Fortinet highlights the importance of real-time client reputation and scoring as part of an intelligent network security strategy
Dubai, UAE – 24 February 2013 – Identifying improper behaviour among the devices connected to their network is a critical tool for any organisation concerned about Advanced Persistent Threats (APTs). In light of the rapidly changing landscape of such targeted malware attacks, Fortinet® lists the top five types of behaviour that might indicate that a device has been infected.
1) Bad Connection Attempts
Typical malware behaviour often includes attempts to connect to hosts that don’t exist on the Internet. While some bad connections may be due to user error or bad links, a series of bad connections could be a sign of malware infection.
2) Choice of Application
A host that installs a P2P file sharing application can be considered riskier than a host that installs a game. Some organisations may consider both actions problematic. The ability to add weights to each action allows each risk to be scored accordingly.
3) Geographic Location
Visits to hosts in certain countries can be categorised as risky behaviour, especially if there is a significant amount of traffic involved. Identifying such behaviour can be combined with a white list approach that identifies legitimate sites in such countries to help identify infected clients.
4) Session Information
When a device starts to listen on a port to receive a connection from the outside but does not initiate a connection, an APT infection could be the cause.
5) Destination Category
Visiting certain types of websites, such as gambling and adult sites as well as those known to contain malicious code can also be a predictor of APT infection.
Bashar Bashaireh, Regional Director, Fortinet Middle East, said: “Identifying risky user and application behavior represents the next step in protection against Advanced Persistent Threats. We see that organisations in the Middle East are beginning to recognise the importance of building a complete, evolving and up-to-date picture of the behaviour of network clients. As signature-based protection is no longer enough, we recommend implementing client reputation and scoring to help order and understand the enormous amount of security information available within organisations, and applying it to a dynamic, targeted security response.”
These and other related findings are further explored in Fortinet’s new white paper: “Detecting What’s Flying Under the Radar: The Importance of Client Reputation in Defending Against Advanced Threats”. Fortinet’s unique patent-pending client reputation capability is one of the hallmark features of its latest operating system, FortiOS 5.
To download the white paper, visit http://www.fortinet.com/resource_center/whitepapers/importance_client_reputation.html
خطورة الأعمال - خمس طرق لاستكشاف سلوك الأجهزة التابعة غير اللائق عبر بروتوكول الإنترنت وتسجيل النقاط الخاصة بها
"فورتينت" تبرز أهمية تصنيف وتقييم أجهزة الخادم في الوقت الحقيقي ضمن إطار إستراتيجية ذكية لحماية الشبكة
دبي، الإمارات – 24 فبراير، 2013 – إن تحديد السلوك غير اللائق بين الأجهزة المتصلة بالشبكة يعتبر وسيلة هامة لأي مؤسسة مهتمة بمعالجة التهديدات المتقدمة المتواصلة (APTs). وفي ضوء الطبيعة المتغيرة باطراد لمثل هذه الهجمات الضارة المستهدفة، أوردت "فورتينت" (Fortinet) أفضل خمسة أنواع للسلوك الذي يشير إلى إصابة الجهاز بمثل هذه الهجمات.
1- محاولات الاتصال الرديئة
غالباً ما يتضمن السلوك النموذجي للبرمجيات الضارة محاولات للاتصال بالأجهزة المضيفة التي لا تتواجد على شبكة الإنترنت. ففي حين أن الاتصالات الرديئة قد تعود إلى خطأ من المستخدم أو وجود روابط سيئة، إلا أنه يمكن أن تكون سلسلة من الاتصالات الرديئة مؤشراً على وجود إصابة بالبرمجيات الضارة.
2- اختيار التطبيق
إن الجهاز المضيف الذي يقوم بتثبيت تطبيق لتبادل الملفات وفق شبكة الند للند (P2P) يمكن أن يعتبر أكثر خطورة من الجهاز المضيف الذي يقوم بتثبيت لعبة إلكترونية. وربما ترى بعض المؤسسات إشكالية في كلا الإجراءين، إلا أن إضافة أهمية لكل إجراء يسمح بتسجيل كل خطر وفقاً لذلك.
3- الموقع الجغرافي
إن الزيارات إلى الأجهزة المضيفة في بعض البلدان يمكن أن يصنف على أنه سلوك محفوف بالمخاطر، خاصة في حال كان هنالك مقدار كبير من حركة مرور البيانات. ويمكن جمع تحديد مثل هذا السلوك مع منهجية القائمة البيضاء التي تقوم بتحديد المواقع السليمة في هذه البلدان للمساعدة في التعرف على الأجهزة التابعة المصابة بالعدوى.
4- بيانات تبادل المعلومات
عندما يبدأ الجهاز بتلقي المعلومات من المنفذ لاستلام اتصال من الخارج لكنه لا يبدأ باستقبال هذا الاتصال، فإنه من الممكن أن تكون الإصابة بالتهديدات المتقدمة المتواصلة (APN) هي السبب.
5- نوع الوجهة التي تمت زيارتها
إن زيارة أنواع معينة من المواقع الإلكترونية، مثل مواقع لعب القمار أو المواقع المخصصة للبالغين فضلاً عن تلك التي تعرف باحتوائها على شيفرات خبيثة، يمكن أن يكون مؤشراً على الإصابة بالتهديدات المتقدمة المتواصلة أيضاً.
وقال بشار بشايرة، المدير الإقليمي لشركة "فورتينت الشرق الأوسط": "إن تحديد سلوك المستخدم المحفوف بالمخاطر والتطبيق المستخدم يمثل الخطوة التالية في عملية الحماية من التهديدات المتقدمة المتواصلة. ونحن نرى أن المؤسسات في منطقة الشرق الأوسط قابلة على تعريف الملفات الضارة مدركةً أهمية بناء تصور متكامل ومتطور لسلوك الأجهزة التابعة على الشبكات. وتعد سمعة الجهاز التابع وآلية تسجيل النقاط الخاصه به مكوناً أساسياً في تنظيم واستيعاب الكمية الكبيرة للمعلومات الأمنية المتاحة في المؤسسات، وتطبيقها من أجل الوصول لعملية استجابة أمنية فعالة ومطلوبة".
وتم استكشاف المزيد من هذه الأمور وغيرها من النتائج ذات الصلة في التقرير الجديد الصادر عن "فورتينت" تحت عنوان "كشف ما يهدد أمن الشبكة: أهمية سمعة العميل في عملية الدفاع ضد التهديدات المتقدمة المتواصلة". وتعد تقنية سمعة الجهاز التابع، التي طورتها "فورتينت" وتنتظر الحصول على براءة الاختراع، إحدى السمات المميزة لنظام تشغيلها الأخير "فورتي أو. أس 5" (FortiOS 5).
لتحميل التقرير، يرجى زيارة الموقع:
http://www.fortinet.com/resource_center/whitepapers/importance_client_reputation.html