CISCO ISSUES NEW PATCHES FOR CRITICAL FIREWALL SOFTWARE VULNERABILITY

by Christopher Kanaracus em 06/02/2018 no site Threapost

Cisco has released new patches for a critical vulnerability in its Adaptive Security Appliance software after further investigation revealed additional attack vectors.

The company first announced the vulnerability, CVE-2018-0101, on Jan. 29. It received a Common Vulnerability Scoring System base score of 10.0, the highest possible, and was initially discovered by Cedric Halbronn from NCC Group.

“After broadening the investigation, Cisco engineers found other attack vectors and features that are affected by this vulnerability that were not originally identified by the NCC Group and subsequently updated the security advisory,” said Omar Santos, principal engineer with Cisco’s product security incident response team, in a blog post. Cisco also found additional denial of service conditions. A “new comprehensive fix” is now available, Santos said.

The vulnerability is linked to ASA’s XML parser. An attacker could exploit it by crafting a malicious XML file and sending it through a vulnerable interface, whereupon they could “execute arbitrary code and obtain full control of the system, cause a reload of the affected device or stop processing of incoming VPN authentication requests,” Cisco said in its security advisory. Secure Socket Layer (SSL) services or IKEv2 Remote Access VPN services must be enabled on an interface for the vulnerability to be exploited.

There are no known incidents of the vulnerability being exploited, but Cisco is urging customers to apply the updated patches. It now affects 15 products that run ASA software, including a wide range of Firepower Security Appliance versions, ASA 5500-X Series Next-Generation Firewalls and ASA 5500 Series Adaptive Security Appliances.

Cisco has come under fire for its handling of the situation. Sysadmin Colin Edwards, who blogs frequently on network and security issues, said far too much time had passed–80 days, by his measure–between when Cisco released its first patches for the vulnerability and when it published the security advisory.

“I can understand some of the challenges that Cisco and their peers are up against,” Edwards wrote. “[But] eighty days is a long time, and it’s a particularly long time for a vulnerability with a CVSS Score of 10 that affects devices that are usually directly connected to the Internet.”

“Yes, customers need to take responsibility for installing patches in a timely manner,” he added. “However, customers also need to have access to adequate information so that they can appropriately prioritize among myriad workloads.” The Jan. 29 advisory provided information that was “critical for customers to have at their disposal,” Edwards wrote.

Cisco published its security advisory immediately after finding out there was public knowledge of the vulnerability, which falls in line with its disclosure policy, Santos wrote: “Cisco recognizes the technology vendor’s role in protecting customers, and we won’t shy away from our responsibility to constantly be transparent with up-to-date information.”

Cisco’s new tool will detect malware in encrypted traffic

Por Wagas em 13/01/2018 no site HackRead

On January 10, Cisco’s officially released its software platform Encrypted Traffic Analytics (ETA)that can keep a check on network packet metadata so as to detect malicious traffic. The software was previously launched in June 2017 but it has remained in private preview ever since because only enterprises were able to use it.

Now, Cisco has released its general version, which is available on current and former generation data center network hardware and most of Cisco’s enterprise routing platforms such as Cloud Services Routers, Integrated Services Router, and its branch office router are compatible with it.

More: IXmaps Map reveals if your Internet traffic is being monitored by the NSA

The revamped ETA can now aid enterprises in inspecting encrypted malicious traffic as well without needing to decrypt it. In simple words, ETA is able to perform passive monitoring to infer content from encrypted traffic instead of opening and inspecting the content.

The software would make it easier to detect malicious traffic since cybercriminals have reached such a high level of skills where they can use encryption to hide C&C communications, payloads, data exfiltration and similar other activities from being detected.

Conventional malware detection software is unable to detect encrypted malicious traffic without decrypting it first, which is a not only complicated task but also compromises the privacy of non-malicious encrypted traffic. Given that organizations need to comply with certain data regulations (such as US-CERT prohibits organizations from implementing traffic interception software that compromises TLS security). Therefore, detection of encrypted malicious traffic became a grave issue for companies.

