Cybersecurity

  • 5 стъпки, с които да защитите вашата стартъп компания от кибератака

    Никой бизнес не е достатъчно малък за хакерите. 60% от малките предприятия затварят в рамките на шест месеца след кибератака. 43% от всички организирани атаки са насочени към малки фирми, което реално ги прави най-голямата мишена за киберпрестъпниците.

    Затова е добре да разглеждате киберсигурността като част от плана за развитие на стартиращата си компания. Ето пет стъпки, които всеки предприемач може да приложи:

    1. Въведете политика за защита на данните от първия работен ден на компанията ви

    Добрата политиката за защита на данните има две основни цели:

    Първата е да създаде прозрачност: трябва ясно да идентифицирате какви данни ще събира компанията ви и как ще ги съхранява.

    Втората цел е да се изясни връзката на всеки служител с тези данни: как ще се осъществява достъпа до тях, как ще се контролира този достъп, какви са отговорностите на всеки служител.

    Що се отнася до киберсигурността, човешкият елемент е най-слабото звено. Нападателите често се насочват към вътрешни лица, за да преминат защитата на периметъра на мрежата. Осъзнаването на личната отговорност от страна на всеки служител е от решаващо значение.

    2. Задайте ИТ стандарти за използвания хардуер

    Задаването на правила какви устройства да се използват може да бъде решаващ защитен елемент за младата ви компания. Много стартъпи се  опитват да спестят пари по всякакъв начин. Най-лесно е да намалите ИТ разходите, като приложите модела „BYOD“ („донеси свое собствено устройство“).

    Когато служителите ви използват личните си устройства е достатъчно само един да изтегли злонамерено приложение или да посети опасна уеб страница, за да бъдат данните на компанията ви застрашени. За да имате защитен BYOD модел, задайте хардуерни стандарти за всички устройства, на които служителите ви работят, и ги прилагайте.

    За начало, изисквайте само актуализиран хардуер. Това означава да няма стари смартфони или лаптопи, излезли от поддръжка. Можете също така да зададете минимални изисквания за актуализация на операционната система, за да сте сигурни, че не се използва уязвим софтуер.

    Помислете за софтуер за защита на бизнеса. Бизнес решения в този клас предлагат компании като ESET или MacKeeper, ако използвате предимно продукти на Apple.

    3. Елиминирайте паролите, когато е възможно

    Според докладa на Verizon за разследване на нарушения на данните, компрометираните пароли играят роля в 61% от всички атаки през 2020 г.

    Когато е възможно, използвайте хардуерни ключове за сигурност или биометрия, за да защитите своите данни и свързаните с тях активи.

    Ако не можете да се отървете от паролите напълно, задължително активирайте двуфакторно удостоверяване (2FA) – това ще намали шансовете за успешна атака. Приложете тази политика спрямо всички изпълнители на свободна практика, които имат достъп до фирмената ви структура, тъй като много често атакуващите използват идентификационни данни на трети страни при атака.

    4. Правете регулярни бекъпи на критичните си системи

    Рансъмуер атаките се увеличават експоненциално през последната година. Минимизирайте заплахата за стартиращия си бизнес, като разработите план за реакция, който включва редовно  генериране на актуализирани резервни копия на критичните ви системи и данни.

    Идентифицирайте критичните си ИТ активи и внедрете метод за архивиране, който позволява пълно възстановяване на данните. За целта можете да използвате онлайн доставчици за архивиране или сменяеми твърди дискове, които да съхранявате офлайн.

    Важно е да изготвите пълен, поетапен план, който да описва кои системи се възстановяват първо, кой ще свърши работата и колко време трябва да отнеме това. Така ще можете да минимизирате негативното въздействие на евентуална рансъмуер атака.

    5. Не пренебрегвайте киберзастраховката

    Подобна застраховка може да покрие много от разходите за възстановяване при атака. Това би гарантирало оцеляването ви в дългосрочен план. Финансовите последици от такива атаки често са по-големи, отколкото една малка компания може да понесе, особено ако нарушението включва чувствителна информация.

