Бизнес

Едва 14% от лидерите по киберсигурност ефективно подсигуряват данните на организацията си, като същевременно позволяват те да се използват за постигане на бизнес цели.

За 35% от респондентите в скорошно проучване на Gartner защитата на данните е категоричен приоритет. За 21% използването им за постигане на бизнес цели е на първо място. Но само един на всеки седем (14%) може да направи и двете ефективно.

Това разминаване излага организациите на заплахи, регулаторни санкции и оперативна неефективност. Затова Gartner дава 5 препоръки към мениджърите по киберсигурността как да постигнат хармония между високите нива на защита на данните и ефективните бизнес процеси:

1. Създайте добре установен процес за съвместно разработване на политики и стандарти за сигурност на данните. В него трябва да участват както звената за управление на риска и киберсигурността, така и тези с бизнес функции.
2. Съгласувайте усилията, свързани със сигурността и използваемостта на данните. Мениджърите по киберсигурност трябва да си партнират с лидерите на останалите отдели, за да идентифицирате припокриванията.
3. Очертайте неподлежащи на обсъждане изисквания за сигурност, на които трябва да отговарят бизнес групите.
4. Определете предпазни огради на високо ниво около решения, свързани с GenAI. Позволете на бизнес групите да експериментират в рамките на ясно зададени параметри.
5. Работете постоянно съвместно с екипите за управление и анализи на данни. Това ще ви позволи да сте наясно с техните проблеми и изисквания, когато залагате мерките за сигурност.

Новооткрита уязвимост позволява заобикаляне на механизма за удостоверяване в определени версии на приложението SonicOS SSLVPN. Тя засяга firewall-a на операционната система. През нея отдалечен нападател може да отвлече активни SSL VPN сесии и да получи неоторизиран достъп до мрежата на жертвата.

Доставчикът предупреди, че уязвимостта може да се използва активно от киберпрестъпници. Администраторите трябва да надградят фърмуера на защитните си стени на SonicOS, за да се справят с проблема.

Той засяга SonicOS версии 7.1.x (до 7.1.1-7058), 7.1.2-7019 и 8.0.0-8035, работещи в множество модели защитни стени от Gen 6 и Gen 7, както и устройства от серия SOHO.

Пачовете са публикувани в SonicOS версии 8.0.0-8037 и по-нови, 7.0.1-5165 и по-нови, 7.1.3-7015 и по-нови, и 6.5.5.1-6n и по-нови.

 

Секторът на финансовите услуги в Европа трябва да започне да планира прехода си към квантово-безопасна криптография. Рискът от атаки от типа store now, decrypt later (SNDL) нараства, предупреди Европол.

Очаква се след време квантовите компютри да могат да разбият системите с асиметрично криптиране. Понастоящем това е начинът за защита на глобалните финансови транзакции, процесите на удостоверяване и цифровите договори.

Тези машини все още се смятат за отдалечени поне на десетилетие. SNDL атаките обаче скъсяват този график, ако хакерите вече крадат чувствителни данни с цел да ги декриптират по-късно.

Възможно е също така, с вливането на повече средства в областта, научните пробиви да ускорят появата на т. нар. „криптографски значими квантови компютри“ (CRQC).

Европол прави няколко препоръки в своя „Призив за действие“:

• Финансовите институции и създателите на политики трябва да дадат приоритет на прехода към квантово-безопасна криптография;
• Трябва да се подобри координацията между различните заинтересовани страни, включително съгласуване на пътните карти, целите и стратегиите за изпълнение;
• Доброволна рамка, създадена между регулаторните органи и частния сектор, ще бъде достатъчна за стимулиране на инициативи и стандартизация в областта на квантово-сигурната криптография;
• Необходима е ориентирана към бъдещето рамка за управление на криптографията;
• От съществено значение е и повече трансгранично сътрудничество и обмен на знания между органите от публичния и частния сектор.

Финансовите услуги остават популярна цел за участниците в заплахите. Доклад на Contrast Security от миналата седмица разкри, че 64% от банките са преживели атаки през предходната година, като повече от половината (54%) твърдят, че данните им са били унищожени.

Докато чакат появата на CRQC, организациите трябва да използват най-новите стандарти за криптиране заедно с традиционните за известно време, за да изгладят прехода.

Активна широкомащабна Brute-force атака от почти 2,8 милиона IP адреса се опитва да отгатне идентификационните данни за широк набор от мрежови устройства. Сред целите ѝ са такива на Palo Alto Networks, Ivanti и SonicWall.

