Бизнес

Според ново проучване на Mimecast малка част от служителите допринасят непропорционално много за тези инциденти. Едва 8% са отговорни за 80% от тях.

43% от респондентите съобщават, че през последните 12 месеца са наблюдавали увеличение на вътрешните заплахи и изтичането на данни заради небрежни служители. 66% очакват проблемите с киберсигурността заради вътрешни лица да нарасне през следващата година.

87% организации заявяват, че обучават служителите си да разпознават кибератаки поне веднъж на тримесечие. Въпреки това 33% се опасяват от човешки грешки при обработката на имейли. 27% са загрижени, че умората на служителите води до спад на тяхната бдителност.

За да защитите вашата организация от човешки грешки, които водят до пробиви в киберсигурността:

• запознайте ги със същността на киберсигурността и нейното значение за вашия бизнес и тяхната работа;
• запознавайте ги с последните тенденции в социалното инженерство и атаките със зловреден софтуер;
• провеждайте регулярни симулации на фишинг атаки, за да тествате устойчивостта на служителите си;
• използвайте мултимедийно и интерактивно съдържание, за да направите обучението по киберсигурност по-атрактивно и лесно разбираемо.

Близо 26 милиона устройства с Windows са били компрометирани чрез Infostealer от началото на 2023 до края на 2024. Действителният брой е още по-голям – 20 и 25 милиона през 2024 и между 18 и 22 милиона за 2023.

Само пробивите в Windows групата е довело до изтичане на повече от 2 милиона уникални данни за банкови карти, според ново изследване на Kaspersky. Всяка 14-та такава инфекция е довела до кражба на данни за банкови карти. А те са само част от информацията, която Infostealer са проектирани да крадат.

Организациите трябва проактивно да наблюдават пазарите в Dark Web и да откриват компрометирани акаунти, преди те да засегнат служителите или клиентите им. Но има и други мерки, които трябва да бъдат предприети, ако вече имате съмнения за пробив.

Корпоративни акаунти се делят на три категории:

1. В домейна на Active Directory или административни такива на корпоративни системи.
2. На служители на трети страни.
3. Клиентски.

Категория 1

• проверете за наличието на потребител с посоченото име за вход и стартирайте съществуващите в организацията процедури за разследване и реакция, ако то бъде потвърдено;
• направете антивирусно сканиране на всички потребителски устройства и корпоративни машини, които са засегнати. Трябва да се уверите, че сте премахнали всеки зловреден софтуер, който е открит по време на процеса;
• задължително променете паролата на всички компрометирани акаунти с дълги и сложни комбинации;
• анализирайте дневника за всякакви необичайни дейности, включително неуспешни влизания и опити за увеличаване на потребителските привилегии;
• активирайте MFA във всички корпоративни системи, където това все още не е неправено.

Категория 2

• проверете за наличието на потребител с посоченото име за вход. Той трябва да бъде информиране за пробития акаунт;
• той трябва да извърши пълно антивирусно сканиране на засегнатите устройства, потребителски и корпоративни, като премахне всеки открит зловреден софтуер.

Категория 3:

• проверете дали акаунтът съществува и определете дали принадлежи на клиент или на служител. Засегнатият потребител трябва да бъде информиран за компрометирането;
• задължителна сменете паролата с дълга и сложна комбинация;
• проверете дневниците за неоторизиран достъп или необичайна дейност;
• клиентът трябва да извърши антивирусна проверка на своите устройства и да активира MFA за засегнатото приложение.

Във всички случаи, с изключение на последния, съществуващите платформи за защита на крайни точки са в състояние да откриват, смекчават и премахват Infostealer.

87% специалисти по сигурността в ново проучване казват, че организацията им се е сблъскала с кибератака, задвижвана от AI, през 2024. Oткриването им все още е предизвикателство – едва 26% от тях изразяват висока увереност в способностите си.

91% от респондентите в SoSafe 2025 Cybercrime Trends очакват значителен ръст на този тип заплахи през следващите три години.

Global Cybersecurity Outlook 2025 пък посочва 223% увеличение на търговията с deepfake инструменти във Dark Web между Q1/2023 г. и Q1/2024.

Сред най-често споменаваните проблеми, които AI може да създаде в ръцете на нападателите, са техниките за замаскиране на атаките (51%). Друг такъв е, че технологията дава възможност за многоканални атаки. Те съчетават електронна поща, SMS, социални медии и платформи за сътрудничество.

AI, разбира се, може да се използва и за защита на бизнесите. Но технологиите са толкова силни, колкото хората, които ги използват. Информираността за киберсигурността е от решаващо значение. Без информирани служители, които могат да разпознават и да реагират на заплахите, дори и най-добрата технология не може да се справи.