  • Изградете комплексна защита срещу съвременните заплахи

    В последните няколко месеца станахме свидетели на безпрецедентно мащабни кибератаки по цял свят. Рансъмуер успешно порази  американски бензинов тръбопровод, Fujifilm, JBS – случаите потвърждават колко е важно да мислите за киберзащитата като процес, а не като единичен акт. Както и не само да реагирате бързо, но и да разполагате с необходимия план и ресурси за възстановяване след киберинцидент.

    За да бъдете в „крак с модата“, защита ви трябва да бъде многослойна

    Прецизно таргетираните атаки, които използват различни инструменти за експлоатиране на  слабости в различните слоеве на защита, вече са тенденция. Най-добрият начин да намалите вероятността за успешен пробив е да използвате многопластов подход. И дори някои слоеве на сигурността да ви изглеждат тривиални или очевидни, всички те са еднакво важни.

    Както и в много други аспекти от живота, безсмислено е да предприемате по-сложни действия, преди да сте положили подходяща основа. Да вземем за пример система за пречистване на вода – първият етап е отстраняването на големите и видими частици. При киберсигурността може просто да започнете с мрежова защитна стена, блокираща очевидно злонамерения трафик. Друга основна стъпка е наличието на антивирусно решение по крайните точки, което да работи със система за ранно откриване и известяване за потенциални заплахи. И вече сте намалили шанса една атака да бъде успешна.

    Анализирайте мрежовия си трафик

    В повечето случаи, за да тълкувате правилно събраните данни се нуждаете от допълнителен анализ. Точно както при водата – невъзможно е да разберете дали е годна за битови цели без подходящи изследвания.

    За да изградите работещ модел на киберзащита трябва да започнете от събирането и анализа на мрежовите данни за дълъг период от време, за да се определи откъде идва злонамерен трафик. По-конкретно, необходимо е внедряване на мрежови системи за откриване и реагиране (NDR). Така мрежовият трафик ще бъде записан и обработен, като по този начин ИТ екипът ви ще има нужния минимум за първоначален анализ на мрежовите данни.

    Сигурност за хибридни работни модели

    През последната година на голяма част от бизнеса се наложи да се преструктурира и да работи отдалечено. Тенденциите сочат, че част от компаниите въвеждат хибриден работен модел за постоянно, което значи, че работата от разстояние ще продължи дори и след пандемията, като темата за сигурен отдалечен достъп ще бъде актуална и занапред.

    Необходимо е ИТ екипите да изградят работещ модел за служителите, които са извън мрежата, като осигурят и генерираният от тях трафик да бъде записван и анализиран.

    Използването на системи, поддържащи NDR дава търсената видимост и контрол над потребителската активност. Това е особено важно, когато не всички потребители са свързани постоянно към мрежата. След като тази връзка се възобнови, наличието на данни (логове) е от решаващо значение за идентифициране на потенциално заразени устройства.

    Освен да подсигурите инфраструктурата си за работа от разстояние е много важно да имате и инструмент, с който да контролирате, записвате и проследявате действията на служителите си –  не само на тези със стандартни профили, а и на тези с привилегировани  права (Priviledged Access Management).

    Служителите – най-уязвимото звено

    Доста от пробивите успяват благодарение на съдействие, оказано отвътре – от служителите – често пъти неволно, но и не толкова рядко – волно. Използвайки различни подходи – социално инженерство, фишинг и др. – атакуващите отварят широко корпоративната врата към най-скъпия ви актив – данните.

