Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1
A B C D E F G H I J K L Ł M N O P R S T U V W X Z INNE

ISP [Internet Service Provider]

ISP (dostawca usług internetowych) dostarcza użytkownikom i organizacjom dostęp do Internetu. Zazwyczaj dysponuje sprzętem niezbędnym do dostarczania dostępu do Internetu wielu użytkownikom oraz dedykowanym adresem IP. Niektórzy dostawcy usług internetowych polegają na infrastrukturze dostawców telekomunikacyjnych, inni posiadają własne dedykowane wydzierżawione linie. Coraz częściej oprócz dostępu do Internetu, dostawcy usług internetowych świadczą dodatkowe usługi, takie jak filtrowanie antywirusowe i antyspamowe.


ICQ

ICQ ["I Seek You"] jest implementacją komunikatora internetowego.


IDS [Intrusion Detection System]

Wykrywanie włamań ma na celu uniemożliwienie ataku na system komputerowy poprzez analizowanie ruchu do i w sieci.

Początkowo wykrywanie włamań ograniczało się do zbierania informacji: zadaniem administratora IT było ocenienie danych i podjęcie działań zaradczych w celu zabezpieczenia systemu. Obecnie aplikacje IDS często zapewniają automatyczną reakcję na ataki w oparciu o zestaw predefiniowanych reguł. Mowa tutaj o systemach wykrywania włamań, które można traktować jako rozwinięcie analizy behawioralnej.

Systemy IDS (oraz IPS) dzielą się na dwie kategorie. Systemy w trybie "host-based" przeznaczone są do ochrony pojedynczych komputerów, a wykrywanie złośliwego kodu opiera się zazwyczaj na analizie behawioralnej. W tym celu monitorowane są odwołania do systemu i porównywane z politykami opartymi na "normalnym" zachowaniu. Polityki te mogą być dość szczegółowe, ponieważ zachowanie może odnosić się do określonych aplikacji. W ten sposób takie działania jak otwieranie portów w systemie, skanowanie portu, próby zwiększenia przywilejów w systemie oraz wstrzykiwanie kodu do bieżących procesów mogą zostać zablokowane jako zachowanie "anormalne". Niektóre systemy uzupełniają analizę behawioralną wykorzystywaniem sygnatur znanych niebezpiecznych kodów.

Systemy w trybie "network-based" rozmieszczone są wewnątrz sieci i mają na celu ochronę każdego segmentu sieci. Filtrują pakiety pod kątem "złośliwego kodu", poszukując "anormalnego" wykorzystania szerokości pasma lub niestandardowego ruchu (jak uszkodzone pakiety). Systemy w trybie "network-based" są szczególnie użyteczne w wykrywaniu ataków DoS lub ruchu generowanego przez robaki sieciowe.


IMAP [Internet Message Access Protocol]

IMAP jest protokołem służącym do otrzymywania wiadomości e-mail. Jest on użyteczny, gdy wiadomość e-mail przechowywana jest na zdalnym serwerze, a następnie przesyłana do użytkownika. Jest to przydatne na przykład wtedy, gdy użytkownik domowy łączy się z Internetem poprzez dostawcę usług internetowych i okresowo pobiera wiadomości e-mail. W tym przypadku SMTP wykorzystywany jest do wysyłania wiadomości e-mail przez Internet do dostawcy usług internetowych, podczas gdy IMAP - do pobierania wiadomości od dostawcy.

IMAP przypomina protokół POP3, jest jednak bardziej zaawansowany.


Internet

Internet (często nazywany po prostu "Siecią") jest globalnym systemem połączonych sieci.

Internet powstał na bazie "ARPANETu", który został zbudowany w 1969 roku przez amerykańską agencję rządową ARPA [Advanced Research Projects Agency]. Organizacja ta chciała stworzyć sieć komputerów łączącą różne organizacje akademickie i badawcze.

Obecnie Internet składa się z niezliczonej ilości komputerów rozsianych po całym świecie, które łączą się ze sobą za pomocą publicznej infrastruktury telekomunikacyjnej. Tym, co "łączy" cały Internet, jest protokół TCP/IP [Transmission Control Protocol/Internet Protocol]. "TCP" dzieli dane na pakiety w celu przesłania ich poprzez Internet i ponownie "składa je" na drugim końcu. Protokół "IP" adresuje pakiety do odpowiedniej lokalizacji.