According to the blog post by Scott Harrell, Senior Vice President and General Manager at Cisco “ETA uses network visibility and multi-layer machine learning to look for observable differences between benign and malware traffic.”

With ETA’s arrival organizations can breathe a sigh of relief since the software provides a reliable way to detect and block such threats primarily because it doesn’t need to decrypt for inspecting traffic. It does so by inspecting three features of encrypted data; first is the initial data packet of the network, which stores important data regarding the rest of the encrypted content.

Secondly, it searches for the sequence of packet times and lengths to find clues into traffic content beyond what was identified in the initial packet. The third feature that ETA inspects is the byte distribution process across the packet payloads in the encrypted traffic flow. ETA uses StealthWatch software to compare the metadata of malicious and benign network packets in order to detect encrypted malicious traffic.

ETA can spot malware in encrypted traffic through the research conducted by Cisco to understand the salient difference between the way malicious and benign traffic uses DNS, TLS, and HTTP. Since Cisco offers telemetry services for security, therefore, the administrative and operational costs are fairly low.

Empresas devem se preparar para novos ataques de destruição de serviço, alerta Cisco

Da Redação Computerworld em 27/07/2017.

As empresas em todo o mundo precisam se preparar para novos ataques de “destruição de serviço” (DeOS), em razão da rápida e cada vez mais estruturada evolução das ameaças. O alerta consta do relatório Cisco 2017 Midyear Cybersecurity Report, o qual explica que esses tipos de ameaças são capazes de eliminar os backups e redes de segurança das empresas, justamente os meios necessários responsáveis por restaurar os sistemas e dados após um ataque cibernético.

O estudo destaca ainda que, com o advento da Internet das Coisas (IoT), as principais indústrias estão oferecendo mais operações online e, com isso, tornando-se mais vulneráveis a ataques.

Os casos recentes de ciberataques como o WannaCry e o Nyetya mostram a rápida disseminação e o grande impacto que esses incidentes podem causar já que, a princípio, parecem típicos casos de ransomware, mas, na verdade, acabam sendo muito mais destrutivos. Os ataques de (DeOS) — termo usado pela Cisco para definir essas ameaças — podem ser muito mais prejudiciais, já que não possibilitam a recuperação de dados pelas empresas.

“Os criminosos estão se tornando cada vez mais criativos na maneira como estruturam seus ataques. Com isso, empresas de todos os setores estão em uma corrida constante contra os cibercriminosos. A garantia da segurança começa com o fechamento das brechas mais óbvias e se torna uma prioridade comercial, como parte essencial do processo”, explica Ghassan Dreibi, gerente de Desenvolvimento de Negócios de Segurança para LatAm da Cisco.

A Internet das Coisas continua a oferecer novas oportunidades para cibercriminosos, pois com mais dispositivos conectados, há mais brechas de segurança, que são responsáveis pelo crescente número de ameaças. A recente atividade de botnet de IoT (rede de robôs criada com dispositivos de IoT infectados) já indica que alguns hackers podem estar se preparando para uma ameaça cibernética de alto impacto e em larga escala que poderia interromper a própria internet.

Medir a eficácia das práticas de segurança em relação a esses ataques é crítico. A Cisco rastreia a melhoria na redução do "tempo de detecção" (TTD), a janela de tempo entre uma invasão e a detecção da ameaça. “Detectar uma ameaça com rapidez é fundamental para restringir o espaço operacional dos hackers e minimizar os danos causados pelas invasões”, completa o especialista da Cisco. Desde novembro de 2015, a Cisco diminuiu a média de tempo de detecção (TTD) de pouco mais de 39 horas para cerca de 3,5 horas do período de novembro de 2016 a maio de 2017. Esse índice é baseado na telefonia remota obtida dos produtos de segurança da Cisco implantados no mundo todo.