Според платформата за наблюдение на заплахите The Shadowserver Foundation тя е активна от миналия месец. Най-много IP адреси, впрегнати в кампанията, има в Бразилия (1,1 млн.), следвана от Турция, Русия, Аржентина, Мароко и Мексико. Като цяло в нея участват такива от много голям брой държави.

Устройствата, които извършват тези атаки, са предимно рутери и IoT на MikroTik, Huawei, Cisco, Boa и ZTE. Продуктите на тези компании често биват компрометирани от големи ботнет мрежи със злонамерен софтуер.

За да ограничите уязвимостта на вашите системи към Brute-force атаки:

• задължително сменете администраторската парола по подразбиране със силна и уникална комбинация;
• активирайте MFA;
• създайте списък на позволени доверени IP адреси;
• деактивирайте уеб администраторските интерфейси, ако не са необходими.

Прилагането на най-новите актуализации на фърмуера и сигурността на тези устройства е от решаващо значение за премахване на уязвимостите.

Плащанията на откупи след ransomware атаки намаляват с 35% на годишна база през 2024. В глобален мащаб те възлизат на 813,55 млн. долара в сравнение с 1,25 млрд. долара, регистрирани през 2023.

Миналата година е счупен рекорда за най-голяма платена сума – 75 000 000 USD, изчисляват в последния си доклад от Chainalysis. Като цяло обаче само около 30% от жертвите, участвали в преговори с нападатели, в крайна сметка са им платили някакъв откуп.

Според NCC Group 2024 е била годината с най-голям обем на пробиви на ransomware, като са отчетени 5 263 успешни атаки. Намаляването на плащанията за откуп въпреки по-големия брой кампании се обяснява с няколко ключови фактора – най-вече с по-високата устойчивост на жертвите.

Плащането на откуп след ransomware атака не се препоръчва заради няколко основни причини:

• няма гаранция за възстановяване на данните;
• показва на нападателите, че организацията е склонна да плаща, което я прави мишена за бъдещи атаки;
• плащането на откуп подпомага престъпната дейност и насърчава хакерите да продължат с атаките си срещу други организации.

 

 

54% от глобалните финансови институции са били подложени на кибератаки, при които са били унищожени данни, през миналата година.

Според Modern Bank Heists Report 2025 на Contrast Security това представлява увеличение от 12,5% на т.нар. destructive attacks спрямо 2023. Унищожаването на данни обаче не е насочено само към саботажи и прекъсване на услугите. То се прави и за да се прикрият следи.

Деструктивните варианти на злонамерен софтуер целят да унищожат, нарушат или влошат работата на системите на жертвите. За целта те предприемат действия като криптиране на файлове, изтриване на данни, унищожаване на твърди дискове, прекратяване на връзки или изпълнение на злонамерен код.

Останалите заключения в доклада сочат, че:

• 64% от анкетираните признават, че тяхната институция е била обект на киберинциденти през изминалата година;
• облачните среди и API са двата най-често срещани вектора на атаки;
• за 71% от респондентите Zero day заплахите са най-голямата грижа по отношение на защитата на приложенията и API.

Унищожаването на данни не е единственият проблем, свързан с киберсигурността на финансовия сектор. Около 2/3 от анкетираните заявяват, че нападателите се опитват да откраднат непублична пазарна информация. След това тя се продава с цел борсови манипулации.

Други 48% са регистрирали увеличаване на броя на случаите на превземане на клиентски сметки. 43% пък са претърпели атака от типа island hopping. При нея хакерите използват неоторизиран достъп до банката жертва, за да атакуват нейни клиенти и партньори.

За да се защитят, финансовите институции трябва да:

• наблюдават постоянo API за поведенчески аномалии;
• внедрят ADR, за да блокират атаките в самото начало и улавят уязвимостите в приложенията и API.

 

Хакерите все по-често използват облачни платформи като Amazon Web Services (AWS) и Microsoft Azure, за да организират мащабни кибератаки.

Тези платформи, които приемат критична инфраструктура за бизнеси от цял свят, се компрометират чрез различни сложни методи.

