być wykorzystane dla ochrony wszystkich użytkowników.

    System księgowania i przywracania systemu

    Identyfikacja zachowań nie wystarczy, jeśli będzie miała wyłącznie krótkoterminowy charakter. Twórcy złośliwego oprogramowania są w stanie zaprojektować je w taki sposób, aby po zainfekowaniu urządzenia końcowego zaczynało funkcjonować z opóźnieniem, a co za tym idzie, nie trafiało od razu do środowiska typu sandbox.

    W związku z tym konieczne jest wprowadzenie trzeciego elementu składowego nowego antywirusa, długoterminowej analizy zachowań, połączonej z systemem księgowania i przywracania systemu.

    Po jego wprowadzeniu programy mogą działać, jednak modyfikacje plików, kluczy rejestru, miejsc pamięci i tym podobne zmiany są księgowane, co pozwala oprogramowaniu na tworzenie obrazu „przed” i „po” każdej zmiany.

    Jeśli analiza zachowania ujawni złośliwość oprogramowania, może ono zostać usunięte, a wszystkie wprowadzone przez niego zmiany – cofnięte do ostatniego dobrego stanu.

    To rozwiązanie:

    minimalizuje szkodliwe działanie złośliwego oprogramowania, którego nie udało się wykryć ani w procesie dopasowywania sygnatur, ani skróconej identyfikacji zachowań.

    eliminuje ogromne nakłady pracy, które należałoby zaangażować do czyszczenia i ponownego zapisu zainfekowanego systemu (badania pokazują, że zajmuje to nawet do jednej trzeciej czasu pracowników pomocy technicznej).

    pozwala na rozpoznanie tego samego zagrożenia w innych systemach i w innych miejscach.

    Przykład - Webroot Secure Anywhere Business:

    Rozwiązania te wykorzystano w SecureAnywhere™ Business - Endpoint Protection. Webroot SecureAnywhere Business - Endpoint Protection używa agenta, który zajmuje mniej niż 700 KB pamięci na urządzeniu końcowym, a czas jego instalacji wynosi mniej niż sześć sekund (dane uzyskane na podstawie niezależnych testów przeprowadzonych przez Pass Mark Software), co stanowi wyraźny kontrast z konkurencyjnymi rozwiązaniami opartymi na systemach agentowych wykorzystujących duże ilości pamięci i zasobów systemu, których średni czas instalacji wynosi często trzy minuty lub więcej.

     

    Rys.1. Przykład Webroot SecureAnywhere Business - Endpoint Protection

     

    Wyniki testów jasno pokazują, że dzięki zastosowaniu rozwiązania typu klient/chmura znacząco zmniejsza się wpływ oprogramowania antywirusowego na funkcjonowanie i wydajność systemu.

    Testy ośmiu popularnych programów antywirusowych pozwoliły stwierdzić, iż proces skanowania w programie Webroot, z jego architekturą typu klient / chmura, przebiega bez porównania najszybciej.

    Pełne pierwsze skanowanie systemu zajęło jedynie pięćdziesiąt sekund, co stanowiło mniej niż 50% czasu potrzebnego na tę samą operację produktowi, który w przeprowadzonych testach zajął drugie miejsce i jedynie 40% średniego czasu, który wynosi dwie minuty i cztery sekundy. Podczas wstępnego skanowania Webroot wykorzystuje 12MB pamięci, jedynie 21% zapotrzebowania programu, który zdobył kolejną najlepszą ocenę, a jednocześnie zaledwie 10% średniego zużycia (120MB). Wykorzystanie pamięci w trybie bezczynności systemu wynosi 4MB i stanowi jedynie 6% średniej wartości.

    Elementem chmury SecureAnywhere Business - Endpoint Protection jest Webroot Intelligence Network, która dysponuje ponad 75 TB sygnatur, zachowań, złych adresów URL i tym podobnych danych, które można zakwalifikować, jako zagrażające bezpieczeństwu, co stanowi o cały rząd wielkości więcej niż potencjał analityczny produktów typu „gruby klient” na urządzeniach końcowych. Oznacza to, iż Webroot jest w stanie zarówno wykryć znacznie większą liczbę potencjalnych zagrożeń, jak również efektywnie wykorzystać i metodę rozpoznawania zachowań.

    Webroot Intelligence Network jest nieustannie aktualizowana dzięki danym przekazywanym przez 25tys. partnerów i klientów biznesowych oraz miliony klientów indywidualnych. Oznacza to, że zarówno użytkownicy pracujący w oddziałach i zdalnych lokalizacjach, jak w głównej siedzibie firmy, mają natychmiastowy dostęp do bazy wirusów w momencie, kiedy jest ona aktualizowana.

    Webroot Intelligence Network wykorzystuje zasoby światowej chmury w celu dostarczenia najwyższego poziomu bezpieczeństwa z jak najmniejszym opóźnieniem.