Na protokole TCP/IP znajdują się inne protokoły, które umożliwiają specyficzne funkcje użytkownikom w Internecie. Należy do nich FTP (do przesyłania plików), SMTP (dla poczty elektronicznej) oraz HTTP (do przesyłania danych za pośrednictwem Sieci WWW).


IRC [Internet Relay Chat]

Usługa internetowa. IRC jest swego rodzaju implementacją komunikatorów internetowych.


Internet Rzeczy

Termin Internet Rzeczy (ang. IoT w skrócie) określa przedmioty użytku codziennego, które są połączone z Internetem i potrafią automatycznie gromadzić i przesyłać dane bez konieczności interwencji człowieka. Internet Rzeczy obejmuje wszelkie przedmioty (nie tylko tradycyjne komputery), którym można przydzielić adres IP i które mogą przesyłać dane: np. urządzenia gospodarstwa domowego, liczniki zużycia energii, samochody, kamery przemysłowe, a nawet ludzi (np. implanty serca).   


Wskaźnik włamania (Indicator of Compromise, IoC)

Wskaźnik włamania to aktywności lub obiekty, które - obserwowane w sieci lub na urządzeniu - z dużym prawdopodobieństwem oznaczają nieautoryzowany dostęp do systemu. Innymi słowy, wskazują, że system został zaatakowany i/lub zainfekowany. Wskaźniki włamania są wykorzystywane do wykrywania szkodliwej aktywności na wczesnym etapie ataku, a także do zapobiegania znanym atakom.

Przykłady wskaźników włamania

Wskaźnikami włamania mogą być m.in. nastepujące działania/obiekty:

  • nietypowe wyszukiwania DNS,
  • podejrzane pliki, aplikacje i procesy,
  • adresy IP i domeny należące do botnetów lub serwerów kontrolowanych przez cyberprzestępców,
  • wiele prób dostępu do poszczególnych plików,
  • podejrzana aktywność na kontach administracyjnych lub użytkowników z prawami dostępu większymi niż standardowe,
  • nieoczekiwane uaktualnienia oprogramowania,
  • przesyłanie danych poprzez rzadko używane porty,
  • wykonywanie na stronach działań nietypowych dla ludzi,
  • sygnatura ataku lub skrót (hash) pliku znanego szkodliwego oprogramowania,
  • nietypowe rozmiary odpowiedzi HTML,
  • nieautoryzowana modyfikacja plików konfiguracyjnych, rejestrów lub ustawień urządzenia,
  • duża liczba nieudanych prób logowania.

Identyfikowanie i stosowanie wskaźników włamania

Analiza pomaga w ujawnieniu czynników, które można powiązać z określonym zagrożeniem, czyli wskaźników włamania dla określonego zagrożenia. Na przykład, jeżeli prowadzone prace cyberwywiadowcze wykażą obecność nowego szkodliwego oprogramowania, badacz przekaże wskaźniki włamania takie jak skróty plików, adresy serwerów cyberprzestępczych itd.

Następnie wskaźniki te zostaną użyte do wyszukiwania danego zagrożenia w infrastrukturze organizacji. Wykrycie wskaźnika włamania w systemie oznacza, że najprawdopodobniej jest on atakowany, co wymaga podjęcia szybkich przeciwdziałań.

Wskaźniki włamania są także dodawane do baz danych wykorzystywanych przez pasywne narzędzia monitorujące oraz oprogramowanie antywirusowe, które może blokować próby infekcji. Na przykład, rozwiązanie bezpieczeństwa może wykorzystywać sygnatury do rozpoznawania szkodliwego oprogramowania i blokowania możliwości jego uruchomienia na urządzeniu.

Wskaźniki włamania z punktu widzenia zwykłego użytkownika

Mimo że koncepcja wskaźników włamania jest raczej kojarzona w kontekście ochrony infrastruktury korporacyjnej, zwykli użytkownicy także mogą się z nimi zetknąć. Na przykład, wiele usług internetowych ostrzega właścicieli kont o próbach logowania z nietypowego urządzenia lub adresu IP zlokalizowanego w innym kraju. Użytkownicy powinni traktować takie komunikaty poważnie, sprawdzać podawane w nich informacje i jeżeli jedno z wymienionych działań rzeczywiście wygląda na podejrzane, natychmiast zmieniać swoje hasła.