Spør eksperten

Har du spørsmål om bedriftssikkerhet? Send dem via e-post i dag! (Alle spørsmål er anonyme.)

Jeg er ikke sikker på hva du mener med " gamle " porter, men hvis du sier at malware blir stadig rettet mot " gamle " protokoller
, så jeg er enig - til et visst punkt. For å være klar, er en protokoll en standardisert metode som datamaskiner bruker til å utveksle informasjon. File Transfer Protocol (FTP) og HTTP er to av de mest kjente protokoller. Protokoller bruke ulike porter for å sende informasjon. Dersom et bedriftsnettverk var en motorvei, ville porter være forskjellige baner; bare visse baner ta data der det er behov for å gå.

Palo Alto Networks forskning synes å indikere at FTP har blitt brukt som et redskap for malware på andre enn TCP-port 20 og 21, havner FTP-porter vanligvis bruker. Dette er absolutt gjennomførbart, så mange bedrifter la noen av deres høye nummererte nettverksporter åpne (og dermed usikret) for testing og forvaltningsformål. Så en angriper kan være i stand til å snike seg inn på et nettverk som ikke er riktig sikret ved hjelp av FTP på ikke-standard porter. Hvis riktig sikkerhet overvåking ikke er implementert, kan ondsinnet trafikk lett forveksles med standard FTP trafikk.

Imidlertid bør en riktig konfigurert brannmur kunne beseire slike inntrengere ved å utløse en alarm når noen form for ikke- standard FTP trafikk er observert. For eksempel varsler om visse ukryptert FTP-kommandoer som BRUKER, PASS, LIST og RETR er en beste praksis verdt å vurdere. Tilsvarende vurdere varsling på vanlig FTP returkoder, inkludert 331 (brukernavn OK, trenger passord) og 125 (datatilkobling allerede åpen, overføre start). Hvis dette ikke har blitt gjort før i organisasjonen, begynner ved å overvåke FTP trafikk for en periode, kartlegge all trafikk (og port bruk) til legitime forretnings bruksområder, og deretter blokkere FTP til porter som det ikke vanligvis bruker. Dette vil sikre FTP malware kan ikke snike inn gjennom en " bakdør " port i nettverket.