Бизнес

Ако сте предводител на армия как ще предпочетете да я изпратите в битка – „въоръжена“ с цялата налична информация за врага или на сляпо? Очевидно е, че първият вариант е по-добър.

Същото е и в киберсигурността. Затова всяка организация трябва да е наясно с основните начини, по които може да бъде пробита от хакерите.

Ето 9 от тях:

1. Социално инженерство: Повече от 90% от атаките започват със социално инженерство. При него нападателите се насочват към хората, а не към техническите системи. С помощта на различни фишинг техники те подмамват потребителите да кликнат върху злонамерени връзки, да споделят пароли или да изтеглят зловреден софтуер.
2. Софтуерни грешки: Слабостите на даден софтуер могат да бъдат използвани от хакерите, за да получат неоторизиран достъп до организацията ви или да поемат контрол над вашите системи. Подобни уязвимости често възникват в резултат на грешки в кодирането, лоши практики за сигурност или остарял софтуер.
3. Authentication attacks: Те са насочени към системи, които се използват за удостоверяване на самоличността на потребителите. Те използват компрометиране на потребителските данни или уязвимости в механизмите за удостоверяване.
4. Злонамерени инструкции/скриптове: Всеки език за програмиране, макроезик или език за автоматизация може да бъде използван за злонамерени цели. Например PowerShell, инструмент, който вече присъства на всички машини с Windows, може да бъде програмиран или инструктиран да прави лоши неща. При този подход нападателите доставят на жертвите зловреден скрипт, използвайки социално инженерство. Ако те кликнат върху него, той компрометира системата им.
5. Злоупотреба с данни: В този случай нападателите умишлено променят или повреждат данни по начин, който води до неправилно тълкуване или поведение на системата. Чрез използване на несъответствия в начина, по който се обработват или валидират данните, нападателите могат да предизвикат претоварване на буфера. Това може да доведе до неоторизиран достъп, срив на системата или други нарушения на сигурността.
6. Човешка грешка или неправилно конфигуриране: Често срещана грешка е даден потребител да иска да изпрати имейл с чувствителни данни на даден получател, а да го изпрати на друг. Това създава сериозна възможност за нарушения на сигурността. Друга често срещана човешка грешка е неправилното конфигуриране или предоставянето на прекалено широки разрешения.
7. Man in the middle атаки: При Man in the middle атаките, нападателите не само прихващат, но и манипулират предаваните данни. При тях информацията изглежда легитимна както за изпращача, така и за получателя. По този начин може да бъде открадната всевъзможна критична информация.
8. Brute force: Този тип атаки използват различни комбинации от входни данни, като например пароли или ключове за криптиране, докато намерят правилната. Слабите или кратките пароли са особено уязвими. Статистиките сочат, че хакерите се нуждаят от едва 37 секунди, за да разбият обикновена осемцифрена парола, използвайки brute force.
9. Вътрешни атаки: Вътрешни атаки се случват, когато доверени служители, бизнес партньори или изпълнители злоупотребяват с достъпа си до системи или данни за злонамерени цели. Това включва кражба на информация, саботаж на системите или умишлено извличане на чувствителни данни. Вътрешните атаки са особено опасни, защото извършителите вече имат достъп и откриването на злонамерените им действия може да бъде трудно.

Очаквайте продължението: „Как да се защитим от най-използваните методи за кибератака срещу бизнеса“.

Броят на Pass-the-Cookie (PTC) атаките се увеличава и подкопава статута MFA като достатъчен за защитата на потребителите и организациите инструмент. Чрез тях киберпрестъпниците „отвличат“ бисквитките на сесиите и получават достъп до чувствителни акаунти.

Този тип атаки са насочени основно към платформи като Microsoft 365, YouTube и финансовите услуги. Те ясно показват, че потребителите и организациите не трябва да разчита единствено на MFA за проверка на самоличността за критични профили .