Те включват:

• Infrastructure laundering: При него атакуващите използват откраднати или измамни акаунти, за да наемат IP адреси от AWS и Azure. Това дава възможност за провеждане на фишинг кампании, инвестиционни измами и операции по пране на пари.
• Кражба на API ключове: След като хакерите успеят да откраднат легитимни API ключове, те се изпозлват за заобикаляне на контрола за сигурност на организациите и генериране на вредно съдържание чрез официални услуги.
• Неправилни конфигурации на облака: Неправилно конфигурираните ресурси в облака продължават да бъдат значителна уязвимост. Нападателите използват публично достъпни бази данни или слаби политики за сигурност, за да получат достъп до чувствителна информация.
• Advanced Exploitation Techniques: Използвайки командата RunShellScript на Azure или публичните AMI (Amazon Machine Images) на AWS, нападателите получават отдалечен достъп до виртуални машини и извличат чувствителни метаданни или пълномощни.

За да се противопоставят на тези заплахи, организациите трябва да приемат надеждни мерки за сигурност в облака. Това включва:

• внедряване на усъвършенствани инструменти за наблюдение като GuardDuty за AWS или Microsoft Defender за Azure за откриване на подозрителни дейности в реално време;
• засилване на сигурността на API чрез редовна ротация на ключовете и ограничаване на използването им въз основа на IP или времеви периоди;
• редовни одити на конфигурацията на облачните ресурси за откриване на грешки и уязвимости;
• прилагане на Zero trust архитектура с MFA и политики за достъп с най-малки привилегии за допълнителна защита на средата.

DDoS атака, достигнала максимална скорост от 5,6 Tbps (терабита в секунда), счупи световния рекорд. Тя е извършена от ботнет Mirai с 13 000 компрометирани устройства и е била насочена срещу доставчик на интернет услуги в Източна Азия.

Атаката е продължила 80 секунди, но не е оказала влияние върху целта. Нейното откриване и смекчаване е било напълно автоматично.

Доскорошният рекорд за най-обемна DDoS атака беше 3,8 Tbps от октомври 2024, продължила 65 секунди.

Според Cloudflare хиперволуметричните DDoS атаки зачестяват – тенденция, станала особено забележима през Q3/2024. През Q4 атаките, надхвърлящи 1 Tbps, са скочили с 1885% на тримесечна база.

Тези над 100 млн. pps (пакета в секунда) също са се увеличили със 175%, като забележителните 16% от тях са надхвърлили и 1 млрд. pps.

Компанията твърди, че най-атакуваните цели през последното тримесечие на 2024 са в Китай, Филипините и Тайван, следвани от Хонконг и Германия. Повечето от тях са били в областта на телекомуникациите, доставчиците на услуги, интернет сектора и маркетинга и рекламата.

На практика обаче нито един бизнес не е застрахован – независимо от сферата и региона, в които оперира. За да се защитите:

• използвайте специализираните услуги за защита от DDoS атаки, предлагани от доставчиците на интернет услуги и хостинг компаниите;
• инсталирайте защитни стени и мрежови филтри, които могат да идентифицират и блокират подозрителен трафик;
• постоянно наблюдавайте мрежовия трафик за необичайни активности;
• използвайте CDN (Content Delivery Network) мрежи, които разпределят трафика към различни сървъри;
• поддържайте актуализирани всички софтуерни компоненти, за да няма уязвимости, които могат да бъдат използвани при DDoS атаки;
• инсталирайте AI решения за анализ на трафика в реално време и автоматично блокиране на злонамерени заявки.

Киберзаплахите, базирани на браузъри, са нараснали рязко. Те са отговорни за 70% от наблюдаваните случаи на атака със зловреден софтуер през 2024.

Това очертава значителна промяна в тактиките, използвани от киберпрестъпниците.

Според доклада 2024 Threat Data Trends на eSentire Threat Response Unit зловредният софтуер, доставян по електронна поща, е намалял през миналата година. Неговият дял е 15%. За сметка на това кампании, включващи т.нар. drive-by downloads и злонамерени реклами, например са се увеличили значително.

Тези техники все по-често се използват за доставяне на зловредни инструменти като Lumma Stealer и NetSupport Manager RAT. Нападателите ги предпочитат заради способността им да заобикалят традиционните филтри за електронна поща и контрола на сигурността.

Злоупотребата с валидни пълномощия също отбелязва значителен ръст. Компрометираните такива са се превърнали в най-често срещаният първоначален вектор за достъп.

Останалите заключения сочат, че:

• случаите на атаки с Infostealer са се увеличили с 31% спрямо предходната година;
• ransomware атаките продължават да таргетират всички индустрии, като се наблюдава нарастване на случаите на пробиви в крайни точки;
• броят на атаките през лични устройства и акаунти на доставчици от трети страни расте, което поражда загриженост относно сигурността на веригата за доставки;
• тактики като quishing и ClickFix набират популярност.