Хакерите вече не просто търсят пропуски в традиционната мрежова сигурност. Те активно използват инструментите, на които организациите разчитат за ежедневните си операции.

Това превърна технологиите за отдалечена помощ, които са от съществено значение за IT поддръжката и непрекъсваемостта на бизнеса, в основна мишена. Високите нива на сигурност на платформите за дистанционна помощ вече не въпрос на избор. Те са основно изискване за поддържане на оперативната устойчивост.

Zero Trust идва на помощ

Твърде дълго време сигурността на платформите за отдалечена помощ не се проектираше в тяхната архитектура. Нарастването на броя на сложните киберзаплахи обаче изисква фундаментална промяна в подхода.

Организациите трябва да го преосмислят през призмата на Zero Trust. Те трябва да са сигурни, че всяка сесия, потребител и устройство се проверяват, отговарят на изискванията и се наблюдават, преди да получат достъп.

Това изисква структурирана стратегия, основана на:

• Идентичност и контрол на достъпа – гарантиране, че само проверени, отговарящи на изискванията потребители и устройства могат да инициират или получават отдалечена помощ.
• Сигурност на крайните точки и съответствие – налагане на базови нива на сигурност и стриктно контролиран достъп до всички управлявани устройства.
• Вградена сигурност в отдалечената помощ – вграждане на сигурността в самата основа на инструментите за отдалечена помощ, като се елиминират пропуските, от които могат да се възползват нападателите.

Сигурността на идентичността е крайъгълен камък на всяка сигурна стратегия за отдалечена помощ. Компрометираната самоличност често е първата стъпка в кибератаката. Организациите трябва да наложат:

• Изрична проверка на самоличността – използване на MFA и базиран на риска достъп, за да се гарантира, че само оторизирани потребители получават такъв.
• Достъп с най-малки привилегии – гарантиране, че отдалечената помощ се предоставя само за необходимата продължителност и с минимални привилегии.
• Оценка на риска в реално време – непрекъснато оценяване на заявките за достъп за аномалии или подозрителна дейност.

Като преместват периметъра на сигурността към идентичността, организациите създават среда, в която доверието се печели в реално време, а не се предполага.

Шест сектора на критичната инфраструктура изпитват затруднения да спазят директивата NIS2. За това предупреди водещата агенция за сигурност на ЕС.

Директивата беше създадена в отговор на нарастващите заплахи за критичните сектори в целия регион. Тя налага строг набор от базови изисквания за киберсигурност.

В нов доклад на Enisa за стартирането на схемата за оценка на състоянието на сигурността NIS360 се посочват следните сектори:

• управление на ИТ услуги, който е изправен пред предизвикателства заради трансграничния си характер и разнородните структури;
• космическа индустрия, където ограничените познания в областта на киберсигурността и силното разчитане на готови търговски компоненти са предизвикателства;
• публична администрация, където организациите „не разполагат с подкрепата и опита, които се наблюдават в по-зрелите сектори“;
• морски сектор, който е изправен пред предизвикателства, свързани с ОТ, и би могъл да се възползва от „адаптирани насоки за управление на риска в областта на киберсигурността“;
• здравеопазване, което разчита на сложни вериги за доставки, наследени системи и слабо защитени медицински изделия;
• газоснабдяване, който трябва да подобри готовността и възможностите за реагиране при инциденти.

Enisa също така посочва, че секторът на цифровата инфраструктура е „стъпка по-надолу по отношение на зрелостта“. Той включва критични услуги като интернет обмен, домейни от първо ниво, центрове за данни и облачни услуги.

Като положителни примери докладът изтъква електроенергията, телекомуникациите и банковото дело. Те са трите най-подготвени сектора от гледна точка на NIS2.

 

Служебните акаунти в Active Directory (AD) са честа мишена за хакери и киберпрестъпници, тъй като разполагат с привилегирован достъп до множество системи. Един компрометиран служебен акаунт може да отвори вратата към цялата корпоративна мрежа и да доведе до сериозно нарушение на сигурността.

