Топ новини

В сложния и често сенчест цифров свят, значението на Threat Intelligence (TI) в оформянето на стратегиите за киберсигурност не трябва да бъде подценявано. Като професионалисти в областта на киберсигурността, ние разбираме, че защитата на цифровите активи излиза отвъд разполагането на защитни технологии; тя изисква дълбоко, стратегическо разбиране на възникващите заплахи. Тази статия разглежда как задълбоченето кибер разузнаване (Threat Intelligence) служи не само като защитно средство, но и като проактивен инструмент, който подпомага организациите в борбата срещу кибер престъпниците.

Какво представлява разузнаването на заплахи

Разузнаването на заплахи е синтез от събиране на данни, анализ и действия към потенциални или съществуващи заплахи. Тази разузнавателна информация е от съществено значение за разбирането на поведението на нападателите, техниките, инструментите и процедурите им.

Ефективният TI предоставя проактивен инструмент, като помага на организациите да предвидят и предотвратят потенциални зловредни действия срещу сигурността със стратегии, адаптирани специално за да контрират идентифицираните заплахи.

Зловредния софтуер – Сърцето на тъмнината

Анализът на зловредния софтуер е крайъгълен камък на разузнаването на заплахи. Всеки щам (версия) на зловреден софтуер носи в себе си ДНК на намеренията и способностите на своя създател. Чрез деконструкция на зловредния софтуер не само разкриваме механиката на неговата работа, но и набавяме знание за по-широкия контекст на заплахите на които сме подложени или ще бъдем подложени. Този анализ дава задълбочена информация и е важна част при разработването на ефективни противодействия и помага за покриване на уязвимости, за да предотвратящи бъдещи инфекции.

Стратегии за ограничаване и ликвидиране на зловредния софтуер

След разбирането на архитектурата на зловредния софтуер, професионалистите в областта на киберсигурността могат да разработят целенасочени стратегии за ограничаването и ликвидирането. Това включва използването на сандбокс среди заизучаване на поведението на зловредния софтуер, разработване на сигнатури за антивирусни системи и създаване на пачове за експлоатирани уязвимости. Освен това, непрекъснатото наблюдение и актуализиране на защитните системи са от съществено значение, тъй като нападателите развиват своите методологии

Кибер шпионажа – Лошия Кибер Агент 007

Кибер шпионажът представлява значителна заплаха, при която нападателите се стремят да проникнат в мрежи, за да откраднат данни, често с политическа, военна или икономическа цел. Разузнаването за заплахи играе решаваща роля в идентифицирането и намаляването на такива шпионски дейности. Чрез анализ на комуникационни модели, метаданни и аномалии в мрежата, експертите по киберсигурност могат да открият тайни операции, да ги припишат на техните източници и да въведат бариери за защита на чувствителна информация.

Колаборативна защита чрез споделяне на разузнавателна информация

Никоя организация не стои сама в борбата срещу кибер заплахите. Колаборативната защита чрез споделяне на разузнавателна информация усилва способността на отделните единици да се защитават срещу общи противници. Като участват в мрежи за разузнаване за заплахи, организациите могат да достъпят по-широк спектър от данни, получавайки прозрения, които иначе биха били недостъпни и подобрявайки колективните си защитни позиции.

Пейзажът на кибер заплахите постоянно се променя, движен от технологични напредъци и развиващите се тактики на нападателите. Стратегиите за киберсигурност трябва да бъдат адаптивни и с оглед в бъдещето. Включването на новаторски технологии като изкуствения интелект и машинното обучение може значително да подобри аналитичната сила на разузнаването на заплахи, позволявайки проактивни действия срещу потенциални кибер атаки.

Вместо заключение

Разузнаването на заплахи е повече от просто компонент на киберсигурността; то е съществена рамка, която дава информация на всички аспекти на цифровата защита. Като професионалисти в областта на киберсигурността, ние трябва да настояваме за силна стратегия TI, която не само следи заплахите, но и се адаптира и развива с тях. Инвестирането във всеобхватни начини за разузнаване за заплахи не е просто оперативна необходимост; това е стратегически императив, който осигурява устойчивост и конкурентоспособност във все по-цифровия свят.

Нека насърчаваме организациите да засилят своята позиция в областта на киберсигурността чрез иновативни решения за разузнаване за заплахи. Нека бъдем по-ангажирани към общностите по киберсигурност, споделяйки разузнавателна информация и използваме колективните знания за защита срещу неизвестното. Заедно можем да обърнем вълната срещу кибер заплахите и да осигурим нашето по-сигурно цифрово бъдеще.

United Health Group (UHG) е здравноосигурителна компания с присъствие във всички 50 щата на САЩ, която има договори с над 1.6 млн. лекари и специалисти по здравни грижи, както и с 8 хил. болници и други лечебни заведения. В UHG работят 440 хил. души в цял свят и е най-голямата здравноосигурителна компания в света по приходи (324.2 млрд. USD през 2022 г.).