    Źródła:

    Materiały informacyjne firmy Bakotech

    https://bakotech.pl/vendor/webroot/

    https://bakotech.pl/product/webroot-for-home/

    https://www.crn.pl/artykuly/vademecum/webroot-odkrywa-antywirusa-na-nowo

    https://www.crn.pl/artykuly/rynek/antywirus-w-chmurze-nowe-uslugi

    https://www.crn.pl/artykuly/prawo-i-zarzadzanie/kaspersky-a-sprawa-polska-1

     


    • Monitorowanie sieci na przykładzie oprogramowania Axence nVision.

      Axence nVision Free to darmowa wersja flagowego oprogramowania Axence do zintegrowanego zarządzania infrastrukturą IT. Aplikacja jest całkowicie bezpłatna, również do użytku komercyjnego.

       

       Axence nVision Free zapewnia mapowanie i monitorowanie nielimitowanej ilości urządzeń oraz podstawowe funkcje monitorowania użytkowników, inwentaryzacji, helpdesk i kontroli dostępu do urządzeń.

      Network - Pełny monitoring sieci

      zapobieganie kosztownym przestojom przez wykrywanie anomalii w działaniu urządzeń

      bezpieczna serwerownia – monitorowanie wskaźników wilgotności i temperatury

      zawsze aktualne dane o wydajności serwera i łącza internetowego

      większa kontrola nad procesami systemowymi

      lepsza wydajność procesów biznesowych dzięki kompletnej wiedzy o stanie działania najważniejszych serwisów

      skanowanie sieci, wykrywanie urządzeń i serwisów TCP/IP

      interaktywne mapy sieci, mapy użytkownika, oddziałów, mapy inteligentne

      jednoczesna praca wielu administratorów, zarządzanie uprawnieniami, dzienniki dostępu

      serwisy TCP/IP: poprawność i czas odpowiedzi, statystyka ilości odebranych/utraconych pakietów (PING, SMB, HTTP, POP3, SNMP, IMAP, SQL itp.)

      liczniki WMI: obciążenie procesora, zajętość pamięci, zajętość dysków, transfer sieciowy itp.

      działanie Windows: zmiana stanu usług (uruchomienie, zatrzymanie, restart), wpisy dziennika zdarzeń

      liczniki SNMP v1/2/3 (np. transfer sieciowy, temperatura, wilgotność, napięcie zasilania, poziom tonera i inne)

      kompilator plików MIB

      obsługa pułapek SNMP

      routery i switche: mapowanie portów

      obsługa komunikatów syslog

      alarmy zdarzenie - akcja

      powiadomienia (pulpitowe, e-mail, SMS) oraz akcje korekcyjne (uruchomienie programu, restart komputera itp.)

      raporty (dla urządzenia, oddziału, wybranej mapy lub całej sieci)

      Inventory - Łatwe zarządzanie zasobami IT (ITAM)

      kompleksowa kontrola nad nawet najbardziej rozbudowaną infrastrukturą IT

      pełna lista zainstalowanego/używanego oprogramowania, co pozwoli uniknąć wysokich kar

      zmniejszenie kosztów działu IT przez wskazanie zbędnych licencji (na niewykorzystywane oprogramowanie)

      usprawnienie zarządzania stacjami roboczymi oraz łatwiejsze planowanie nowych zakupów

      szybkie audyty z poziomu aplikacji mobilnej

      pomoc dla księgowości – ewidencja środków trwałych IT

      lista aplikacji oraz aktualizacji Windows na pojedynczej stacji roboczej (rejestr, skan dysków)

      lista kluczy oprogramowania Microsoft

      informacje o wpisach rejestrowych, plikach wykonywalnych, multimedialnych, archiwach .zip oraz metadanych plików na stacji roboczej

      szczegółowe informacje o konfiguracji sprzętowej konkretnej stacji roboczej

      informacje systemowe (komendy startowe, konta użytkowników, foldery udostępnione, informacje SMART itp.)

      audyt inwentaryzacji sprzętu i oprogramowania

      zdalna deinstalacja oprogramowania na stacjach roboczych

      historia zmian sprzętu i oprogramowania

      baza ewidencji majątku IT (definiowanie własnych typów środków, ich atrybutów oraz wartości, załączniki, import danych z pliku CSV)

      alarmy: instalacja oprogramowania, zmiana w zasobach sprzętowych

      skaner inwentaryzacji offline

      aplikacja dla systemu Android umożliwiająca spis z natury na bazie kodów kreskowych, QR