Те се делят на три основни типа:

• Локални потребителски акаунти: Те съществуват и действат единствено в рамките на отделна машина. В тази категория попадат системните акаунти, акаунтите за локални услуги и мрежови акаунти. Важна тяхна характеристика е, че нямат достъп до ресурси отвъд границите на локалната машина.
• Домейн потребителски акаунти: Те получават достъп въз основа на членството си в групи и могат да оперират в рамките на целия домейн. Техните права и привилегии могат да бъдат управлявани централизирано.
• Управлявани служеби акаунти (MSA): Специализирани акаунти, които са създадени с конкретна цел – обслужване на определена системна функция или приложение. За разлика от стандартните потребителски акаунти, MSA не могат да се използват за интерактивно влизане в системата. Важно тяхно предимство е автоматичното управление на паролите. Операционната система сама се грижи за периодичната им смяна, което премахва административната тежест и риска от използване на остарели или компрометирани пароли.
• Групово управлявани служебни акаунти (gMSA): Подобни на MSAs, но предназначени за множество сървъри или услуги. Те включват допълнителни функции за сигурност като автоматично управление на паролитe. Предлагат по-високо ниво на защита и гъвкавост.

Служебните акаунти притежават разширен достъп до системи и ресурси и компрометирането им може да доведе до контрол върху мрежата. Те дават достъп до чувствителни данни и могат да бъдат използвани за странично движение в мрежата.

Затова те трябва да бъдат максимално защитени. Ето пет основни практики за постигане на високи нива за сигурност:

1. Следвайте принципа на най-малките привилегии

Служебните акаунти трябва да разполагат само с необходимите разрешения за изпълнение на своите задачи. Това означава:

• прецизно определяйте нужните права за всеки акаунт;
• редовно преглеждайте и ограничавайте излишните привилегии;
• избягвайте добавянето на сервизни акаунти към административни групи;
• използвайте отделни акаунти за различни услуги вместо да споделяте един.

2. Прилагайте многофакторна автентикация (MFA)

Това включва:

• Внедряване на MFA за интерактивни влизания;
• Използване на решения, съвместими със служебни акаунти;
• Защита на административния достъп до управлението на служебните акаунти.

3. Премахвайте неизползваните служебни акаунти

Редовното почистване на неизползвани акаунти е критично за намаляване на възможната повърхност за атака:

• провеждайте редовни одити на всички служебни акаунти;
• идентифицирайте и деактивирайте остарели или ненужни акаунти;
• документирайте целта и собствеността на всеки служебен акаунт;
• установете процес за преглед и деактивиране на акаунти при промени в инфраструктурата.

4. Наблюдавайте активността на служебните акаунти

Мониторингът е ключов елемент за ранното откриване на потенциални заплахи:

• Използвайте вградени инструменти като Event Viewer и Security Log;
• Внедрете специализирани решения за мониторинг;
• Следете за необичайни модели на активност като достъп в нетипично време или от необичайни локации;
• Настройте системите да подават автоматични сигнали при подозрителна активност.

5. Прилагайте стриктни политики за пароли

Дори при автоматизирано управление на паролите в MSAs и gMSA, стриктните политики за пароли остават важни:

• Използвайте сложни и дълги пароли
• Редовно сменяйте комбинациите за стандартните служебни акаунти;
• Използвайте генератори на случайни пароли;
• Внедрете решения за сигурно съхранение на данни.

Защитата на служебните акаунти в Active Directory е от критично значение за цялостната киберсигурност на организацията. Не я пренебрегвайте!

Microsoft е премахнала неразкрит брой хранилища в GitHub, използвани в масирана кампания за злонамерена реклама. Тя е засегнала почти един милион устройства по целия свят.

Компанията е открила кампанията в началото на декември 2024 г., след като е засякла множество устройства да изтеглят зловреден софтуер от GitHub. По-късно той е използван за разгръщане на поредица от различни други полезни товари в компрометираните системи.

Атаката протича така:

• нападателите инжектират реклами във видеоклипове на незаконни пиратски уебсайтове за стрийминг;
• видеоклиповете пренасочват потребителите към хранилища на GitHub. Те ги заразяват със злонамерен софтуер, събиращ подробна информация за системата;
• PowerShell скрипт изтегля троянеца за отдалечен достъп NetSupport, през който се инсталира infostealer Lumma.

Dropbox и Discord също се използват по сходен с GitHub начин. Кампанията е засегнала широк кръг организации и индустрии, включително потребителски и корпоративни устройства.

За да се предпазите:

• използвайте надежен антивирусен софтуер и го поддържайте актуален;
• изпoлзвайте Add Block;
• oбучавайте потребителите да избягват кликване на подозрителни реклами и поп-ъп прозорци;
• използвайте сигурни настройки на браузъра, които блокират изскачащи прозорци;
• конфигурирайте WAF (Web Application Firewall) с правила, специфични за malvertising, за да блокирате известни вектори на атаки като drive-by downloads.

Tри новооткрити критични уязвимости на VMware се използват активно от хакерите. Те позволяват на нападатели с привилегирован достъп до виртуални машини (VM):

• да увеличават привилегиите си;
• да изпълняват код на хипервайзори;
• да изнасят чувствителни данни от паметта.