Бисквитките съхраняват токени за удостоверяване и позволяват безпроблемен достъп без повторно въвеждане на входни данни. Хакерите крадат тези токени чрез зловредни софтуери като LummaC2 или Redline. Те често се разпространяван чрез фишинг кампании, маскирани като софтуерни актуализации или оферти за сътрудничество.

След като бъдат извлечени, бисквитките се използват от нападателите за достъп до акаунти, без да се изискват пароли или MFA.

Защо само MFA не е достатъчно

По подразбиране сесиите на Microsoft 365 например се запазват в предиод от 1 до 24 часа. Други платформи запазват бисквитки за неопределено време, ако потребителите изберат „Запомни това устройство“.

Атакуващите използват това, като ги крадат по време на активни сесии или използват infostealer, за да ги събират от заразени устройства. 72% от PTC атаките, открити от Obsidian Security, са насочени към SaaS приложения, включително такива за електронна поща и облачно съхранение.

Дори „устойчивите на фишинг“ методи за MFA, като например хардуерни ключове, са уязвими, ако потребителите имат достъп до акаунти на незащитени устройства.

Ограничаване на заплахата

Мерките за защита от Pass-the-Cookie атаките включват:

• Съкращаване на продължителността на сесиите: Наложете времеви ограничения (например 15 минути за високорискови приложения) и деактивирайте „постоянните“ бисквитки;
• Защита на бисквитките: Маркирайте „бисквитките“ като „Secure“ и „HttpOnly“, за да предотвратите ексфилтрирането на JavaScript;
• Ключове за достъп: Заменете паролите с FIDO2 (Fast IDentity Online 2) ключове. Те обвързват удостоверяването с конкретни устройства и премахват зависимостите от бисквитките;
• Ограничаване на достъпа до устройства: Използвайте MDM решения, за да блокирате достъпа на неоторизирани устройства;
• Обучение на потребителите: Обучете служителите си да избягват подозрителни връзки и задължително да излизат от сесиите, вместо директно да затварят браузърите.

 

50% от всички организации имат натрупани уязвимости с висока степен на сериозност, оставени отворени за повече от една година. Над 2/3 (70%) от тях идват от код на трети страни и веригата за доставка на софтуер.

В същото време средното време за отстраняване на уязвимостите в сигурността на софтуерите е нараснало до осем месеца и половина. Според доклада State of Software Security (SoSS) на Veracode това е ръст от 47% за последните пет години.

Ако се направи сравнение с преди 15 години, този скок е още по-умопомрачаващ – 327%. Това до голяма степен се дължи на по-голямото разчитане на код от трети страни и използването на такъв, генериран от AI.

Около 3/4 (74,2%) от всички организации имат някакъв дълг по отношение на сигурността, включително недостатъци с по-ниска степен на сериозност.

Други констатации в доклада включват:

• 56% от приложенията съдържат уязвимости в сигурността с висока степен на сериозност, а 80,3% – някакви недостатъци, били те и по-незначителни;
• 64% от приложенията имат уязвимости в кода на първата страна, докато 70% – в кода на трети страни.

Съветваме организациите да следят постоянно за новооткрити уязвимости и да прилагат пачове в първия възможен момент.

Китайски ботнет с над 130 000 компрометирани устройства атакува бизнес акаунти в Microsoft 365.

Password spraying кампанията е насочена към различни индустрии по цял свят и успява да заобиколи MFA. Тя използва откраднати чрез infostealer идентификационни данни.

Целта на хакерите е получаване на достъп до чувствителни данни, имейли и инструменти за съвместна работа. Те използват компрометираните акаунти и за вътрешни фишинг атаки в рамките на таргетираните организации.

За да не станете жертва на password spraying:

• въведете политики за достъп, базирани на геолокация;
• деактивирайте старите протоколи за удостоверяване като Basic Authentication;
• следете за изтичане на идентификационни данни в криминални форуми и бързо нулирайте компрометираните акаунти.

Парламентът прие на първо четене промени в Закона за киберсигурност. Те въвеждат европейските изисквания за мрежова и информационна сигурност, заложени в NIS 2, и трябваше да бъдат факт до 17.10.2024 г.