Човек трудно би повярвал, че такъв конгломерат може да бъде лесно поставен на колене. Именно това се случва на 21 февруари 2024 г. На тази дата ransomware синдиката, известен като BlackCat успява да открадне и криптира данните на един от основните стълбове на UHG – Change Healthcare. Седмица след атакта от BlackCat/ALPHV официално се хвалят с постигнато от тях, а именно откраднати над 6TB данни съдържащи чувствителни данни:

• здравни досиета
• данни за здравни застраховки
• дентални картони
• данни за плащания
• заявки за претенции към застрахователи
• лични данни на пациенти (телефоннни нимера, адреси, номера на социални осигуровки – американският еквивалент на ЕГН, имейли и др.)
• лични данни на действащи американски военни

От този момент започва кошмара за много пациенти, медицински работници и здравни заведения в САЩ.

В началото на март BlackCat синдиката извършва така нареченият exit scam, като се пенсионира след получено плащане от 22 млн. USD.

На 23 април от UHG подвърждават, че са платили въпросните 22 млн. USD на престъпниците с цел да минимизират щетите за своите потребители и клиенти.

Преди броени дни става и ясно как е била извършена атаката и какви са били обстоятелствата позволили да се случи това „бедствие“:

• зараза със зловреден код от тип infostealer.
• липса на защита за работните станции (Endpoint Protection);
• липса на многофакторно удостоверяване (MFA);
• вероятно недостатъчен проактивен мониторинг;

Свидетелските показания на изпълнителният директор на UHG Andrew Witty показват, че всичко е започнало на 12 февруари 2024 г. когато престъпниците са използвали компрометирани идентификационни данни (credentials) за отдалечен достъп до портала Citrix на Change Healthcare – приложение, използвано за отдалечен достъп до настолни компютри.
Порталът не е изисквал многофакторна автентикация (MFA) за достъп. След като престъпниците от BlackCat са получили достъп, те са се е придвижвали в системите по по-сложни начини и са ексфилтрирали данните. Девет дни по-късно е бил детониран криптовируса им.

9 дни ? Звучи познато! Да, това е съвременната средна стойност на dwell-time.

След публикуване на тези свиделски показания, Alon Gal, който е CTO на Hudson Rock, оповестява нещо много интересно:

Ето как знаем, че компютъра който е бил компрометирал не е имал адекватна проактивна защита (Endpoint Protection) и/или мониторинг (EDR). Казаното от Alon Gal също подчертава и ролята на навременният actionable threat intelligence.

От статус портала на Change Healthcare (Optum) изглежда, че все още се справят с последиците от атаката:

Cisco и threat intelligence подразделението им (Talos) публикуваха информация относно 0day уязвимости в произвежданите от тях защитни стени от следващо поколение (NGFW) – ASA и FTD.

ArcaneDoor е кампания, която е най-новият пример за спонсорирани от държава хакерски операции, насочени към мрежови устройства за защита на периметъра. Този път жертви са клиентите на Cisco.

Припомняме скорошните подобни проблеми с PaloAlto и Fortinet.

Удобни цели

Периферните мрежови устройства са идеалната точка за проникване, когато става дума за кампании с цел шпионаж, защото са критичен път за данните и врата към частните мрежи на организациите. Този тип устройства трябва да бъдат рутинно и своевременно проверявани; да използват актуални хардуерни и софтуерни версии и конфигурации; и да бъдат внимателно наблюдавани от гледна точка на сигурността.

Придобиване на неоторизиран достъп в тези устройства позволява на атакуващият директно да проникне в организацията, да пренасочи или модифицира трафика и да наблюдава мрежовите комуникации. През последните две-три години наблюдаваме драматично и трайно увеличение на броя на атаките срещу NGFW, като засегнати са предимно доставчиците на телекомуникационни услуги и организациите от енергийния сектор – структури от критичната инфраструктура, които вероятно са стратегически цели от интерес за много чужди правителства.

Работейки с жертви и партньорски организации, Cisco разкрива сложна верига от атаки, която е използвана за имплантиране на персонализиран зловреден софтуер и изпълнение на команди. Въпреки че не успяват да идентифицират първоначалния вектор на пробива, установяват две критични уязвимости (CVE-2024-20353 и CVE-2024-20359).

Цели са и Microsoft Exchange сървъри

Освен това мрежовата телеметрия и информацията от партньорите в областта на threat intelligence показват, че хакерите зад тази кампания се интересуват и от Microsoft Exchange сървъри и мрежови устройства на други производители. Независимо от доставчика на мрежово оборудване, сега е моментът да се уверите, че устройствата са надлежно обновени, изпращат логове към SIEM и е конфигурирана многофакторна автентикация (MFA). Допълнителни препоръки, специфични за Cisco, вижте тук.

В рамките на продължаващото разследване е извършен и анализ на възможното приписване на тази дейност. Оценката се основава на виктимологията, значителното ниво на използваните умения по отношение на разработеният зловреден код и на способностите му да се “крие”, както и на идентифицирането и експлоатацията на 0day уязвимости. Поради тези причини с висока степен на увереност, се твърди, че тези действия са извършени от спонсорирана от държава хакерска група (state sponsored threat actor).

По-рано този месец Cisco предупреди за мащабни brute-force атаки , насочени към VPN и SSH услуги на устройства на Cisco, CheckPoint, Fortinet, SonicWall и Ubiquiti по целия свят. През март също така споделиха насоки и добри практики за предотвратяване на атаките свързани с компрометирани акаунти (password-spraying), насочени към VPN услуги за отдалечен достъп (RAVPN), конфигурирани на устройства Cisco Secure Firewall.