Cenário de ameaça: o que está em alta e o que não está

Os pesquisadores de segurança da Cisco assistiram a evolução do malware durante o primeiro semestre deste ano e identificaram mudanças na forma como os criminosos estão adaptando suas técnicas. A Cisco percebeu o crescente número de vítimas de ataques que foram ativados por meio de abertura de links ou arquivos suspeitos. Os hackers estão desenvolvendo malwares sem necessitarem de arquivos que permaneçam na memória do dispositivo e que são mais difíceis de detectar ou rastrear, pois são eliminados logo que o dispositivo é reiniciado. Os criminosos dependem ainda de infraestrutura anônima e descentralizada, como um serviço de proxy Tor, para camuflar as atividades de comando e controle.

Enquanto a Cisco identificou um considerável declínio nos kits de exploração, outros ataques tradicionais estão ressurigindo:

. Os volumes de spam aumentam significativamente, pois os criminosos se dedicam a outros métodos testados, como e-mail, para distribuir malwares e gerar receita. Os pesquisadores de ameaça da Cisco antecipam ainda que o volume de spam com anexos maliciosos continuará aumentando enquanto que o cenário do kit de exploração continua em declínio;

. Spyware e adware, que muitas vezes não são considerados pelos profissionais de segurança por serem mais incômodos do que de fato prejudiciais, são formas de malware que persistem e trazem riscos para a empresa. A pesquisa da Cisco avaliou 300 companhias ao longo de um período de quatro meses e descobriu que três famílias de spyware prevalentes infectaram 20% da amostra. Em um ambiente corporativo, o spyware pode roubar informações de usuários e empresas, enfraquecer a conduta de segurança de dispositivos e aumentar os casos de malware;

. Evoluções no ransomware, como o crescimento do Ransomware-as-a-Service, acabam facilitando para os criminosos a realização desses ataques, independentemente do conjunto de habilidades. A ransomware vem chamando a atenção da mídia e, segundo divulgações na imprensa, gerou mais de US$ 1 bilhão em 2016 de prejuizo no mundo, mas isso pode ser direto para algumas organizações, que enfrentam uma ameaça ainda maior e pouco difundida. O comprometimento de e-mail corporativo (BEC), um ataque em que um e-mail é projetado para enganar as empresas e transferir dinheiro para criminosos, está se tornando altamente lucrativo. Entre outubro de 2013 e dezembro de 2016, US$ 5,3 bilhões foram roubados via BEC, de acordo com o Internet Crime Complaint Center.

Desafios comuns a diferentes setores da indústria

À medida que os criminosos continuam aumentando a sofisticação e a intensidade dos ataques, as empresas de diferentes setores da indústria são desafiadas a manterem os requisitos fundamentais de segurança cibernética.

Quanto mais a tecnologia da informação e a tecnologia operacional convergem rumo à Internet das Coisas, as companhias têm que lidar mais com visibilidade e complexidade. Como parte do estudo de benchmark de capacidades de segurança, a Cisco entrevistou cerca de 3 mil líderes de segurança em 13 países e descobriu que, em todas as indústrias, as equipes de segurança estão cada vez mais subjugadas pelo volume de ataques. Isso leva muitas empresas a se tornarem mais reativas para que se mantenham protegidas:

. Mais de dois terços das companhias estão investigando alertas de segurança. Em certas indústrias (como saúde e transporte) esse índice é próximo de 50%;

. Mesmo nas indústrias mais responsivas (como finanças e saúde), as empresas estão mitigando menos de 50% dos ataques que sabem serem legítimos;

. As violações são uma forma de chamar a atenção dessas empresas. Em todas as indústrias, tais ataques conduziram para modestas melhorias de segurança em pelo menos 90% das organizações. Algumas indústrias (como do setor de transporte) que são menos sensíveis, a taxa de melhoria cai para 80%.

