2FA

В миналото основните заплахи за ИТ сигурността в компаниите бяха вируси, проникнали чрез имейли и флашки, донесени от служители. Днес заплахите навлизат в корпоративните мрежи чрез бързи съобщения и облачни устройства.

Преминаването на много компании, респективно служители, към режим на отдалечена работа, скоростно полуляризира чатовете като част от бизнес комуникацията. Резултатът не закъсня – рязко се увеличи броят на атаките и заплахите, използващи бързи съобщения. Информацията е от Safetica, компания, специализирана в решения, които предотвратяват изтичането на данни (Data Loss Prevention – DLP).

Пандемията породи нови предизвикателства за ИТ сигурността

Тенденцията от началото на 2020 г. е красноречива:

• Обемът на данните, прехвърлени чрез бързи съобщения, се е удвоил по време на пандемията
• Първият локдаун през пролетта на 2020 г. е довел до 50% увеличение на информацията, предадена по интернет. А в края на 2020 г. и пролетта на 2021 г. интензивността на тази форма на онлайн комуникация е нараснала с още 30%
• Платформите за комуникация в екип, като Microsoft Teams и Zoom, както и месинджърите, преживяват голям бум

И всичко това има отрицателно въздействие върху сигурността на корпоративните данни.

Ситуацията допълнително се утежнява от честата практика служителите на дадена компания самостоятелно да избират платформа за ежедневната си работа, често без да уведомяват работодателя си за това („Bring Your Own Service“).

Как да контролирате данните си

В условията на отдалечена работа, използването на месинджъри за комуникация и предаване на данни е удобно и има явни предимства. Вместо да го забранявате, по-добре е да определите комуникационен канал, който считате за безопасен за компанията. А след това да регламентирате правилата за използването му и да обучите служителите си как да го правят.

Когато избирате фирмена платформа за комуникация е добре да се спрете на такава, в която данните ви не се съхраняват непрекъснато. Ако фирмената ви информация е достъпна отвсякъде, по всяко време и от всеки служител, то контрол над нея се губи и рискът от изтичането й се увеличава драстично. Затова е нужно да използвате инструменти за контрол на достъпа, например двуфакторно удостоверяване (2FA).

Не е препоръчително да активирате чат-платформи за „домашна“ употреба и социални медии върху корпоративни устройства. При всички случаи е необходимо да се конфигурира допълнителна защита на достъпа и да се използват подходящи инструменти за предотвратяване на изтичането на данни.

Почти всяка платформа за комуникация се е сблъсквала с проблеми със сигурността

 

От Facebook Messenger и WhatsApp до Microsoft Teams и Zoom, всички те са имала проблеми със сигурността. Струва си да използвате решения, които не само ефективно се справят с откритите проблеми, но и информират своите потребители за тях. Ако откриването на слабости се пази в тайна и елиминирането им отнема твърде много време, има вероятност грешката да бъде експлоатирана от трети страни.

Последен ъпдейт на 11 май 2021 в 04:29 ч.

Руската външна разузнавателна служба SVR, известна още сред изследователите по киберсигурност като APT29, Cozy Bear и The Dukes, продължава да атакува правителства, организации и доставчици на енергия по целия свят. Хакерската група се възползва от нови техники, включително експлоатация на zero-day уязвимости, като тези на Microsoft Exchange.

Предупреждението идва едновременно от Агенцията за сигурност на инфраструктурата за киберсигурност (CISA), Федералното бюро за разследвания (ФБР) и Националната агенция за сигурност (NSA) на САЩ, както и от Националния център за киберсигурност на Обединеното кралство. Службите приписват на SVR атаката SolarWinds и няколко кампании, насочени към разработчиците на ваксини срещу Covid-19.