Уязвимостите, открити от Microsoft Threat Intelligence Center (MSTIC), засягат продуктите VMware ESXi, Workstation, Fusion, Cloud Foundation и Telco Cloud Platform.

Broadcom вече е пуснала пачове за засегнатите продукти:

• ESXi 8.0/7.0: Пачове ESXi80U3d-24585383 и ESXi70U3s-24585291;
• Workstation 17.x: Версия 17.6.3;
• Fusion 13.x: Актуализация 13.6.3.

Организациите, използващи VMware Cloud Foundation или Telco Cloud Platform, трябва да приложат асинхронни пачове или да преминат към фиксирани версии на ESXi.

Съветваме ви:

• незабавно да актуализирате ESXi, Workstation и Fusion;
• да наблюдавате активността на виртуалните машини за необичайни модели за повишаване на привилегиите или достъп до паметта.

Виртуализацията е в основата на критичната инфраструктура. Проактивната защита е от първостепенно значение за сигурността на вашата организация.

 

Пролетта идва, а с нея е време и за четвъртото издание на Security BSides Sofia! Тази година уникалното събитие от обществото специалисти по киберсигурност за обществото специалисти по киберсигурност ще се проведе на 29 и 30 март в Interpred WTC Sofia.

Security BSides Sofia 2025 се отличава с изцяло техническата си насоченост. Всички презентатори са подбрани на база идеите, които искат да споделят. Те са част от събитието си не като представители на компаниите, за които работят, а като част от обществото.

„За разлика от много корпоративни конференции, Security BSides Sofia 2025 се отличава със своя комюнити характер и лесна достъпност. Нашето събитие е с отворен формат, който насърчава участието на всички присъстващи. Те могат да задават въпроси, като по този начин не се ограничават само до пасивното слушане“, акцентират организаторите на форума.

Затова и фокусът на Security BSides Sofia 2025 пада върху практическото знание и реалните казуси, а не върху маркетингови презентации. Конференцията предлага пространство за дискусии по теми, които често остават извън обхвата на традиционните конференции.

„Искаме да съберем на едно място както  професионалисти, така и ентусиасти в областта на киберсигурността, за да споделят знания, опит и нови интересни решения. Идеята на формата е да създаде достъпна платформа за обмен на идеи, представяне на нови технологии и дискусии в сферата на информационната сигурност. Стремим се да изградим силна общност, която насърчава сътрудничеството и развитието на киберсигурността в България и региона“, добавят те.

Програмата на Security BSides Sofia 2025 е разделена на две части – лекционна (29 март) и практическа (30 март), в рамките на която ще се проведат workshop-и. В първият ден на форума на сцената ще излязат лектори от четири различни държави, половината от които българи. Те ще представят основните тенденции в киберсигурността от гледна точка на водещите съвременни технологии – AI, дронове, квантови изчисления и т.н.

Цялата програма на Security BSides Sofia 2025, както и билети за събитието, можете да намерите ТУК.

Партньори на четвъртото издание на форума са CENTIO#Cybersecurity, [UX2.DEV], Commerzbank, ESET и BASELINE Cybersecurity.

Медийни партньори: DEV.BG, DIR.BG, Digitalk, BTV, Kaldata.

 

Атаките през трети страни са се превърнали в основен фактор за финансови загуби от киберинциденти през 2024 г.

Те са в основата на 31% от всички застрахователни искове и 23% от материалните последствия през миналата година. Според компанията за управление на киберрискове Resilience това бележи значителна промяна спрямо 2023. Тя подчертава нарастващата уязвимост, създадена от взаимосвързаните системи и зависимостта от външни доставчици.

Атаките с ransomware, насочени към доставчици, съставляват 42% от исковете към трети страни през 2024. Загубите от тези инциденти нарастват четири пъти в сравнение с предходната година.

Като цяло ransomware запазва позицията си на водеща причина за материални щети за бизнеса през миналата година.

За да се защитят, организациите трябва да:

• спазват стратегията за съхранение на данни 3-2-1: 3 отделни копия на данните, съхранявани на 2 различни места, и 1 копие офлайн;
• са сигурни, че резервните копия работят правилно, което изисква постоянни проверки;
• поддържат всички свои софтуери, особено тези за защита и създаване на резервни копия, актуализирани;
• използват софтуери за киберсигурност;
• въведат стриктен контрол на достъпа до своите системи и хранилищата на резервни копия чрез инструменти за аветентикация и оторизация;
• провеждат постоянно обучения по киберсигурност на служителите си.