    Защитата на периметъра и тази на крайните точки е фундаментална, но не по-малко важно е да помислите как да защитите данните, с които се борави на ежедневна база. Имено тук идва ролята на Data Loss Prevention (DLP) софтуерите. Решенията за предотвратяване на загубата на данни и оптимизация на работни процеси са  подходящи за всякакъв размер и тип бизнес. Инструменти от този род предотвратяват изтичането на конфиденциална/чувствителна информация и осигуряват видимост върху работните процеси.  Разбирате какво реално се случва в компанията, като елиминирате опасни навици при работа с данните ви и изчиствате неефективни процеси.

    В заключение:

    Прилагането на комплексен подход за киберсигурност е единственият ефективен начин за предпазване от атаки: Дори те да не могат да бъдат спрени, щетите, които причиняват, ще бъдат  намалени драстично.

  • 10 заблуди за киберсигурността

    Екипът на Sophos за бързо реагиране (Sophos Rapid Response team) е съставил списък с най-често срещаните погрешни възприятия за киберсигурността. Става дума за грешки на мениджърите / администраторите, с които специалистите от екипа са се сблъскали през последните 12 месеца, докато са неутрализирали и разследвали кибератаки в широк кръг организации.

    Десетте най-разпространени заблуди по отношение на киберсигурността, които Sophos опровергава са:

    Заблуда 1: Ние не сме цел – твърде малки сме и / или нямаме ценни активи

    Контрапункт: Повечето киберпрестъпници търсят лесна плячка и бърза финансова облага – те преследват пропуски в сигурността и погрешни конфигурации, които могат лесно да използват. Ако смятате, че вашата организация не е цел, вероятно не проверявате редовно мрежата си за подозрителна активност и може да пропуснете ранни признаци на кибератака.

    Заблуда 2: Нямаме нужда от усъвършенствани технологии за сигурност, инсталирани навсякъде

    Контрапункт: Ежедневно се увеличават техниките за атака, които заобикалят или деактивират софтуера за защита на крайните точки. Сървърите вече са цел номер едно за атака и нападателите могат лесно да намерят директен маршрут, използвайки откраднати идентификационни данни за достъп. Всички грешки в конфигурането, пачването или защитата правят сървърите уязвими, включително тези под Linux. Дори нападателите често инсталират задна врата (backdoor) на Linux машини, за да ги използват после като безопасни укрития за достъп до мрежата ви.

    Заблуда 3: Имаме непоклатими политики за сигурност

    Контрапункт: Да, наличието на политики за сигурност на приложенията и потребителите е много важно. Те обаче трябва да се проверяват и актуализират постоянно, тъй като към устройствата, свързани в мрежата, се добавят непрекъснато нови функции и функционалности.

    Заблуда 4: Можем да защитим RDP сървърите от нападатели чрез промяна на портовете, на които се намират, и въвеждане на многофакторно удостоверяване (MFA)

    Контрапункт: Сканирането на портове от страна на нападателите ще идентифицира всички отворени услуги, независимо къде точно се намират, така че смяната на портове, само по себе си, предлага малка или никаква защита.

    Колкото до въвеждането на MFA, то е важно, но няма да подобри сигурността, ако политиката не бъде приложена за всички служители и устройства.

    Заблуда 5: Блокирането на IP адреси от високорискови региони като Русия, Китай и Северна Корея ни предпазва от атаки, идващи от тези географски локации

    Контрапункт: Блокирането на IP адреси от определени региони е малко вероятно да навреди, но може да създаде фалшиво усещане за сигурност, ако разчитате само на него за защита. Нападателите хостват своята злонамерена инфраструктура в различни държави, включително САЩ, Холандия и останалата част на Европа.

    Заблуда 6: Нашите архиви ни осигуряват имунитет срещу въздействието на рансъмуера

    Контрапункт: Поддържането на актуални архиви е от решаващо значение за бизнеса. Ако обаче те са свързани към мрежата, остават в обсега на нападателите и са уязвими на криптиране, изтриване или деактивиране при рансъмуер атака.

    Ограничаването на броя на хората с достъп до вашите архиви може да не подобри значително сигурността, тъй като нападателите ще са прекарали време във вашата мрежа, търсейки точно тези хора и техните идентификационни данни за достъп.