Промените предвиждат задължителни процедури по докладване на киберинциденти и глоби за неспазване на правилата на директивата. Най-значителната санкция става от 50 000 лв. до 2% от общия глобален годишен оборот на организацията за предходната финансова година, но не по-малко от 20 000 000 лв. Тя е валидна за т.нар. „съществени субекти“.

„Важните субекти“, които нарушат задълженията си по NIS 2, са заплашени от имуществена санкция от 25 000 лева до 1,4% от глобалния им годишен оборот, но не по-мако от 14 000 000 лева.

В обхвата на NIS 2 попадат енергетиката, транспорта, банковия сектор, пощенските и куриерските услуги и други критични сектори.

Срокът за предложения между първо и второ четене на законопроекта беше удължен до максималния от 28 дни, или до 20.03.2025 г.

Очаквайте коментар по темата от нашите експерти!

 

През 2024 Infostealer софтуерите са се превърнали в един от „най-значимите първоначални вектори за атака“. Според израелската компания за киберсигурност Kela те са свързани с компрометирането на най-малко 330 милиона креденшъли.

За да се случи това, нападателите са пробили защитата на поне 4,3 милиона машини. И двете цифри представляват леко увеличение спрямо 2023 г., но посоката на движение е постоянно възходяща.

Компрометираните креденшъли осигуряват достъп до редица чувствителни корпоративни услуги – облачни решения, CMS, електронна поща и т.н. Трите водещи щама на infostealer – Lumma, StealC и RedLine – са отговорни за над 75% от заразените машини.

За да не станете част от тази статистика:

• инсталирайте антивирусен софтуер и редовно го актуализирайте;
• активирайте MFA;
• бъдете внимателни с фишинг имейли – не отваряйте прикачени файлове или линкове от непознати източници и проверявайте внимателно адреса на подателя;
• актуализирайте редовно софтуерите и OS на вашите устройства, за да намалите риска от уязвимости;
• използвайте firewall и инструменти за мониторинг на трафика, за да можете да засечете подозрителна активност.

Главните изпълнителни директори демонстрират особено висока податливост на атаки със социално инженерство. За това предупреждава неотдавнашно проучване на компанията за киберсигурност Hackmosphere.

То разкрива, че дори опитни ръководители са изключително уязвими по-сложни заплахи, базирани на електронна поща.

Експериментът на Hackmosphere се фокусира върху т.нар whaling. От компанията разработват персонализирани сценарии за 45 изпълнителни и главни технически директори от различни индустрии. Резултатите показват, че 24% от изпълнителните директори са кликнали върху злонамерените връзки. При техните технически колеги този процент е едва 6. Това подчертава различията във възприемането на заплахите сред ръководните длъжности.

Проучването разкрива и пропуски в сигурността на някои платформи за корпоративна електронна поща. Докато Office 365 маркира по-голямата част от фишинг имейлите като спам, Gmail позволява на 98% от тях да достигнат до основните пощенски кутии. Тази разлика предполага, че организациите, които разчитат на решения за електронна поща от потребителски клас, са изправени пред по-големи рискове.

За да повишат нивата си на защита от сложни фишинг атаки, организациите трябва да:

• използват филтри за спам, управлявани от изкуствен интелект;
• задължително да активират MFA в своите имейл платформи;
• непрекъснато да провеждат симулации на фишинг атаки.

Последен ъпдейт на 2 март 2025 в 12:27 ч.

В продължение на години стратегиите за сигурност се фокусираха върху три основни области: мрежа, крайни точки и електронна поща. В същото време браузърът, в който се извършва по-голямата част от съвременната работа, е разположен между всички тях. Киберпрестъпниците се адаптираха към това, като насочиха атаките си към него.

Заплахите, базирани на браузъра, манипулират уеб приложенията в реално време, избягвайки засичането им от firewall и EDR решения. Затова екипите по сигурността трябва да преосмислят откриването и реакцията на това ниво.