Сред експлоатираните уязвимости (всички те имат налични пачове) се включват:

• CVE-2018-13379 FortiGate
• CVE-2019-1653 Cisco router
• CVE-2019-2725 Oracle WebLogic Server
• CVE-2019-9670 Zimbra
• CVE-2019-11510 Pulse Secure
• CVE-2019-19781 Citrix
• CVE-2019-7609 Kibana
• CVE-2020-4006 VMWare
• CVE-2020-5902 F5 Big-IP
• CVE-2020-14882 Oracle WebLogic
• CVE-2021-21972 VMWare vSphere

Нападателите се насочват също и към пощенски сървъри, чрез които придобиват администраторски права и по-нататъшна мрежова информация и достъп.

Препоръки:

• Проверете дали сте приложили всички налични корекции и ако това не е така, направете го незабавно
• Използвайте многофакторно удостоверяване, за да защитите мрежата си от атака в случай на компрометирани пароли

Докато много от вас, днешните родители, са израснали по време, в което Интернет и световната мрежа са били едва в началото си, за днешните деца виртуалният свят е почти неотделим от реалния. Това, разбира се, ви изправя пред поредица от предизвикателства, като това създаването на правилни навици за киберсигурност у потомството ви да не е прекалено скучна и досадна задача.

Ще отбележим Световния ден на паролата, който се провежда в първия четвъртък на май, като ви представим няколко начина, по които да превърнете усвояването на онлайн хигиена на работа в игра за вашите деца.

Паролите са забавни, нали?

Можете да започнете, като научите децата си как да използват фрази при създаване на пароли и дори да измислите игра за това.

Паролата може да е съставена от шега, която само семейството ви знае. Или пък от детайли от любим филм, например „MasterYodaIs0.66MetresTall!“. А защо не комбинация от любима книга и храна: „HarryPotterAnd5DinoNuggies!“. Тези примери включват всички характеристики на силната парола – дължина, комбинация от главни и малки букви, специални знаци и цифри. Много важно е да кажете на децата си, че паролите винаги трябва да се пазят в тайна и те никога не трябва да ги споделят..

Как да ги запомниш всички?

Вече сте научили децата си как да създадат уникална и силна парола. Но не забравяйте, че оттук нататък те ще имат много на брой онлайн акаунти.

Едно добро решение е мениджъра на пароли – специално проектиран да съхранява всички идентификационни данни за вход в криптиран сейф и да генерира сложни пароли. Всичко, което децата ще трябва да запомнят, е тази уникална главна парола, която сте измислили заедно.

Многофакторно удостоверяване за супершпиони

Многофакторното удостоверяване (MFA, 2FA) е задължителен допълнителен слой сигурност, който трябва да представите на децата ви. Можете да обясните, че това е специален инструмент, който изпраща уникален шпионски код: само този, който разполага с него, получава достъп до строго секретна информация.

По-добре е да изберете приложение за удостоверяване или хардуерно решение. Те са по-безопасни от автоматичните текстови съобщения, които могат лесно да бъдат прихванати.

В заключение

Важно е създаването на правилни навици за киберсигурност при децата е да започне в ранна възраст. Включването на разбираеми и забавни елементи може да се окаже полезно и вълнуващо упражнение, което ще научи децата ви как да останат в безопасност онлайн.

Номерата на мобилните телефони и друга лична информация (име, пол, местоположение, статус на връзката, професия, дата на раждане, имейл адреси) на приблизително 533 млн. потребители на Facebook от целия свят в т.ч. 432 хил. от България, са налични безплатно в популярен хакерски форум. Ако сте сред потърпевшите, бъдете бдителни: изтеклата информация може да се използва за провеждане на атаки срещу вас: фишинг, smishing (фишинг на мобилен текст), атаки с размяна на SIM (SIM swap), кражба на кодове за двуфакторно удостоверяване, изпратени чрез SMS и др.

Можете да проверите дали данните ви са сред изтеклите ТУК.

Откраднатите данни циркулират сред хакерската общност още от юни 2020 г., като първоначално се прехвърляха между членовете й срещу заплащане. Тактиката не е непозната: информация, която първоначално се предлага на висока цена, постепенно става все по-достъпна, докато накрая се предоставя публично и безплатно, като начин за печелене на репутация в хакерската общност.