    По същия начин и съхраняването на резервни копия в облака трябва да се извършва внимателно – при инцидент, разследван от Sophos Rapid Response, е разкрито, че нападателите са изпратили имейл до доставчика на облачни услуги от хакнат акаунт на ИТ администратор и са го помолили да изтрие всички архиви – доставчикът е удовлетвотил молбата!

    Стандартната формула за сигурни архиви, които могат да се използват за възстановяване на данни и системи след атака с рансъмуер, е 3:2:1: три копия на всичко, на две различни системи, едната от които е офлайн.

    Последна забележка: офлайн резервни копия няма да ви защитят от престъпници, които крадат и заплашват да публикуват вашите данни, дори и да не ги криптират.

    Заблуда 7: Нашите служители разбират киберсигурността

    Контрапункт: Според The State of Ransomware 2021, 22% от организациите вярват, че ще бъдат засегнати от рансъмуер през следващите 12 месеца, защото е трудно да се спрат крайните потребители да компрометират сигурността.

    Тактиките за социално инженерство като фишинг имейли стават все по-трудни за откриване. Съобщенията често са ръчно изработени, точно написани, убедителни и внимателно насочени.

    Заблуда 8: Екипите за реагиране при инциденти могат да възстановят данните ми след рансъмуер атака

    Контрапункт: Това е много малко вероятно. Днес атакуващите правят много по-малко грешки и процесът на криптиране се е подобрил, така че намирането на вратичка, която може да премахне щетите, се случва изключително рядко.

    Заблуда 9: Ако платя откуп ще си получа обратно данните, откраднати при рансъмуер атака

    Контрапункт: Според доклада State of Ransomware 2021, организация, която плати откуп, възстановява средно около две трети (65%) от своите данни. Само 8% получават обратно всичките си данни, а 29% възстановяват по-малко от половината.

    Освен това връщането на данните е само част от процеса по възстановяване – в повечето случаи рансъмуерът напълно деактивира компютрите и софтуера и системите трябва да бъдат вдигнати от нулата, преди да се стигне до възстановяване на данните. Проучването през 2021 г. показва, че разходите за съвземане на бизнеса са средно десет пъти по-големи от търсения на откуп.

    Заблуда 10: Криптирането изчерпва атаката – ако оцелеем, всичко е наред

    За съжаление това рядко е така. Чрез криптирането нападателите ви дават да разберете, че са там и какво са направили.

    Вероятно те са престояли във вашата мрежа в продължение на дни, ако не и седмици преди пускане на рансъмуера. Те са проучвали, деактивирали или изтривали резервни копия, открили са машини с ценна информация или приложения, които да криптират, премахнали са информация и са инсталирали задни врати… Продължителното присъствие в мрежата на жертвата позволява на нападателите да предприемат втора атака, ако пожелаят.

    Как да се справите с организирането на киберсигурността във вашата фирма, прочетете тук:

  • 61% от екипите за киберсигурност страдат от липса на персонал

    Пандемията от Covid-19 засегна работната сила в почти всеки сектор на икономиката в световен мащаб. Проучване на ISACA и HCL Technologies разкрива какви са предизвикателствата в киберсигурността:

    61% от екипите за киберсигурност страдат от липса на персонал

    • 61% от анкетираните 3500 ИТ специалисти посочват, че екипите им за киберсигурност не разполагат с достатъчно персонал
    • 55% казват, че имат незапълнени позиции
    • Според 50% кандидатите за работа в областта на киберсигурността не са достатъчно квалифицирани
    • Едва 31% поделят, че ЧР разбира нуждата от наемане на специалисти по киберсигурност

    По-слаб екип за киберсигурност = повече допуснати кибератаки

    Над 60% процента от анкетираните, които са имали повече кибератаки в миналото, съобщават, че са изпитвали недостиг на персонал или трудности при задържането на квалифицирани специалисти по киберсигурност.