Setor público – De todas as ameaças investigadas, 32% são identificadas como ameaças legítimas, mas apenas 47% são eventualmente remediadas;

Varejo – 32% dos entrevistados do setor disseram que perderam receita devido a ataques no ano passado com cerca de um quarto de clientes perdedores ou oportunidades de negócios;

Fabricação – 40% dos profissionais de segurança de manufatura disseram que não possuem uma estratégia formal de segurança, nem seguem práticas padronizadas de política de segurança da informação, como ISO 27001 ou NIST 800-53;

Utilidades - Os profissionais de segurança disseram que ataques direcionados (42%) e ameaças persistentes avançadas, ou APTs (40%), foram os riscos de segurança mais críticos para suas empresas e,

Saúde – 37% das empresas de saúde disseram que ataques direcionados são riscos de alta segurança para suas organizações.

Conselhos da Cisco para as empresas

Para combater os ataques cada vez mais sofisticados, as empresas devem assumir uma posição proativa em seus esforços de proteção. Com isso a Cisco Security recomenda:

. Manter a infraestrutura e as aplicações atualizadas, para que os invasores não possam explorar fraquezas conhecidas publicamente;

. Combater a complexidade por meio de uma defesa integrada;

. Envolver a liderança executiva desde o início do processo para garantir visibilidade completa dos riscos, resultados e restrições orçamentárias;

. Estabelecer métricas claras e usá-las para validar e melhorar as práticas de segurança;

. Avaliar o grau de conhecimento de segurança dos funcionários com treinamento baseado em função ao invés de padronizado e,

. Definir a defesa com uma resposta ativa. Não ativar o "configure e esqueça", controles ou processos de segurança.

Para o MCR de 2017, um grupo diversificado de dez parceiros de tecnologia de segurança foi convidado a compartilhar dados, os quais em conjunto, concluem o cenário de ameaça. Os parceiros que contribuíram para o relatório incluem Anomali, Flashpoint, Lumeta, Qualys, Radware, Rapid7, RSA, Saint Corporation, ThreatConnect e TrapX. O ecossistema de parceiros de tecnologia de segurança da Cisco é um componente-chave da visão da empresa para trazer uma segurança simples, aberta e automatizada para os clientes.

O MCR 2017 analisa os métodos de inteligência de ameaças mais recentes coletados pela Cisco Collective Security Intelligence. O relatório fornece informações sobre a indústria seguindo dados e as tendências de segurança cibernética a partir do primeiro semestre do ano, juntamente com recomendações acionáveis para melhorar a conduta de segurança. O estudo se baseia em dados de um amplo rastreamento, totalizando uma inclusão diária de mais de 40 bilhões de pontos de telemetria. Os pesquisadores da Cisco traduzem a inteligência em proteções em tempo real para os produtos e ofertas de serviços que são imediatamente entregues globalmente aos clientes da Cisco.

CIO - Fog Computing é o novo paradigma para a Internet das Coisas, diz Cisco

Da Redação Publicada em 23 de janeiro de 2017 às 10h41 

See more at: http://cio.com.br/tecnologia/2017/01/23/fog-computing-e-o-novo-paradigma-para-a-internet-das-coisas-diz-cisco/#sthash.dXv9wHPZ.dpuf

O conceito de Fog Computing ("Computação em Névoa")você já conhece. Ou deveria conhecer. Ele define a arquitetura que estende a capacidade computacional e o armazenamento da nuvem para as camadas de acesso da rede, permitindo que os dados sejam analisados e transformados em informações ou em ações antes de serem simplesmente transmitidos. Pensou em computação sem servidor? Ou em Edge Computing? Pois é...

Na opinião da Cisco, Fog (neblina) é uma extensão da Cloud para dentro do mundo físico, ou seja, para o mundo das ‘coisas’. Portanto, um novo paradigma para alavancar a Internet das Coisas.  Atende a um novo cenário em que o volume de tráfego em nuvem deve quadruplicar nos próximos anos chegando a 92% do total, até 2020. Serão 507,5 zettabytes (1 zettabyte = 1 trilhão de gigabytes) de dados até 2019, de acordo com a própria Cisco.  E que armazenar, processar, gerenciar e analisar tantos dados, de modo a garantir os reais benefícios da IoT, será um enorme desafio para as organizações. 