 

Смята се, че хакерите са използвали през 2019 г. вече закърпена уязвимост във функцията на Facebook „Добавяне на приятел“ („Add Friend“), която им е позволила да получат достъп до телефонните номера на членовете на социалната мрежа.

Препоръка:

Всички потребители на Facebook трябва да бъдат предпазливи ако получат имейли или съобщения, изискващи допълнителна информация или съдържащи линк, върху който ви приканват да кликнете.

Ubiquiti, водещ производител на безжично мрежово оборудване и IoT устройства, е обвинен в прикриване на сериозно нарушение на сигурността.

През януари 2021 г. компанията информира, че е установила неоторизиран достъп до системите си в облака, но потребителите й не са засегнати от това. Все пак клиентите бяха помолени да променят паролите си и да активират двуфакторно удостоверяване (2FA).

Няколко месеца по-късно експертът по сигурността Брайън Кребс съобщава в блога си, че инцидентът е далеч по-сериозен, дори „катастрофален“.

Твърди се, че нападателите са получили пълен администраторски достъп до AWS (Amazon Web Services) сървърите на компанията, включително до идентификационните данни за достъп на потребителите. Това потенциално компрометира всяка мрежа с Ubiquiti оборудване, настроено да бъде контролирано чрез облачната услуга на компанията.

Ubiquiti все така твърди, че дори да става дума за по-сериозен инцидент, клиентска информация не е засегната, и отново приканва към смяна на паролите за достъп и към активиране на 2FA.

База данни с над 3 млрд. имейла и техните пароли се продава на черния пазар за USD 2.

Информацията е събрана от множество различни хакове и изтичания на данни (от Netflix, Adobe, LinkedIn и др.) и е обработена от находчиви хакери до получаването на уникални комбинации от потребителско име и парола.

В базата присъстват и имейл адреси с разширение @abv.bg и @mail.bg.

Препоръчваме да проверите дали имейлът ви е бил компрометиран (https://haveibeenpwned.com/) и ако това е така, незабавно да смените паролата си за достъп  и да приложите двуфакторна автентикация, ако това е възможно.

Повече по темата може да видите ТУК.

PayPal е една от най-големите компании за онлайн разплащания в световен мащаб – използват я Microsoft, Google Play, PlayStation Store и мн. др.

Платформата има приблизително 361 млн. активни потребители, които правят средно по 40 транзакции годишно. Този мащаб предоставя голям шанс на хакерите да „спечелят“ пари, без вие, като потребител, да заподозрете.

Най-често срещаните измами

Голяма популярност през последните години набраха фалшивите уебсайтове, които пресъздават страницата на PayPal. Атаката се осъществява чрез фишинг имейл, който съдържа линк към подправената страница.

Когато кликнете върху линка, ви пренасочват към страница, в която да въведете своите разплащателни данни. Не само това, но ви искат и доста лична информация (име, адрес, ЕГН и др.), която впоследствие може да бъде използвана за по-мащабни атаки срещу вас.

Как да се защитите

PayPal има славата на една от най-безопасните платформи за извършване на финансови транзакции. Затова киберпрестъпниците проявяват голямо въображение, за да ви подмамят. Често използват тактики и заучени фрази като: “Днес е вашият щастлив ден и спечелихте от лотарията!”. Ако искате да получите „наградата“, трябва да заплатите малка такса за самата транзакция.

Първата лампичка, която трябва да ви светне е, че ако не сте участвали в такава лотария, единственият човек, който би спечелил нещо е хакерът.

За да не се хванете на кукичката на подобен тип атаки, винаги трябва да сте бдителни, да внимавате какви действия предприемате и задължително да приложите основни мерки за сигурност:

1. Използвайте силна парола

Паролата за PayPal трябва да е различна от паролите ви за достъп до други приложения и не трябва да я съхранявате в четим вид (plain text). Добра практика е използването на мениджър за управление на паролите (Password Manager) .

2. Активирайте двуфакторното удостоверяване

PayPal дава две възможности на потребителите си: Автентикация чрез OTP (One-time pin), който се генерира при всяко влизане или свързване на PayPal акаунта ви с third-party 2FA апликация.