За да бъдете защитени в тази променяща се среда на заплахи, трябва да разчитате на многопластова стратегия за киберсигурност. Тя включва:

• възможности за 24/7 откриване на заплахи;
• внедряване на EDR решения;
• използване на устойчива на фишинг MFA.

Освен това трябва да провеждате редовни симулации на фишинг атаки и обучения по киберсигурност за служителите си. По този начин ще повишите тяхната осведоменост за тактиките за социално инженерство.

За да бъдат възможно най-добре защитени в киберпространството, потребителите трябва да се грижат за дигиталното си здраве, както за физическото – залагайки на превенцията. Това разбиране обаче не е достатъчно широко припознато и човекът остава най-голямата заплаха за киберсигурността и в ерата на изкуствения интелект.  

Върху това акцентира по време на форума Tech of Tomorrow Константин Веселинов, управител на CENTIO #Cybersecurity. 

По думите му хакерите използват всеки един момент, за да интегрират в инструментариума си най-новите технологии, а немалка част от бизнес ръководителите все още се затрудняват да се ориентират в реалностите на киберпространството. 

„Много често, когато говорим с наши клиенти, те ни казват: Нас не ни касае, на нас досега не ние се е случвало. А аз питам: Откъде знаете, че дори в момента не сте пробити? Така че най-голямата опасност не е изкуственият интелект, а липсата на естествен“, категоричен беше той. „Хората, които взимат решенията, често не са технически подготвени. Тук идва и конфликта между ръководителите и техническите екипи, които пък не са търговци и не могат да обяснят добре защо е нужно да се инвестира в киберсигурност“.  

И статистиката напълно потвърждава казаното от него – според Microsoft средното време, нужно на една компания да разбере, че е пробита, е 183 дни. А с развитието на AI нещата се усложняват. 

Ролята на изкуствения интелект 

Пример за това е случаят отпреди няколко месеца, когато служител на хонконгска компания преведе на нападатели 26 млн. долара. За да си гарантират успеха, те симулират не само телефонно обаждане, но и видеоконферентна връзка с участието на ръководители на компанията. Всичко това с помощта на изкуствен интелект. 

„Само няколко секунди са необходими на генеративните модели, за да възпроизведат говора на човек. С видеото още не са толкова добри, но скоро и това ще стане. В един момент те ще генерират по най-добрия начин и видео, и аудио“, предупреди Константин Веселинов. „В днешно време нещата стават много бързо и много ефективно. С AI могат да се генерират спам и фишинг атаки без никакъв проблем. Вече не е нужно да можете да пишете код, за да създадете вирус, той да бъде дистрибутиран до стотици хиляди и да вземете откуп от някакъв процент от тях“. 

В същото време в България 93% от компаниите са малки и се затрудняват да се възползват от преимуществата, които дава технологията, както го правят хакерите. За да се случи това, те трябва да наемат нови хора с нужната експертиза, което е натоварващо за тях. Затова компании като CENTIO #Cybersecurity използват AI, за да стилизират знанията и уменията на своите екипи, така че да предоставят по-добри услуги за малкия и средния бизнес. 

Човешкият фактор 

Този подход се налага и от огромния дефицит на специалисти – проблем, за който отдавна алармират представителите на индустрията за киберсигурност. И по всичко личи, че това ще остане предизвикателство поне в близкото бъдеще. 

„Понякога ни канят за гост-лектори в различни университети. Там виждаме, че много малък процент от хората имат някаква представа за какво говорим, а става дума за студенти 4 и 5 курс. Много от тях учат киберсигурност, само защото е модерно и се плаща добре“, акцентира управителят на CENTIO #Cybersecurity.  

По думите му „тук-таме има островчета на познание в нашата образователна система, но като цяло тя е твърде консервативна и не откликва адекватно на случващото се“. Това налага частният интерес – в лицето на различни образователни институции извън държавната система – да компенсира липсите, но и това не е достатъчно. 

Все пак Веселин Константинов вижда някаква светлина в тунела – Министерството на образованието обмисля да се въведе дисциплината „Киберсигурност“ в средното образование. А защо това е важно, той обобщи така: 

„Технологиите вървят напред, но в центъра на всичко е човекът. Те могат да бъдат използвани само от добре обучени хора. Хора, които знаят и могат“.