Нов клас заплахи

Malware Reassembly

Традиционните модели за сигурност са проектирани да откриват и блокират зловреден софтуер, базиран на файлове. Нападателите обаче се отказаха от конвенционалните полезни товари в полза на зловреден софтуер, който динамично се сглобява в браузъра. Тези атаки са практически невидими за инструментите за защита на крайни точки и мрежи.

Хакерите използват JavaScript loader и HTML injection, за да модифицират уеб страници и да сглобяват зловреден код и файлове за изтегляне директно в раздела на браузъра.

Работейки в тази среда, подобни заплахи избягват традиционните механизми за откриване. Това позволява на киберпрестъпниците да превземат сесиите на потребителите, да крадат пълномощия и да компрометират чувствителни данни. Без видимост в реално време за това как уеб страниците и скриптовете работят в браузъра, организациите остават слепи за тези нови техники за атака.

Фишинг и Trusted Site Exploitation

Нападателите постоянно усъвършенстват техниките за фишинг, за да заобиколят автоматизираното откриване. Те използват сложни тактики в няколко стъпки, които включват:

• многократни пренасочвания, за да се избегнат механизмите за откриване и изолиране, базирани на URL;
• насочвани с JavaScript фишинг страници, които динамично генерират злонамерено съдържание при поискване;
• CAPTCHA и контрол на достъпа на базата на сесии, за да се блокират инструментите за сигурност от сканиране на измамни сайтове.

В изследване за сигурността на браузъра на Keep Aware се подчертава, че зашеметяващите 70% от многостъпковите фишинг кампании се представят за приложения на Microsoft – OneDrive или Office 365. Нападателите използват все по-често и надеждни платформи като Google Docs, Dropbox и AWS, за да хостват зловредно съдържание. Това значително затруднява откриването.

Традиционните механизми за защита са неефективни срещу тези тактики и екипите по сигурността се нуждаят от нови модели за откриване. Те трябва да работят в самия браузър, за да наблюдават структурата на страницата и да откриват промени – независимо от URL адреса.

Мъртвата зона в разширенията на браузъра

Разширенията се превърнаха от прости инструменти за продуктивност в дълбоко интегрирани приложения с достъп до почти всичко, което се случва в браузъра. Въпреки нарастващата им сложност, тяхната сигурност остава до голяма степен неконтролирана. Това създава огромна повърхност за атаки от страна на киберпрестъпниците:

• Infostealer и други злонамерени разширения могат да се маскират като легитимни инструменти, докато тихомълком изнасят данни;
• компрометираните акаунти в Chrome Web Store доведоха до масово разпространение на измамни разширения, заобикаляйки стандартните прегледи за сигурност;
• повторното активиране на разширенията и актуализациите на версиите могат да създадат непосредствени рискове за сигурността.

Всичко това подчертава спешната необходимост от мониторинг на разширенията в реално време и интеграцията на автоматизирани инструметни за откриване на заплахи.

Пропастта в сигурността: Защо традиционните инструменти не са достатъчни

Основното предизвикателство в сигурността на браузъра се крие в неговия уникален модел на данните – Document Object Model (DOM). Той управлява начина на визуализиране и манипулиране на уеб страниците, но до голяма степен остава пренебрегнат като вектор за атака.

Инструментите за мрежова сигурност и защита на крайните точки следят трафика и изпълнението на процесите. Браузърът обаче е активна среда, в която съдържанието и скриптовете се променят динамично.

Организациите трябва да възприемат модел за откриване на заплахи в браузъра, като наблюдават поведението на сесиите, моделите на въвеждане на удостоверения и високорисковите взаимодействия в реално време. Контролите трябва да работят отвъд филтрирането на URL адреси, за да включват откриване с отчитане на контекста.

Точно както EDR трансформира сигурността на крайните точки, BDR трябва да се превърне в основен компонент на корпоративната сигурност. Решенията от този клас позволяват телеметрия в реално време, анализ на изпълнението на JavaScript и на заплахи на ниво браузър.