3. Никога не използвайте PayPal приложението през незащитени или публични мрежи

През тях хакерите следят мрежовата активност и могат да прихванат или да променят вашият трафик (данни).

Бъг в сигурността на популярен софтуер, използван от уеб хостинг компании за управление на уебсайтове за своите клиенти, позволява заобикаляне на двуфакторното удостоверяване (2FA) при достъп до акаунта.

Става дума за уязвимост в cPanel (SEC-575), за която вече има пачове.

Вашата уеб хостинг компания използва ли cPanel?

cPanel акаунтите се използват от собствениците за достъп и управление на техните уебсайтове и основни настройки на сървъра. След като ги компрометират веднъж, хакерите придобиват пълен контрол над сайта ви.

Основната цел на 2FA е да предпази акаунтите ви от нелегитимен достъп, в случай, че някой успее да открадне потребителското ви име и парола за достъп в администраторския панел, напр. чрез успешна фишинг атака. Затова проблемът не трябва да бъде подценяван.

cPanel софтуерът се използва от стотици уеб хостинг компании за управление на над 70 млн. домейни по целия свят. Проверете дали не сте един от тях!

Препоръка:

Ако използвате cPanel акаунти, трябва спешно да поискате от вашия уеб хостинг доставчик да актуализира инсталацията на cPanel до най-новата версия, в която уязвимостта е закърпена.

Във всички случаи и независимо от използваната платформа, винаги активирайте 2FA, когато това е възможно!

Традиционната мрежова сигурност е изградена върху т нар. принцип на „замък и ров“ (castle-and-moat). В този принцип осигуряването на достъп до вътрешната мрежа от гледна точка на външния периметър е много трудно, но за сметка на това всеки който се намира вътре в мрежата по подразбиране се приема, че е доверен (сигурен) потребител.

Основният проблем в този принцип е именно това, че ако злонамерено лице си осигури достъп по някакъв начин до вътрешната мрежа, то то ще се счита за доверен потребител и по този начин ще има достъп до всички ресурси вътре в нея. Друга голяма слабост в този принцип се дължи на това, че в днешно време голяма част от информацията е разпръсната по различни доставчици на облачни услуги, което означава, че вече не се намира на едно централизирано място.

Zero trust security е модел за мрежова сигурност, който изисква стриктна идентификация на самоличността на всеки потребител и устройство, които се опитват да достъпят вътрешните ресурси, независимо дали те се намират в периметъра на вътрешната мрежа или извън нея. Няма конкретна технология, която да се свързва с този модел, а по-скоро това е подход към мрежова сигурност, който се базира на отделни принципи и методи.

Какъв е произходът на Zero trust security модела ?

Терминът „Zero trust“ е въведен от анализатор, работещ в Forrester Research Inc. през 2010 г., когато моделът за концепцията е представен за първи път. Няколко години по-късно Google обяви, че са внедрили този модел в своята мрежа, което доведе до нарастващ интерес в технологичната общност.

Използването на Zero trust security означава, че всеки потребител, искайки достъп до даден ресурс, се поставя под съмнение и се изисква удостоверяване от негова страна, независимо от това, дали е извън или в корпоративната мрежа. Това добавя още едно ниво на сигурност, което доказано предотвратява пробива в корпоративната мрежа.

Проучването на „Cost of a Data Breach“  на IBM за 2018 г. показва, че средната цена на един пробив в информационната сигурност на глобално ниво се оценява на около 3 млн. USD. Като се има предвид това число, не би трябвало да е изненада, че много организации вече нетърпеливо приемат Zero trust security като модел за мрежова сигурност.

Кои са основните принципи и методи, които стоят зад Zero trust security модела ?