"Enviar tudo isso para a nuvem, para um processamento centralizado, faria com que as organizações aumentassem demais os custos com infraestrutura de comunicação para transmissão desses dados. A saída é fazer uma pré-análise dos dados no local em que são coletados e só transferir aquilo que interessa", explica Severiano Leão Macedo, Cisco Digital Transformation Advisor. A Fog Computing distribui os recursos e os serviços de procesaamento, comunicação, controle e armazenamento mais perto dos dispositivos. Na opinião do executivo, Fog Computing ajuda a reduzir os custos das aplicações de IoT. Também endereça questões como performance e confiabilidade do sistema e segurança.

Do ponto de vista de um construtor de rede, o maior desafio que aplicações de IoT trazem é backhaul, ou as ligações entre dispositivos no campo e os data centers que podem analisar e gerar as informações que vão fazer diferença para as áreas de negócio. Normalmente, os dispositivos IoT falam com um pequeno roteador nas proximidades, mas esse roteador pode ter uma conexão tênue e intermitente com a Internet.

Por exemplo, um motor a jato pode produzir 10TB de dados sobre seu desempenho e condição em apenas 30 minutos. É muitas vezes um desperdício de tempo e largura de banda enviar todos os dados capturados pelos sensores existentes no jato para uma nuvem e depois transmitir as respostas da nuvem de volta para a borda, para que o jato responda adequadamente. O mesmo acontece com os veículos autônomos. Muitos dos dados coletados precisam ser analisados localmente para gerar ações rápidas, em segundos. Não dá para esperar por uma conexão de rede para acessar a nuvem, para que ela diga o que fazer: identificar um sinal de pare ou um pedestre e agir instantaneamente. Esse processamento precisa acontecer no carro. Muitos dados precisam ser processados em roteadores, switches, pontos de acesso sem fio e câmeras de videovigilância e servidores UCS, diz a Cisco.

Robôs, drones, e carros de autônomos são indicadores precoces da necessidade de pequenas nuvens de inteligência distribuída. Na prática, a "computação em névoa" pode estar "em qualquer lugar ao longo de um sistema de computação contínua". Inclui A computação em nuvem, computação de borda  (edge Computing) e computação feita no dispositivo.

Para equipar seus roteadores a fazer essa computação, a companhia planeja combinar o Linux com seu IOS (Internetwork Operating System) para criar uma infraestrutura de computação distribuída que empresa chama de Fog Computing, a arquitetura IOx.   Tudo baseado nos padrões definidos pelo OpenFog Consortium, do qual também fazem parte empresas como AMR, Dell, Intel e Microsoft. O grupo também está filiado ao Instituto de Engenheiros Elétricos e Eletrônicos (IEEE), Schneider Electric e GE Digital, e lançou iniciativas de inovação no Japão, que envolvem gigantes tecnológicos Toshiba e Fujitsu. E planeja trabalhar em estreita colaboração ouros grupos industriais, incluindo o Industrial Internet Consortium (IIC), o ETSI-MEC (Mobile Edge Computing), a Open Connectivity Foundation (OCF) e o OpenNFV para evitar a duplicação de esforços e estabelecer uma estrutura harmoniosa.

Como funciona?

Imagine uma Cidade Conectada, em que uma câmera de tráfego inteligente detecte o padrão de luzes de emergência de uma ambulância, e então manda essa informação para o semáforo, avisando para liberar o tráfego, nesse caso o tempo é crucial. Se for necessário o envio dessas informações para serem processadas para a nuvem e então serem enviadas para o semáforo pode se perder um tempo crucial.

A computação em névoa adiciona uma camada adicional de poder de computação entre o dispositivo e a nuvem, mantendo a análise crítica mais próxima do dispositivo e, portanto, reduzindo o tempo necessário para resposta. Dispositivos individuais se tornam nós de processamento que podem lidar com tarefas menores, sem ter que enviar todos os seus dados até a nuvem.