Как да действате

Препоръките за противодействие на текущата кампания и ArcaneDoor атака са:

• ASA устройствата да бъдат обновени до някоя от следните версии:
  • • 9.16.4.57
    • 9.18.4.22
    • 9.20.2.10
• FTD устройствата да бъдат надградени до v7.2.6
• Да бъдат проактивно проверени следните Indicators of Compromise:
  • След актуализиране на устройството до софтуерна версия, която съдържа поправката за CVE-2024-20359, трябва да се направи преглед на съдържанието на disk0:. Ако след актуализацията в disk0: се появи нов файл (например „client_bundle_install.zip“ или друг необичаен .zip файл), това предполага, че е бил инсталиран backdoor на въпросното устройство. Имайте предвид, че тъй като актуализираният софтуер не е уязвим към CVE-2024-20359, опасността вече няма да е активена.
  • Освен това администраторите могат да използват командата show memory region | include lina, за да идентифицират друг indicator of compromise (IOC). Ако резултата от командата показва повече от една изпълнима област на паметта (области на паметта с разрешения r-xp, вижте примерите по-долу), особено ако една от тези области на паметта е точно 0x1000 байта, това е знак за потенциална намеса от страна на хакерите.

    
    Изходни данни от командата „show memory region“ за компрометирано устройство (горе) спрямо чисто устройство (долу). 

Друга полезна информация и съвети относно ArcaneDoor атаката:
https://www.cyber.gc.ca/en/news-events/cyber-activity-impacting-cisco-asa-vpns 

https://cert.europa.eu/publications/security-advisories/2024-043/ 

Опасността е активна от поне 2-3 месеца и според уважаваният cybersecurity експерт Kevin Beaumont (aka GossiTheDog), Cisco не са действали по възможно най-добрият начин спрямо своите клиенти:

Последен ъпдейт на 10 май 2024 в 22:11 ч.

Като SOC Analyst и Network Defender, “умирам” да консумирам информация, която ми помага да съм в най-добрата си професионална форма, респективно да бъде полезна при защитата на поверените ни мрежи (инфраструктури). Поради тази причина, доклада на Sophos – It’s Oh So Quiet (?): The Sophos Active Adversary Report for 1H 2024 влиза в моята колекция като един от най-добрите, които съм чел наскоро.

Първата метрика, която е много важна и показателна, е така нареченият Dwell Time или иначе казано – времето за което дадена организация/фирма разбира, че е била компрометирана. Дефиницията на английски също помага да се разбере есенцията зад този термин:

“Dwell Time is a concept that emerged from the need to quantify how long a cyber threat or attacker can persist within an organization’s network before being discovered and mitigated. This metric is primarily concerned with the time gap between the initial compromise and the detection of the intrusion.”

Ако попитате много от колегите, които са от дълго време в сферата на информационната сигурност, ще Ви кажат, че средното време за откриване на пробив (Dwell time) е в порядъка на няколко месеца, средно 180 дни. Да, няма да са в грешка, но това число донякъде е имагинерно, ако не бъде подплатено със съответната статистика. Нека видим каква е тя към днешна дата:

6 дни ? Ok, доста се разминаваме с добре познатите 180 дни, да не би Sophos да са в грешка? Според PaloAlto Unit42 не са:

Статистиката от Mandiant, пардон Google, също показва, че ”dwell time” е доста по-кратък:

Супер! Бих се потупал по-гърба, ако не беше това последното: “Part of this is good work by defenders, but…”

Още по-актуална информация от скорошният M-Trends 2024 Special Report:

 

Какво “but” ?! Няма никакво “НО”, заслугата си е наша!

Добре, нека бъдем реалисти, трудно е да кажеш, че си открил пробива на време, когато ransomware note-a ти седи на Desktop-a и/или цялата ти информация се продава за няколко крипто стотинки в някой форум.

Цялата тази “пролиферация” на ransomware атаките също има огромно значение за намаляването на “dwell time”. Наскорошните опити за неутрализиране (нямам по-добра дума за превод на “takedown”) на Lokbit синдиката, потвърждават тезата, че ransomware атаките са все още “the thing that keeps you awake at night”!

Както от Sophos правилно отбелязват, “dwell time” е изоставащ индикатор в смисъл на това, че може да бъде изчислен едва след като нарушителите са били открити. Има и други индикатори, базирани на времето, които могат да помогнат на защитниците да открият подозрителна дейност в мрежата, ако, разбира се, следите за такива неща. Обрат в сюжета, трябва да следите! “Видимост” в мрежата, телеметрия и логове, както и възможността за анализ, корелация и обогатяване (enrichment) на тези данни са “допинга” от който се нуждаете, за да изпреварите лошите в тази напрегната надпревара с високи залози.

Нека погледнем още няколко интересни статистики и метрики от доклада на Sophos:

• призовава се предприятията да защитят и своите активни директории (AD), към които нападателите се насочват все по-често. Средното време за което бива компрометирана Active Directory е 0.64 дни (16 часа);
• 94% от ransomware атаките биват детонирани (изпълнение на криптирането) извън работно време; · Често при атака се използват така неречните „dual use” инструменти, като класацията се оглавява от SoftPerfect’s Network Scanner, AnyDesk и 7zip/ WinRAR. Много организации все още нямат достатъчно ясна представа за това какво е нормално и какво не е при използване на IT ресурси;
• Злоупотребата с RDP е достигнала нови висоти, като 90 % от атаките го използват за вътрешно странично движение (lateral movement), а 20 % – за външен отдалечен достъп;
• И сякаш огромният брой компрометирани акаунти/креденшъли не е достатъчен, 43% от организациите са пропуснали да активират MFA за своите външни услуги.