    През последната година стана още по-очевидно колко жизненоважна е киберсигурността за осигуряване на непрекъснатост на бизнеса. Компаниите и организациите, които са осъзнали тази нужда, преодоляват проблема с липсата на квалифицирани специалисти по следните начини:

  • Изкуствен интелект открива киберзаплахи

    Сингапурската фирма Flexxon е изобретила сторидж устройство (наречено X-Phy), което автоматично открива и елиминира заплахи за киберсигурността.

    Щом засече нарушение, X-Phy заключва данните и изисква удостоверяване от собственика им, за да разреши отново достъпа до тях.

    В сравнение с конвенционалния антивирусен софтуер, който трябва постоянно да се актуализира, устройството използва изкуствен интелект, за да търси малуер. Разработчикът му смята, че нуждата от хардуер за сигурност, който да подпомага съществуващия софтуер за защита се налага, поради непрекъснато нарастващите заплахи за киберсигурността, включително рансъмуер.

    Иновацията е в процес на изпитване в държавни агенции и индустриални компании и е възможно да бъде предоставена на потребителите още през 2022 г. Тя може да се използва в принтери, медицински устройства и фотокопирни машини, където не е възможно да се инсталира антивирусен софтуер.

    За разработването на X-Phy, Flexxon е получила финансиране от Агенцията за киберсигурност на Сингапур, в рамките на схема за иновации в киберсигурността през 2018 г. Целта на програмата е да помогне за разработването на авангардни продукти, които отговарят на стратегическите нужди на националната киберсигурност, а също така имат потенциално търговско приложение.

  • Внимание: Атаките срещу Microsoft Exchange Server продължават

    Последен ъпдейт на 24 март 2021 в 09:00 ч.

    В началото на март 2021 Microsoft пусна ъпдейт за Exchange Server, който коригира четири zero-day уязвимости.

    Оттогава обаче специалисти по сигурността наблюдават още по-засилена (дори автоматизирана) кампания по тяхното експлоатиране, която може да бъде използвана за последващо внедряването на рансъмуер и кражба на данни. Ако до момента не сте приложили ъпдейта, потенциално сте застрашени.

    Имайте предвид, че актуализацията ще коригира само уязвимостите на Exchange Server. Но ако вече сте компрометирани, ще трябва да премахнете задната врата (backdoor), която хакерите поставят, за да получат администраторски достъп до системата ви.

    Microsoft изрично разясни, че тези експлойти нямат нищо общо със SolarWinds. Все пак, хакерската атака се разглежда като втората голяма криза в киберсигурността, идваща само месеци след като руски хакери поразиха девет федерални агенции на САЩ и стотици компании по целия свят.

    Смята се, че зад атаката стои група, финансирана от китайското правителство, наречена Hafnium.

    Европейският банков орган (ЕБО) е сред най-скорошните жертви, които заявиха, че достъпът до лични данни чрез имейли, съхранявани на неговия Microsoft Exchange Server, може да е бил нарушен.

    Досега са станали известни поне 60 хил. жертви в световен мащаб. Само в САЩ хакерите са проникнали в поне 30 хил. организации, използващи Exchange за обработка на имейли вкл. полицейски управления, болници, местни държавни структури, банки, телекомуникационни доставчици и др.

    Препоръки:

    1. Инсталирайте незабавно наличния ъпдейт, ако не сте го направили до момента
    2. Когато не е възможно се инсталирате критичните актуализации на Microsoft Exchange, блокирайтет достъпа на недоверени връзки до порт 443; същевременно конфигурирайте вашия Exchange Server така, че достъпът до него да става само дистанционно, чрез VPN
    3. Следете внимателно за злонамерена дейност, ако се съмнявате, че може да сте засегнати
    4. Ако вече сте засегнати, може да използвате инструмента на Microsoft за смекчаване на негативните последици
    5. Изключете Exchange Server и го възстановете отново
    6. Обърнете се към специалист по киберсигурност за помощ, ако се затруднявате
    7. Преминете към облачната услуга, която не е засегната от уязвимостите
  • Киберсигурността изисква постоянство, а не еднократни действия

    Киберсигурността е интересна, актуална и обширна област, която изисква задълбочени познания и разнообразни умения.  Започваме с това обобщение, за да ви подготвим, че ще ви е нужен детайлен план за действие, а не за да ви откажем.