Браузърът като източник на риск за цялата организация

Откриването на заплахите и реагирането са от решаващо значение за сигурността на ниво браузър. Организациите обаче трябва да вземат предвид и по-широките рискове, включително:

• чувствителна информация може да бъде копирана, качена или споделена в рамките на неподлежащи на наблюдение SaaS приложения;
• служителите рутинно използват несанкционирани инструменти и приложения с изкуствен интелект в браузъра, заобикаляйки IT контрола;
• те често споделят поверителни данни в AI чатботове и асистенти, без да разбират последиците за сигурността;
• компрометирани акаунти и злонамерени вътрешни лица могат да изнасят корпоративни данни директно в браузъра.

Тези предизвикателства подчертават нуждата от непрекъсната видимост и превенция на заплахите, които се простират отвъд мрежата, крайните точки и електронната поща. Екипите по сигурността трябва да преосмислят управлението на браузъра, сигурността на данните и контрола на риска от вътрешни лица като част от цялостна стратегия за сигурност на предприятието.

Браузърът вече не е просто инструмент за продуктивност – той е основната повърхност за атака, която нападателите използват, за да заобиколят традиционните защити. Така че не пренебрегвайте този вектор, а го защитете както останалата част от вашата IT инфраструктура.

През 2024 национални държави и APT групи направиха значителни инвестиции в инфраструктура и автоматизация, за да засилят познатите методи за кибератаки. Единственият начин на организациите да се защитят в тази среда на нарастващи рискове е проактивният подход към киберсигурността.

Ето три основни стъпки, с които можете да изпреварите нападателите:

Подгответе се за нови киберзаплахи

• Опознайте цялата повърхност, която може да бъде атакувана, включително всички потенциални входни точки;
• Прилагайте проактивни мерки за сигурност, които затварят всякакви пропуски и осигуряват постоянна защита;
• Подготовката за нови киберзаплахи включва редовно актуализиране на защитните механизми и обучение на служителите за разпознаване на потенциални атаки.

Разширете Zero Trust подхода до всички свои ресурси

• Zero Trust подходът изисква проверка на всяка заявка за достъп, независимо от това дали идва от вътрешната мрежа или от външни източници;
• Прилагайте MFA за всички акаунти. Това е ключова стъпка за осигуряване на допълнителен слой защита.
• Контролът върху достъпа трябва да обхваща не само служителите, но и партньорите, клиентите и AI идентичностите, взаимодействащи с ресурсите на вашия бизнес.

Използвайте генеративен AI за подобряване на сигурността

• Генеративният AI може да бъде използван за откриване на заплахи в реално време и автоматизиране на отговорите на инциденти;
• Технологията помага за проактивна защита срещу нови и непознати опасности, като анализира големи обеми данни и идентифицира аномалии;
• Внедряването на AI решения за сигурност повишава ефективността на защитните механизми и намалява времето за реакция при инциденти.

Приемането на проактивен подход към киберсигурността е от съществено значение за организациите през 2025 г. и след това. Опознаването на вашите системи, разширяването на Zero Trust контролите и използването на генеративен AI ще направят защитата ви значително по-ефективна.

 

Активна хакерска кампания, свързана с Русия, краде акаунти в Microsoft 365 чрез device code phishing.

Целите са в правителствения и неправителствения сектор, IT услугите и технологиите, отбраната, телекомуникациите, здравеопазването и енергетиката. Кампанията засяга организации в Европа, Северна Америка, Африка и Близкия изток.

Според Microsoft зад нея стои групата Storm-237.

Устройствата, които нямат поддръжка на клавиатура или браузър, като например смарт телевизори и някои IoT, разчитат удостоверяване чрез код. Групата злоупотребява с това, като подвежда потребителите да въвеждат генерирани от нея кодове на легитимни страници за влизане.

За да се защитите:

• наложете стриктни политики за достъп в Microsoft Entra ID, за да се ограничи използването му до доверени устройства или мрежи;
• използвайте регистрационните дневници на Microsoft Entra ID, за да идентифицирате бързо голям брой опити за удостоверяване за кратък период от време.