При положение, че за много от проблемите зад съответните статистики съществуват решения с които лесно може да се минимизира риска от успешна атака (application whitelisting е едно от тях)… Няма друг начин да се каже това: Когато съществува решение, което може да спре нападателя на пътя му, и то не се прилага, това е умишлена небрежност.

Shameless plug: колкото и да звучи просто и невероятно, много от организациите нямат възможност да се справят с предизвикателствата посочени по-горе. Вземете например резултатите от Shodan за публично достъпните RDP услуги върху български IP адреси:

Само ако имаше за кого да се обърнат за помощ, oh wait! Baseline #CyberSecurity сме партньорът на който може да поверите вашата защита.

Голямото празнично пазаруване крие много рискове както за клиентите, така и за самите търговци. От принудително спиране на бизнеса ви заради блокиране на компютрите ви до глоби заради източване на данни за клиентите ви – това са само част от щетите, които може да претърпите най-често заради подценяване на информационната си сигурност.

Офлайн или онлайн – ето няколко прости стъпки, които да предприемете, за да намалите риска от загуби за бизнеса си в един от най-активните търговски периоди на годината.

Какви са рисковете?

• Източване на данните за клиентите ви. Особено, ако сте онлайн магазин, използвате остаряла версия, неподдържана или лошо написана на платформа за електронна търговия като WooCommerce, OpenCart, Magento и т.н. Може да доведе до глоби по GDPR и репутационни щети.
• Експлоатация на магазина ви за скимиране (кражба) на кредитни и дебитни карти или зловредна реклама. Звучи далечно, но всъщност е доста често срещано явление. Може да доведе до блокиране на системата ви за електронни разплащания, спиране на рекламните ви акаунти – и де факто – на целия ви бизнес.
• Фалшифициране на бизнес комуникация. Представете си, че изпращате фактура на ваш клиент. В процеса на изпращане някой подменя IBAN-а на сметката ви и клиентът ви плаща, но на някой друг. Man in the middle или манипулиране на служебна кореспонденция е често срещано явление и в нашата практика.
• Блокиране на бизнеса ви след атака с криптовирус. Дори и да имате 1компютър, с който работите на каса, ако той бъде криптиран – това означава спиране на работата ви поне за 1 ден.
• Източване на чувствителна информация като оферти, договори и др. Ако служебните ви системи не са изградени по сигурен начин, може да позволят неоторизиран достъп до администраторски акаунти – което от своя страна да даде на атакуващия права да прави каквото пожелае. Особено, ако служителите ви ползвате слаби пароли или не сте въвели дву-факторна автентикация. API (интерфейс за програмиране на приложения).

Какво да предприемете вие?

За да не действате смело и безотговорно, ето няколко прости стъпки, които да следвате, за да намалите до минимум риска от нежелано прекъсване на работата ви в следващите няколко месеца. Голямата част от тях не изискват специални разходи – а са въпрос на решение от ваша страна:

• Проверете всички дигитални активи – компютри, сайтове, сървъри и т.н. за актуалност и ъпдейтнете софтуера, с който работите
• Ъпдейтнете всички пароли и въведете дву-факторна автентникация
• Надградете защитата си с технически средства. Никога не е твърде рано да създадете многопластова система за защита на организацията ви – антивирус, защитна стена, XDR – това са само част от решенията, които в комбинация помежду си могат да са в основата на ефективна защита срещу случайна или дори таргетирана атака срещу бизнеса ви
• Редовно обучение на персонала – практиката показва, че най-слабото звено е човешкия фактор. Обучавайте регулярно екипите си на базови правила за работа с информационни технологии
• Планиране на реакция при настъпване на инцидент или събитие. Планът за реакция при инцидент ви гарантира, че дори и най-лошото да се случи, ще ограничите щетите като възстановите работата си максимално бързо. Изискайте не backup, а recovery план от доставчика си на киберсигурност – ако имате такъв. Ако нямате, потърсете сега

Основното правило, което е хубаво да следвате е: действайте навреме, за да имате максимално безпроблемен коледен търговски сезон. Инвестирайте в решения за киберсигурност, преди да стане инцидент. След него може да е твърде сложно, а дори и невъзможно бизнесът ви бъде възстановен в нормално състояние за адекватно време.

Истински добрите хакери целят да останат скрити, за да могат да се възползват от жертвите си максимално дълго. Но следите от злонамерената им дейност остават и може да си спестите много пари, време и нерви, ако сте малко по-внимателни. Ето петте най-често срещани признака, че може да сте станали жертва на онлайн измама:

1. Странни плащания от сметките ви (или дори заявени кредити)
   Ако личните ви данни бъдат компрометирани, могат да бъдат използвани за нежелани трансакции от профилите ви в системи за разплащания или банкиране. Или дори да кандидатстват от ваше име за кредити, които в последствие да усвоят.
2. Поръчали сте продукт онлайн, който така и не пристига
   Онази страхотна оферта от онзи сайт, който чу за пръв път така и не пристига. Може да сте се хванали на въдицата на мним електронен магазин, от който да сте поръчали, след което хакерите да се възползват от данните за кредитната ви карта (тя вече е тяхна).