Como cada um desses dispositivos se torna seu próprio centro de análise em miniatura, eles podem lidar com uma ampla variedade de processos estreitamente definidos em apenas milissegundos, deixando o pipeline da nuvem livre para o trabalho de análise em larga escala.

Segundo a Cisco, "o nevoeiro estende a nuvem para estar mais perto das coisas que produzem e atuam sobre os dados de IoT. As aplicações de nevoeiro são tão diversas quanto a própria Internet das Coisas. O que eles têm em comum é monitorar ou analisar dados em tempo real de coisas conectadas em rede e, em seguida, iniciar uma ação".

Os benefícios?

Essa abordagem pode gerar vários benefícios, na opinião da companhia. Em primeiro lugar, maximiza a análise do Big Data, mantendo algumas tarefas fora da fila de armazenamento de dados da nuvem principal, permitindo que sejam concluídas mais rapidamente. Simplesmente não é necessário que cada ação analítica passe do dispositivo para a nuvem e vice-versa. "No caso de uma solução com câmeras de vídeo para o varejo, em aplicações de segurança ou de comportamento do consumidor, é possível criar regras de negócio que só envie para o data center relatórios sobre eventos", explica  Severiano Macedo.

Os dispositivos de Fog Computing podem classificar tarefas com base em sua prioridade, mantendo ações críticas dentro do nó, enviando dados que podem aguardar alguns minutos para um nó de agregação maior que gerencia vários dispositivos IoT, por exemplo. 

Ainda no caso do varejo, é possível fazer com que as câmeras de videovigilância só comecem a transmitir dados para nuvem a partir da ocorrência de um evento. "Identificada uma invasão, a transmissão é iniciada", comenta o executivo.

E porque não é necessário passar cada pedaço de dados para a nuvem, os dispositivos podem executar suas tarefas em regiões onde a largura de banda é pequena, ou a conexão internet nem sempre está disponível. "A mesma câmera de videovigilância pode acionar outros sensores para responder a eventos", afirma Severiano. Segundo ele, bancos estariam trabalhando em soluções de segurança para coibir a explosão e roubo de ATMs, usando Fog Computing. 

Imagine um equipamento que está sendo monitorado, e emite alertas a cada minuto, o processamento poderia ser feito por algum concentrador próximo e só então um relatório com tempo maior, como de hora em hora seria enviado para a nuvem para informar que está tudo funcionando corretamente.

No mundo da manufatura, os usos também são claros. Medidores de temperatura em cubas químicas podem desligar instantaneamente processos para evitar uma fusão ou sensores de proximidade podem detectar quando um trabalhador está entrando em uma área restrita ou perigosa e notificar imediatamente supervisores ou seguranças.

Quando se trata de saúde, a computação em nevoeiro pode ser particularmente valiosa também para monitoramento de pacientes e resposta a crises nas áreas rurais. Esse alerta pode desencadear um protocolo de coordenação de cuidados, ou mesmo acionar serviços de emergência, imediatamente, se os sinais vitais do paciente caírem dramaticamente.

A criação de interfaces IoT que atendam às demandas muito específicas do fluxo de trabalho clínico continuará a ser um desafio, e definir o escopo do que constitui "dados úteis" para o cuidado do paciente será outro. A criação de dispositivos médicos seguros e aprovados pelas autoridades de saúde para a coleta de dados não é tarefa fácil, e distribuí-los aos pacientes carentes e educar os consumidores sobre seu uso provavelmente será uma proposta difícil por algum tempo para vir. Mas são todas iniciativas que podem ser implantadas rapidamente usando modelos de Fog Computing.

"Para nós da Cisco, IoT não é custo. É investimento. E Fog pode ajudar a reduzir bastante o custo fixo da solução", afirma Severiano.

- See more at: http://cio.com.br/tecnologia/2017/01/23/fog-computing-e-o-novo-paradigma-para-a-internet-das-coisas-diz-cisco/#sthash.dXv9wHPZ.dpuf