Философията на този модел се базира на принципа, че злонамерените лица се намират както извън, така и в мрежата и по тази причина никой потребител или устройство не бива да бъде автоматично считано за сигурно. В допълнение на това, ключови принципи в този модел са:

• Принципа за най-малко привилегии (Least-privilege access) – Осигурява се достъп на потребителите само до нужната информация, за да изпълняват ежедневните си задължения. Достъп до друга информация се предоставя само при поискване. Това свежда до минимум достъпа на всеки потребител до чувствителни части от мрежата и съответно информацията.
• Използване на многофакторна автентикация (Multi-factor authentication – MFA) – Означава изискване на повече от едно доказателство за автентикация на потребител. Т.е. въвеждането само на парола не е достатъчно, за да получите достъп до даден ресурс. Често срещано приложение на MFA е 2-факторната автентикация (2FA), използвана в популярни онлайн платформи като Facebook и Google. В допълнение към въвеждане на парола, потребителите с 2FA за тези услуги трябва да въведат и еднократен код, изпратен на друго устройство – например мобилен телефон. По този начин те предоставят две доказателства, че те са тези, които твърдят, че са. За някои критични системи може да се изиска дори и 3-факторна автентикация, която включва парола, получен код на телефон или друго устройство и пръстов отпечатък, например.
• В допълнение към контрола върху достъпа на потребителите, Zero trust security изисква и строг контрол върху достъпа на устройствата до мрежата. Системите, които обслужват този мрежови модел трябва да наблюдават колко на брой устройства се опитват да се свържат към мрежата и дали те са удостоверени да извършват подобно действие. Това допълнително намалява шанса за успешна атака върху мрежата.
• Следене на мрежовия трафик. Приемете, че действието на всяко едно устройство трябва да се поставят под съмнение независимо, че се намира във вътрешната мрежа. Криптирайте всички вътрешни комуникации, ограничете достъпа чрез политики и използвайте микросегментация и системи за анализ на мрежовия трафик (IDS/IPS).

Как да имплементираме Zero trust security модела в нашата мрежа ?

Няма единен метод, в който да са описани всички подробни и точни стъпки, поради простата причина, че този модел е доста гъвкав и е пряко зависим от сферата на изпълнение на дадената компания.

Точно тук идва ролята на специалистите по мрежова и информационна сигурност, които базирайки се на принципите, описани по-горе и, вземайки на предвид спецификата на работата на конкретната инфраструктура, ще могат да изготвят план за плавно мигриране към този модел.

За тяхно улеснение някои вендори са разработили готов продукт, като например Cloudflare Access на CDN гиганта Cloudflare, с помощта на който всяка организация вече може бързо и лесно да внедри Zero trust security модела в своята мрежа.

Последен ъпдейт на 4 май 2020 в 11:59 ч.

Над 99.9% от хакнатите Microsoft бизнес акаунти са били БЕЗ активирана многофакторна автентикация.
Към момента, само 11% от бизнес акаунтите на потребителите на компанията използват допълнителната мярка за защита. Многофакторната автентикация надгражда потребителското име и паролата ви с еднократно средство за потвърждаване на идентичността ви. Например: получаване на еднократен код при всеки опит за логин през специално приложение или чрез SMS.

Статистиката на Microsoft полазва още:

• Средно 0.5% от бизнес акаунтите на потребителите на компанията се хакват всеки месец (това означава около 1.2 млн. акаунта месечно)
• Около 40% от хакнатите акаунти – или 480 хил. акаунта – са компрометирани, защото паролите им са били лесни за отгатване
• Приблизително още толкова акаунти се хакват, защото данните за логин на притежателите им са били отгатнати след публикуването им при източване от други сайтове. Иначе казано: потребител има акаунт в услугата Х, за който ползва определено потребителско име и парола. Услугата Х е пробита и данните за потребителя са източени и публикувани онлайн. Хакерите се сдобиват с данните и пробват да се логнат със същото потребителско име и парола в услугите на Microsoft. И успяват, защото потребителят използва едно и също име и парола навсякъде.

Изводът от презентацията на Microsoft: използвайте сигурни пароли, различни за всеки отделен сайт или услуга. Въведете многофакторна автентикация като допълнително средство за защита.

Прочетете повече по темата тук

В рубриката Бързи новини подбираме водещи заглавия за вас и споделяме линкове към външни публикации.