3. Чат романсът ви приключи внезапно.
   Щетите от ужилени от измамници онлайн Казанови се оценяват на почти 1 млрд. USD годишно. И това число обхваща само онлайн тези жертви, за които знаем.

4. Нямате достъп до профилите си в онлайн услуги
   Ако измамник получи достъп до профилите ви, ще опита да смени паролите и да получи контрол над тях. Това може да доведе до разкриване на лична информация и злоупотреби с банкоите ви карти, ако нейните данни са запаметени във вашия профил.
5. Инвестиции в крипто валути.
   Жертвите се примамват с нищожни суми за инвестиране в крипто валути и с обещания за огромна възвръщаемост. В същото време профилът на жертвата показва обещаната „печалба“, но реална възможност за получаването й липсва.

А какво да правите, когато станете жертва на измама? Първата стъпка е да се свържете с вашата банка – тя може да ви помогне като спре трансфера на средства към измамниците. Втората е да начуите урока си и да предприемете стъпки, за да ограничите риска в бъдеще:

• Използвайте силни и уникални пароли, подкрепени с 2-факторна автентникация
• Ъпдейтвайте операционните системи и приложенията, с които работите и се забавлявате на устройствата си
• Не споделяйте и не запазвайте лична и финансова информация току-така

Разузнавателните агенции от месеци предупреждават, че нападението на Русия срещу Украйна ще бъде придружено от кибератаки, включително такива срещу критична държавна инфраструктура. Подобно на прекъсванията на електроснабдяването в Киев през 2015 г., за което беше обвинена Русия.

През януари в Украйна се появи рансъмуерът WhisperGate, насочен към структури на  държавната администрация. Преди дни компанията за киберсигурност ESET докладва за нов зловреден софтуер, Hermetic Wiper, изтриващ безвъзвратно данните на афектираните системи (помислете дали имате надежден бекъп!).

Съвсем наскоро и Агенцията за киберсигурност и инфраструктурна сигурност на САЩ призова американските компании да укрепят своята защита.

Войната е „идеалният“ бизнес

Логично, войната в Украйна доведе до покачване стойността на акциите на много компании в сектор Киберсигурност. Инвеститорите в световен мащаб залагат на това, че търсенето на специфични продукти и услуги за киберзащита  нараства и ще нараства с ожесточаването на конфликта.

Като добавим масираните DDoS атаки спрямо важни сайтове на украинското правителство, банки  и медии, разбираемо е защо акциите на Cloudflare, Crowdstrike, Palo Alto, Mandiant и др. се покачиха с 10-12 %.

Причина за поскъпването обаче е не само моментната ситуация, която е поредния исторически урок, който света получава. През 2017 г., зловреден софтуер с прякор „NotPetya“, предназначен да атакува критичните информационни системи в Украйна, успя да причини щети за повече от 10 млрд. USD по целия свят, след като буквално излезе извън контрола на неговите създатели. Засегнати бяха системите на други правителства, големи компании като Maersk и стотици хиляди малки бизнеси (като вашия!).

Да припомним

Киберпрестъпността е генерирала 3 трлн. USD през 2015 г., а към 2025 г. очакванията са тези обороти да достигнат 10-11 трлн. USD (според вас, от кого са взети тези пари?). Не е учудващо, че киберпрестъпността се е превърнала  в един от основните източници на приходи за групировки и режими. Постъпления в криптовалути все още лесно могат да се прехвърлят, изпират и узаконяват, поради слабите регулаторни рамки в редица държави.

Ситуацията в България

Министерство на електронното управление обяви, че са предприети действия, съвместно с отдел „Киберпрестъпност“ към ГДБОП в МВР, за филтриране или преустановяване на трафика от над 45 хил. IP-адреса, от които са извършвани опити за зловредна намеса в електронни системи или мрежи на страната. Това е стъпка в правилната посока на национално ниво,  но все още няма ясно послание към бизнеса и гражданите как да подготвят собствената си защита.

В нашата страна продължава да битува заблудата, че родните бизнеси са икономически неатрактивни за киберпрестъпниците, които са заети с далеч „по-важна“ работа. Това изобщо не е така: на практика не съществува регион или бизнес, който да не е интересен за киберпрестъпността.

Отпуснете бюджетите за ИТ

Не чакайте да пострадате, за да подсигурите дейността на дружествата си. Позволете на ИТ екипа си да се мобилизира и да подобри киберсигурността. Много компании в България за първи път откриват тази необходимост, просто защото някой западен партньор го изисква от тяхното дружество.

Родния бизнес час по-скоро трябва да започне да се допитва до професионалисти, които да го посъветват какво и как да предприеме, вместо да харчи пари за решения от типа „one size fits all”, преди да се е уверил, че те са подходящи за него.

Нашият Security Operations Center (SOC) oперира успешно от шест години в България и извършва наблюдение на инфраструктурата на нашите клиенти. Силно препоръчвам на компаниите да започнат да  използват подобни услуги, което ще им спести пари и проблеми.

Абсолютно съм съгласен с Шломо Крамер, съосновател на Checkpoint, който твърди, че предприемането на мерки в последната минута е по-скоро резултат от липса на информираност, а не се дължи на липса на възможности. Възползвайте се от наличните възможности навреме и живейте и развивайте бизнеса си спокойно!