    Киберсигурността, по дефиниция, обхваща всички приети предпазни мерки за защита на ИТ системите и техните данни от неразрешен достъп, атаки и вреди, за да се гарантира тяхната достъпност, поверителност и цялост. Такъв мащабен обхват изисква сериозен професионален капацитет.

    Ако сте ИТ специалист, който иска да повиши собствената си експертиза, да намери по-интересна и перспективна работа и атрактивно заплащане – продължете да четете. Да станете професионалист по киберсигурност е реално постижимо, стига да отделите нужното време и внимание и да не се страхувате да се натоварите. Междувременно, за да защитите организацията си, препоръчваме да се обърнете към експертите в областта, които ще ви помогнат да получите професионална защита, а и ще улеснят вашето израстване като специалист.

    Изграждането на експертиза изисква любопитство и последователност

    На първо място се информирайте какви теми включва киберсигурността. Подберете тези, които са ви най-интересни или най-необходими за работата ви и се задълбочете в тях. След като натрупате достатъчно знания, продължете с някоя от останалите теми.

    На второ място – въоръжете се с търпение: овладяването на всяко умение изисква постоянство и дългосрочен времеви хоризонт. Киберсигурността, както всяка друга професия, изисква хиляди часове специално обучение, за да се превърне в умение.

    Изберете ефективна учебна стратегия

    Изборът на подход зависи от самите вас. Специалистите препоръчват като успешни следните три метода на усвояване на нови умения:

    • Top-down (отгоре надолу): Спирате се на конкретно умение и започвате да го изучавате. Ще спестите много време ако имате възможност да работите с ментор, дори и само под формата на стаж. Работата с добре подготвен специалист в областта на киберсигурността може да ви даде готови отговори и да ви спести някои провали. А и всеки ментор би предложил постоянна работа на стажант, който показва интерес, старание и прогрес.
    • Bottom-up (отдолу нагоре): Четенето на много книги и статии за киберсигурност, както и посещаването на подходящите курсове, е задължително. Добрата теоретична основа ще ви отвори врати към по-атрактивни позиции и възможности за развитие. И със сигурност ще увеличи шансовете ви да бъдете избран от добър ментор за съвместна работа – никой професионалист не иска времето му да бъде загубено напразно. А и много интервюта за работа започват с въпроса: „Кои са последните пет специализирани книги, които сте прочели?“
    • Проектно-базиран подход: Работата по конкретни проекти е най-прекият път към придобиване на практически умения. Това няма да ви спести четенето и нуждата от теоретична подготовка – само ще ви помогне точно вие да бъдете поканен в екипа. Работата по проект ще очертае конкретните технически цели и основните ресурси, които са ви необходими за да ги постигнете.

    В заключение, обучението по киберсигурност е комплексно – изисква много четене, правилните курсове, практика, самоинициатива. Но с точната нагласа и избор на стратегия за действие, неусетно ще изминете пътя. И не забравяйте да вземете със себе си страстта, отдадеността и любопитството, когато тръгнете на пътешествието, наречено киберсигурност. И не забравяйте, че това е само началото!

    Полезни препратки

    В следното видео ще откриете допълнителна информация относно различните стратегии как да станете добри в областта на киберсигурността:

    Още интересни и полезни  статии по темата как най-ефективно да придобием нови знания и умения може да откриете и в блога на Azeria.

Back to top button