      Agent dla systemu Android inwentaryzujący urządzenia mobilne (również poza siecią firmową)

      możliwość archiwizacji i porównywania audytów

      Users - Większe bezpieczeństwo i wydajność pracowników

      minimalizacja zjawiska cyberslackingu i zwiększenie wydajności pracowników

      redukcja kosztów wydruku

      blokowanie stron WWW

      blokowanie uruchamianych aplikacji

      monitorowanie wiadomości e-mail (nagłówki) - antyphishing

      szczegółowy czas pracy (godzina rozpoczęcia i zakończenia aktywności oraz przerwy)

      użytkowane aplikacje (aktywnie i nieaktywnie)

      odwiedzane strony WWW (tytuły i adresy stron, liczba i czas wizyt)

      audyty wydruków (drukarka, użytkownik, komputer), koszty wydruków

      użycie łącza: generowany przez użytkowników ruch sieciowy

      statyczny zdalny podgląd pulpitu użytkownika (bez dostępu)

      zrzuty ekranowe (historia pracy użytkownika ekran po ekranie)

      HelpDesk - Intuicyjna pomoc techniczna

      redukcja kosztów pomocy technicznej i oszczędność czasu działu IT

      ograniczenie liczby kosztownych przestojów i zwiększenie wydajności pracowników

      edukacja kadry – poradniki jak poradzić sobie z najczęściej występującymi problemami

      minimalizacja ryzyka cyberataku przez luki w oprogramowaniu – zdalna dystrybucja oprogramowania, w tym aktualizacji, na wiele stacji roboczych jednocześnie

      skuteczna dystrybucja ważnych informacji – komunikaty rozsyłane do użytkowników z opcją obowiązkowego potwierdzenia przeczytania

      automatyzacje bazujące na założeniu: warunek » akcja

      planowanie zastępstw w przydzielaniu zgłoszeń

      rozbudowany system raportów

      powiadomienia w czasie rzeczywistym

      tworzenie zgłoszeń serwisowych i zarządzanie nimi (przypisywanie do administratorów)

      baza zgłoszeń

      widok zgłoszenia odświeżany w czasie rzeczywistym

      komentarze, zrzuty ekranowe i załączniki w zgłoszeniach

      wewnętrzny komunikator (czat) z możliwością przesyłania plików i tworzenia rozmów grupowych

      komunikaty wysyłane do użytkowników/komputerów z możliwym obowiązkowym potwierdzeniem odczytu

      zdalny dostęp do komputerów z możliwym pytaniem użytkownika o zgodę oraz z możliwością blokady myszy/klawiatury

      zadania dystrybucji oraz uruchamiania plików (zdalna instalacja oprogramowania)

      procesowanie zgłoszeń z wiadomości e-mail

      baza wiedzy z kategoryzacją artykułów i możliwością wstawiania grafik oraz filmów z YouTube

      rozbudowana wyszukiwarka zgłoszeń oraz artykułów w bazie wiedzy

      integracja bazy użytkowników z Active Directory

      przejrzysty i intuicyjny interfejs webowy

      DataGuard - Kontrola dostępu do danych

      automatyczne nadawanie użytkownikowi domyślnej polityki monitorowania i bezpieczeństwa

      ograniczenie ryzyka wycieku strategicznych danych za pośrednictwem przenośnych pamięci masowych oraz urządzeń mobilnych

      zabezpieczenie sieci firmowej przed wirusami instalującymi się automatycznie z pendrive’ów lub dysków zewnętrznych

      oszczędność pieniędzy i czasu potrzebnego na odzyskanie utraconych danych

      zdefiniowanie polityki przenoszenia danych firmowych przez pracowników wraz z odpowiednimi uprawnieniami

      informacje o urządzeniach podłączonych do danego komputera

      lista wszystkich urządzeń podłączonych do komputerów w sieci

      audyt (historia) podłączeń i operacji na urządzeniach przenośnych oraz na udziałach sieciowych

      zarządzanie prawami dostępu (zapis, uruchomienie, odczyt) dla urządzeń, komputerów i użytkowników

      centralna konfiguracja: ustawienie reguł dla całej sieci, dla wybranych map sieci oraz dla grup i użytkowników Active Directory

      integracja bazy użytkowników i grup z Active Directory

      alarmy: podłączono/odłączono urządzenie mobilne, operacja na plikach na urządzeniu mobilnym


      Uwagi:


      W ramach projektu 1-2 osoby mogą przygotować projekt nt. prezentacji ww. oprogramowania. Zachęcam do zainstalowania i testowania wersji darmowej.


      Źródła:

      https://axence.net/pl/nvision

      https://axence.net/przyspiesz-z-axence

      https://avlab.pl/jesli-monitorowanie-aktywnosci-pracownikow-tylko-z-axence-nvision

      http://di.com.pl/bezpieczna-i-efektywna-siec-it-w-wydajnej-i-nowoczesnej-firmie-56949

      https://www.statlook.com/pl/system-statlook?gclid=Cj0KCQiAg_HhBRDNARIsAGHLV51oxMosSioLcfMpGWf6TeAMSqYTn3MQiZgqHF9vQAT-mXPz98WJlnUaAh3vEALw_wcB