През последните няколко години станахме свидетели на значителен брой инциденти с рансъмуер. От лятото на 2021 г. ще запомним атаките срещу американски петролопровод с национално значение и международна софтуерна компания, които засегнаха доставчици на услуги (MSP) и техните клиенти надолу по веригата.

Да припомним:

Рансъмуер е злонамерен софтуер, предназначен да криптира файлове върху вашите устройства, така че те да станат неизползваеми за системата ви. Традиционно, атакуващите искат паричен откуп в замяна на декриптиране. С течение на времето хакерите подобриха своите тактики, с което заплахите станаха още по-разрушителни. Злонамерените участници все по-често ексфилтрират данните ви и след това заплашват да ги продадат или пуснат безплатно в мрежата ако откупът не бъде платен.

Когато откраднатото включва чувствителна или лична информация или данни за достъп до засегнатите системи, дейността и репутацията на компанията ви може сериозно да пострадат.

Препоръки за предотвратяване на рансъмуер атаки

Каквато и да е организацията ви, съществува риск да станете жертва на инцидент с рансъмуер. Затова и отговорността за защитата на чувствителни и лични данни, съхранявани в системите ви, е ваша – като управляващ бизнеса или като отговарящ за киберсибурността.

Ето какво е добре да направите:

1. Поддържайте офлайн криптирани архиви на данни и редовно ги тествайте.

Архивирането трябва да се извършва редовно. Важно е да поддържате офлайн копия, тъй като много варианти на рансъмуер се опитват да намерят и изтрият или криптират достъпни архиви.

2. Създайте, поддържайте и упражнявайте основен план за реакция при киберинциденти, план за устойчивост и свързан с тях комуникационен план:

• Планът за реакция при киберинциденти трябва да включва процедури за реакция и уведомяване в случай на рансъмуер атака
• Планът за устойчивост трябва да предвижда начин на работа, ако загубите достъп или контрол над критични функции

3. Обърнете особено внимание на уязвимости и неправилни конфигурации на всичките си критични системи. По този начин ще намалите възможността даден актив да бъде атакуван успешно:

• Прилагайте най-добрите практики за използване на протокол за отдалечен достъп (RDP). Атакуващите често получават първоначален достъп до мрежата чрез открити и лошо защитени отдалечени услуги, които дават възможност за разпространение на рансъмуер.
• Одитирайте мрежата за всички критични системи, използващи RDP; затваряйте неизползвани RDP портове; налагайте блокиране на акаунт след определен брой опити; прилагайте многофакторно удостоверяване (MFA); регистрирайте опитите за влизане в RDP
• Провеждайте редовно сканиране на уязвимости, за да ги идентифицирате и отстраните, особено тези на устройства с интернет. Възползвайки се от услуги на външни експертни екипи, за да намалите експозицията си и вероятността да станете жертва на рансъмуер.
• Актуализирайте своевременно софтуера, включително операционните системи, приложенията и фърмуера. Приоритизирайте своевременното закърпване на критични уязвимости и уязвимости на сървъри в интернет, както и софтуерна обработка на интернет данни, като уеб браузъри, приставки за браузъри и четци на документи. Ако бързото закърпване не е осъществимо, приложете съветите, предоставени от доставчика на съответния софтуер, за по-сигурна работа.
• Уверете се, че устройствата ви са правилно конфигурирани и функциите за защита са активирани. Например, деактивирайте портовете и протоколите, които не се използват за бизнес цели.
• Деактивирайте или блокирайте протокола за входящи и изходящи сървърни съобщения (SMB) и премахнете или забранете остарелите му версии.

4. Намалете риска фишинг имейлите да достигнат до крайните потребители

• Активирайте силни филтри за спам
• Прилагайте програма за повишаване на осведомеността и обучение на потребителите в областта на киберсигурността, която включва насоки за това как да се идентифицират и докладват подозрителни дейности (например фишинг) или инциденти

5. Практикувайте добра киберхигиена

• Осигурете си актуален антивирусен софтуер
• Приложете списък с разрешени приложения и забранете всички останали
• Ограничете използването на привилегировани акаунти чрез политики за използване, контрол и управление
• Използвайте MFA за всички услуги, доколкото е възможно, особено за уеб поща, виртуални частни мрежи (VPN) и акаунти, които имат достъп до критични системи

6. Следете каква лична и чувствителна информация се съхранява във вашите системи и кой има достъп до нея

• Ограничете данните, като съхранявате само информация, необходима за бизнес операциите ви. Уверете се, че данните се унищожават правилно, когато вече не са необходими.
• Идентифицирайте компютрите и сървърите, на които се съхранява чувствителна лична информация. Не съхранявайте чувствителни или лични данни в системи или лаптопи, свързани с интернет, освен ако това не е от съществено значение за бизнес операциите ви. Ако лаптопите ви съдържат чувствителни данни, ги шифровайте и обучете служителите си на правилата за физическа сигурност на устройствата.

7. Шифровайте чувствителната информация в покой и при транспортиране

• Внедрете защитни стени от ново поколение за елиминиране на злонамерен или ненужен мрежов трафик
• Обмислете прилагането на сегментиране на мрежата за допълнителна защита на системи, съхраняващи чувствителна или лична информация

8. Уверете се, че вашите планове за реакция при киберинциденти и комуникационни планове включват процедури за реакция и уведомяване за инциденти при нарушаване на данни

В случай че все пак станете жертва на рансъмуер:

• Определете кои системи са засегнати и незабавно ги изолирайте. Ако повече от една система е засегната, веднага изолирайте цялата мрежа на ниво суич. Ако това не е възможно, намерете кабела на мрежата (например Ethernet) и изключете засегнатите устройства или ги премахнете от Wi-Fi, за да ограничите инфекцията.
• Само в краен случай, ако засегнатите устройства не могат да бъдат премахнати от мрежата или мрежата не може да бъде временно спряна, изключете засегнатите устройства, за да избегнете по-нататъшно разпространение на заразата

Забележка: Тази стъпка трябва да се извършва само ако е необходимо, тъй като може да доведе до загуба на артефакти на инфекцията и потенциални доказателства, съхранявани в  паметта

• Ангажирайте вашите вътрешни и външни екипи и заинтересованите страни, като ги информирате как могат да ви помогнат да се възстановите от инцидента
• Сериозно обмислете да поискате помощ от реномиран доставчик на услуги по киберсигурност и реакция при инциденти
• Ако лична информация, съхранявана от името на други фирми, бъде открадната, уведомете тези фирми за нарушението
• Ако инцидента включва лична идентифицираща информация, уведомете засегнатите лица, за да могат те да предприемат стъпки за намаляване на вероятността с тяхната информация да се злоупотреби

Още по темата прочетете ТУК.

В последните няколко месеца станахме свидетели на безпрецедентно мащабни кибератаки по цял свят. Рансъмуер успешно порази  американски бензинов тръбопровод, Fujifilm, JBS – случаите потвърждават колко е важно да мислите за киберзащитата като процес, а не като единичен акт. Както и не само да реагирате бързо, но и да разполагате с необходимия план и ресурси за възстановяване след киберинцидент.

За да бъдете в „крак с модата“, защита ви трябва да бъде многослойна

Прецизно таргетираните атаки, които използват различни инструменти за експлоатиране на  слабости в различните слоеве на защита, вече са тенденция. Най-добрият начин да намалите вероятността за успешен пробив е да използвате многопластов подход. И дори някои слоеве на сигурността да ви изглеждат тривиални или очевидни, всички те са еднакво важни.

Както и в много други аспекти от живота, безсмислено е да предприемате по-сложни действия, преди да сте положили подходяща основа. Да вземем за пример система за пречистване на вода – първият етап е отстраняването на големите и видими частици. При киберсигурността може просто да започнете с мрежова защитна стена, блокираща очевидно злонамерения трафик. Друга основна стъпка е наличието на антивирусно решение по крайните точки, което да работи със система за ранно откриване и известяване за потенциални заплахи. И вече сте намалили шанса една атака да бъде успешна.

Анализирайте мрежовия си трафик

В повечето случаи, за да тълкувате правилно събраните данни се нуждаете от допълнителен анализ. Точно както при водата – невъзможно е да разберете дали е годна за битови цели без подходящи изследвания.

За да изградите работещ модел на киберзащита трябва да започнете от събирането и анализа на мрежовите данни за дълъг период от време, за да се определи откъде идва злонамерен трафик. По-конкретно, необходимо е внедряване на мрежови системи за откриване и реагиране (NDR). Така мрежовият трафик ще бъде записан и обработен, като по този начин ИТ екипът ви ще има нужния минимум за първоначален анализ на мрежовите данни.

Сигурност за хибридни работни модели

През последната година на голяма част от бизнеса се наложи да се преструктурира и да работи отдалечено. Тенденциите сочат, че част от компаниите въвеждат хибриден работен модел за постоянно, което значи, че работата от разстояние ще продължи дори и след пандемията, като темата за сигурен отдалечен достъп ще бъде актуална и занапред.

Необходимо е ИТ екипите да изградят работещ модел за служителите, които са извън мрежата, като осигурят и генерираният от тях трафик да бъде записван и анализиран.

Използването на системи, поддържащи NDR дава търсената видимост и контрол над потребителската активност. Това е особено важно, когато не всички потребители са свързани постоянно към мрежата. След като тази връзка се възобнови, наличието на данни (логове) е от решаващо значение за идентифициране на потенциално заразени устройства.

Освен да подсигурите инфраструктурата си за работа от разстояние е много важно да имате и инструмент, с който да контролирате, записвате и проследявате действията на служителите си –  не само на тези със стандартни профили, а и на тези с привилегировани  права (Priviledged Access Management).

Служителите – най-уязвимото звено

Доста от пробивите успяват благодарение на съдействие, оказано отвътре – от служителите – често пъти неволно, но и не толкова рядко – волно. Използвайки различни подходи – социално инженерство, фишинг и др. – атакуващите отварят широко корпоративната врата към най-скъпия ви актив – данните.

Защитата на периметъра и тази на крайните точки е фундаментална, но не по-малко важно е да помислите как да защитите данните, с които се борави на ежедневна база. Имено тук идва ролята на Data Loss Prevention (DLP) софтуерите. Решенията за предотвратяване на загубата на данни и оптимизация на работни процеси са  подходящи за всякакъв размер и тип бизнес. Инструменти от този род предотвратяват изтичането на конфиденциална/чувствителна информация и осигуряват видимост върху работните процеси.  Разбирате какво реално се случва в компанията, като елиминирате опасни навици при работа с данните ви и изчиствате неефективни процеси.

В заключение:

Прилагането на комплексен подход за киберсигурност е единственият ефективен начин за предпазване от атаки: Дори те да не могат да бъдат спрени, щетите, които причиняват, ще бъдат  намалени драстично.

Protective DNS (PDNS) е услуга, която анализира DNS заявки и предприема действия за ограничаване на заплахите, като използва съществуващия DNS протокол и неговата архитектура. Тя предотвратява достъпа до злонамерен софтуер, рансъмуер, фишинг сайтове, вируси, злонамерени сайтове и шпионски софтуер, и по този начин прави мрежата по-сигурна.

Как работи PDNS

PDNS използва функционалността Response Policy Zone (RPZ). Тя представлява DNS resolver, който връща отговор на DNS заявки на базата на зададени политики. DNS resolver-а проверява както домейна, така и отговарящият му IP адрес срещу динамична база от данни –  в която се съдържат списъци на зловредни сайтове, налични от различни публично достъпни и частни източници. DNS resolver-a може да блокира или прерутира достъпа до такива сайтове на базата на зададеното действие в политиката. Когато PDNS получи злонамерена или подозрителна DNS заявка, той може да отговори по няколко начина:

• Да ограничи достъпа до заявения домейн, като върне NXDOMAIN отговор – това означава, че няма IP адрес за заявения домейн
• Да пренасочи заявката към алтернативна страница с информация, че първоначално заявеният домейн е блокиран
• Да използва т.нар. „sinkhole“ похват за конкретния домейн, като по този начин ще предотврати или забави изпълнението на последваща кибератака (криптиране на машината или свързването й към CnC сървър). Този подход позволява на специалистите по киберсигурност да разследват инциденти, докато заплахата е все още активна в инфраструктурата.

В помощ на киберсигурността

Основната характеристика на PDNS е възможността категоризира домейни въз основа на threat intelligence. Агенцията по киберсигурност и сигурност на инфраструктурата (CISA) и Националната агенция за сигурност (NSA) на САЩ класифицираха категориите домейни, използвани от PDNS, в следните групи :

• Фишинг: Сайтове, за които се знае, че хостват приложения, които злонамерено събират лична или корпоративна информация, включително идентификационни данни. Фишинг домейните могат да включват на пръв поглед сходни или близки като абревиатура имена на легитимни домейни (например go0com). PDNS може да предпази потребителите от случайно/непредизвикано свързване към потенциално злонамерена страница.
• Разпространение на малуер и свързване към CnC: Сайтове, за които е известно, че обслужват злонамерено съдържание или се използват за командване и управление на зловреден софтуер върху машините на жертвите. Те могат да хостват злонамерени JavaScript® файлове или да събират лична информация за профилиране. PDNS може да блокира и предупреждава за опити за злонамерена връзка.
• Алгоритми за генериране на домейни (DGA): Това са сайтове с динамично генерирани имена на домейни, които зловредният софтуер използва, за да заобиколи статичното блокиране от страна на наличните мерки за сигурност. Някои видове злонамерен софтуер, включително ботнет мрежите, зависят изцяло от комуникацията с инфраструктурата за командване и управление (CnC). Злонамерените лица използват алгоритми за генериране на домейни (DGA), за да заобиколят статичното блокиране – на ниво домейн или IP – чрез динамично генериране на имена на домейни. PDNS предлага защита от зловреден софтуер, използващ DGA, като анализира текстовите атрибути на всеки домейн и маркира тези, които са свързани с известни DGA атрибути.
• Филтриране на определено съдържание: Сайтове, чието съдържание е в разрез с политиките ви за достъп: PDNS може да ограничи достъпа до определени категории като хазарт, онлайн игри, социални мрежи и др.

Как PDNS помага

• Блокира нови домейни в реално време, от момента на тяхното регистриране/създаване
• Ограничава броя на потенциалните домейни, които могат да ви атакуват
• Има възможност да ограничи/спре цялата зловредна изходяща DNS комуникация в случай на инфекция със зловреден код
• Осигурява видимост, в реално време и в исторически план, на целия изходящ DNS трафик, което позволява да анализирате настъпили инциденти

Услугата е подходяща за всички

Можете да използвате услугата, какъвто и потребител да сте – работещи в офиса, отдалечено или у дома. За първите два типа, настройката и конфигурирането на позволените политики и категории се извършва от ИТ администратора. За работещите отдалечено е желателно свързването към PDNS да става чрез имплементирането на DoH – това дава възможност да се възползват от защитните механизми, независимо от къде се свързват с Интернет. Домашните потребители сами ще решат дали да се възползват от филтрирането на определени категории и сайтове или ще разчитат само на защитата от зловредни сайтове.

В заключение

Използването на PDNS ви осигурява още едно ниво на сигурност, като същевременно ви предоставя контрол и видимост върху целият DNS трафик. DNS е един от основните инструменти, използвани от злонамерените лица за комуникация, ексфилтрация на данни и т.н. Затова наличието и използването на DNS защита става неразделна част от съвременната киберсигурност. Допълнителна информация ще откриете ТУК и в следващата таблица: