Пробив в сигурността

За да отговорят на очакванията на клиентите си за бързина и удобство, все повече фирми преминават към онлайн търговия. Те обаче не трябва да пренебрегват един нарастващ риск – кражбата на бизнес идентичност. Това важи с особена сила за B2B организациите. 

Наближаващият празничен сезон допълнително задълбочава този проблем. А фактът, че киберпрестъпниците стават все по-изобритателни, вдига неимоверно цената на потенциалните щети. 

Ето четири често срещани предизвикателства пред фирмите при кражба на идентичност и какво можете да направите, за да ги предотвратите. 

Кражбата на бизнес идентичност е сложен проблем 

Кражбата на бизнес идентичност често включва мащабни финансови измами, данъчни проблеми и манипулиране на веригата за доставки.  

Една от най-простите и често срещани тактики е подмяната на електронна поща. При нея престъпниците се представят за легитимен бизнес имейл. Те се стремят да измамят компаниите да прехвърлят средства или да изпратят стоки, като се представят за доверен партньор.  

Друга тактика е използването на фиктивни компании, които престъпниците създават и оставят да „остареят“, за да изглеждат легитимни. Някои от тях използват и неактивни, но реални фирми, за да придадат достоверност на схемите си.  

За да изпреварите тези тактики, можете да разчитате на модерни технологии като AI и машинно обучение. Те могат да следят за необичайно поведение и да откриват измамите, преди да са нанесли щети. 

Нарастващи разходи и финансови последици 

Кражбата на бизнес идентичност води до тежки финансови последици – от преките загуби до разходите за възстановяване на откраднатите средства. За съжаление, много предприятия успяват да възстановят само малка част от загубеното.  

С нарастващата сложност на тези престъпления възстановяването става все по-трудно и скъпо. За да се защитите, инвестирайте в надеждни решения за сигурност. 

Увреждане на репутацията и дългосрочни последици 

Последиците от кражбата на бизнес идентичност надхвърлят финансовите загуби. Когато се случи измама, тя може да разклати доверието на клиентите, партньорите и доставчиците и да подкопае доверието в бизнеса ви.  

След като дадена фирма веднъж е станала мишена, тя може да бъде изправена пред повторни атаки. Откраднатите данни често се препродават и използват повторно дори години по-късно.  

В някои случаи могат да последват правни или регулаторни санкции, което допълнително натоварва репутацията ви. Възстановяването може да отнеме години, а за някои предприятия загубеното доверие често никога не се възстановява напълно.  

Решаването на проблема с кражбата на идентичност е свързано не само с предотвратяването на непосредствени загуби. Трябва да имате постоянен фокус върху киберсигурността като критична част от вашия бизнес. 

Балансиране на сигурността и клиентския опит 

Фирмите трябва да намерят деликатен баланс между повишаването на сигурността и поддържането на безпроблемно обслужване на клиентите.  

Добавянето на допълнителни нива на сигурност, като MFA например, може да забави процеса на трансакциите. Пренебрегването на тези предпазни мерки обаче оставя бизнеса с широко отворени за атаки врати.  

Често срещана защитна мярка е ограничаването на локациите за доставка до проверени бизнес адреси, свързани с конкретни имейли. Но нападателите могат да излъжат притежател на такъв, да получат достъп и да правят поръчки от него. 

Предизвикателството тук е мерките за сигурност да се интегрират по начин, който не пречи на клиента. Можете да използвате системи за откриване на измами, които работят във фонов режим, без да пречат на покупките.  

Намерете точния експерт за предотвратяване на измами 

Борбата с измамите изисква много работа. Затова фирмите могат да се възползват от партньорства с външни експерти. Специалистите по киберсигурност предоставят експертните знания и инструменти, необходими за предпазване от нововъзникващи заплахи. В същото време компаниите могат да се съсредоточат върху основните си бизнес операции.  

Използването на външни доставчици за вземане на решения в реално време, оценка на риска и наблюдение на трансакциите помага на фирмите да останат една крачка пред измамниците.  

Уязвимостите в сигурността на API, които захранват съвременните цифрови услуги и приложения, се превърнаха в сериозна заплаха за системите и данните на бизнеса. 

Доклад на Wallarm показва 21% увеличение на свързаните с API пропуски в сигурността между Q2 и края на Q3 на 2024 г. Почти 1/3 от тях (32%) са свързани с облачна инфраструктура и нейтив приложения и услуги в облака. Не е за подценяване и факта, че голяма част от тях са с оценки за сериозност от 7,5 или повече. Това показва нарастващ риск за организациите при използването на API. 

Ето и четирите основни фактора, допринасящи за рисковете за сигурността на API, и какво трябва да правят организациите, за да ги ограничат. 

Неправилно конфигурирани API 

Много проблеми със сигурността на API през последните години произтичат от сравнително лесни за поправка неправилни конфигурации. Част от тях са неадекватната автентикация и оторизация, липсата на валидиране на входните данни, липсата на мониторинг и разкриването на чувствителни данни чрез съобщения за грешки. Те могат да имат тежки последици. 

Организациите трябва да смекчат тези проблеми, като прилагат най-добрите практики за сигурност. Такива са строги проверки за оторизация, контрол на достъпа въз основа на роли, многофакторна автентикация. Филтрирането на входящите данни от страна на сървъра и преглед на отговорите на API също са в списъка с добри практики. 

Лошо проектирани API 

Лошо проектираните API са друг основен фактор за инциденти със сигурността. Това са API, които правят всичко както трябва, но по начин, улесняващ потенциалните нападатели. Пример за това са тези, които връщат повече информация, отколкото е необходима на приложението. 

Други примери включват API, които използват невалидирани SQL входове, твърде сложни и раздути са или имат непоследователна структура. 

Недобре проектираният API понякога може да игнорира и несъответствията в бизнес логиката. А според доклада на Imperva State of API Security 2024  злоупотребата с бизнес логика е най-значимата атака срещу API през миналата година.  

Тези проблеми могат да бъдат преодолени чрез  специализирана защита срещу поведенчески заплахи. Тя може не само да дешифрира необичайна употреба, но и да разпознае злонамерено намерение на потребител на API. 

Липса на видимост 

API се очертаха като водещ вектор за атака заради почти повсеместното си използване. Проучване на Imperva показва, че организациите имат средно 613 API крайни точки на акаунт. Доставчикът на сигурност установява, че API трафикът през 2023 г. представлява 71% от целия уеб трафик. Въпреки всичко това обаче много организации нямат достатъчно видимост за тях. 

Първата стъпка за всяка компания в това отношение е спешно да открие и инвентаризира всички тези публични API. След това, разбира се, да предприеме незабавни мерки за тяхното подсигуряване. 

Неадекватно тестване за сигурност 

Много организации не успяват да приоритизират адекватно сигурността на API и често подценяват уникалните рискове, които те представляват. Според 2024 State of the API Report на Postman едва 37% от бизнесите извършват автоматизирано сканиране и редовни penetration тестове за откриване на уязвимостите по-рано в жизнения цикъл на разработка.  

Сравнително малко имат интегрирани тестове за сигурност и проверки в своя процес на разработка на API или централизирани възможности за наблюдение. 

А логиката е, че ако строите къща, първо трябва да сте сигурни в конструкцията ѝ и чак тогава да пуснете хора да живеят в нея. 

Все повече организации осъзнават, че принтерите и копирните машини могат да бъдат слабо място в тяхната киберзащита. Особено в контекста на хибридната работа.  

Проучването Global Print Security Landscape 2024 на Quocirca установява, че през 2024 г. 67% от респондентите са преживели инцидент, свързан със сигурността на копирните машини. През миналата година този процент е бил 61.  

Малките и средните организации са най-застрашени: 

• 3/4 (74%) от тях съобщават за инцидент, свързан със загуба на данни заради принтери;  
• 33% идентифицират личните принтери на служителите като основен риск за сигурността;
• много от тях нямат специализиран IT персонал за управление на принтерната сигурност. 

Списъкът с основните уязвимости е дълъг и разнообразен. На първо място, преминаването към облачни и хибридни решения за печат създава по-сложна и трудна за контролиране среда.  

В същото време много организации използват остарели принтерни системи. Те не получават редовни актуализации за сигурност, нямат вградени съвременни защити и често работят с фабрични настройки. Използването на фабрични настройки означава, че една открита уязвимост може да засегне множество устройства от същия модел. 

Не на последно място, принтерите рядко са включени в системите за мониторинг на сигурността. 

Как да се защитим 

Всичко изброено по-горе ясно показва, че защитата на принтерната инфраструктура е от изключително значение за всяка компания, независимо от нейния размер.  

Затова ви съветваме: 

• криптирайте всички комуникации между устройствата и сървърите; 
• използвайте защитени протоколи като IPSec или SSL/TLS;
• редовно обновявайте сертификатите за сигурност; 
• въведете стриктен контрол на достъпа и силни пароли за всички устройства; 
• имплементирайте многофакторно удостоверяване (комбинация от PIN код, карта за достъп и/или биометрични данни);  
• създайте и поддържайте политика за управление на достъпа;  
• актуализирайте фърмуера на всички устройства веднага след излизане на нова версия и провеждайте месечни проверки за нови уязвимости; 
• ангажирайте външни експерти за годишен одит; 
• поддържайте актуален регистър на всички устройства и техните конфигурации. 

Не забравяйте и самите служители. Те трябва да са обучени как да работят чувствителни документи и да разпознават подозрително поведение на устройствата. Процедурите за докладване на инциденти и безопасно използване на отдалечен печат също са част от задължителните мерки за защита на вашата организация. 

Критична уязвимост в сигурността, засягаща над 87 000 FortiOS устройства, ги прави изложени на потенциални атаки с отдалечено изпълнение на код (RCE). Тя засяга множество версии на продуктите FortiOS, FortiProxy, FortiPAM и FortiWeb и е оценена с 9,8 от 10.

Fortinet е пуснала пачове за засегнатите продукти и настоятелно препоръчва на потребителите да надградят до най-новите сигурни версии: 

• FortiOS 7.4: 7.4.0 до 7.4.2 – надградете до 7.4.3 или по-нова версия; 
• FortiOS 7.2: 7.2.0 до 7.2.6 – надградете до 7.2.7 или по-нова версия; 
• FortiOS 7.0: 7.0.0 до 7.0.13 – надградете до 7.0.14 или по-нова версия; 
• FortiPAM 1.2: Всички версии – мигриране към версия, в която е запушена уязвимостта; 
• FortiPAM 1.1: Всички версии – мигриране към версия, в която е запушена уязвимостта; 
• FortiPAM 1.0: Всички версии – мигриране към версия, в която е запушена уязвимостта; 
• FortiProxy 7.4: от 7.4.0 до 7.4.2 – надграждане до 7.4.3 или по-нова версия; 
• FortiProxy 7.2: 7.2.0 до 7.2.8 – надграждане до 7.2.9 или по-нова версия; 
• FortiProxy 7.0: 7.0.0 до 7.0.15 – надграждане до 7.0.16 или по-нова версия; 
• FortiWeb 7.4: 7.4.0 до 7.4.2 – надграждане до 7.4.3 или по-нова версия. 

Тъй като хакерите продължават да се насочват към известни уязвимости, бързите действия са от решаващо значение за защита на критичната инфраструктура и чувствителните данни. 

 

Китайската хакерска група Salt Typhoon е проникнала в мрежите на поне три от големите американски доставчици на телекомуникационни услуги – Verizon, AT&T и Lumen Technologies – в резултат на значителен пробив в киберсигурността.

Списъкът на засегнатите компании може да се окаже по-дълъг, тъй като нападателите са били внедрени в засегнатите системи в продължение на няколко месеца, преди да бъдат открити.

Смята се, че операцията има за цел кражба на информация, свързана със законни федерални искания за подслушване. Хакерите обаче са получили достъп до по-широк интернет трафик в компрометираните мрежи, което поражда опасения за потенциална кражба и на други чувствителни данни.

От ФБР предполагат, че зад кампанията стои Министерството на държавната сигурност на Китай.

 

Японският конгломерат Panasonic разкри пробив в сигурността си – данни на файлов сървър са били достъпни по време на хакерското проникването.

Компанията е наела външни специалисти, които да разследват инцидента и да разкрият, дали изтеклата информация съдържа лични данни на клиенти и/или чувствителна информация.

Атаката срещу Panasonic се нарежда в поредицата киберинциденти с японски компании – Kawasaki, NEC, Mitsubishi Electric, Kobe Steel и Pasco също съобщиха за пробиви на сигурността през последните години.

В петъчната вечер (13 август 2021 г.) е установена рансъмуер атака срещу вътрешната мрежа на секретариата на Националната хазна, разкри бразилското Министерството на икономиката. Специалистите по сигурността все още разследват степента на сериозност на пробива и последиците от него.

Националната хазна (Tesouro Nacional) е специализиран орган на Министерството на икономиката на Бразилия, който отговаря за администрирането на финансовите ресурси на федералното правителство, както и за управлението и финансирането на държавния дълг на страната. Сред основните задачи на секретариата е да финансира държавния дефицит чрез емитиране на дългови държавни ценни книжа.

Смята се, че атаката по никакъв начин не е засегнала платформата за търговия на Бразилската фондова борса и сделките могат да се извършват нормално.

Това не е първата подобна атака срещу бразилски държавни институции. През април 2021 г. съдебната система в Рио Гранде до Сул беше засегната от рансъмуера REvil.

А по-рано, през ноември 2020 г., бандата RansomEXX атакува Върховния съд на Бразилия, като криптира системите, а уебсайтовете на множество други бразилски федерални правителствени агенции също бяха изключени.

Заключение

Заразяването с криптовирус и последващото възстановяване е неприятно и скъпо „преживяване“. Проактивната защита и план за възстановяване при бедствени събития (disaster recovery plan) са две от „съставките на правилната рецепта“ за справяне с криптовирусите и минимизиране на негативните последици за дейността и репутацията.

Списъкът на киберкомпаниите, засегнати от свързаната със SolarWinds supply chain атака продължава да нараства.

Palo Alto Networks, Fidelis, Qualys и Mimecast са поредните, разкрили троянизирани версии на приложението на SolarWinds (Orion) в своите вътрешни мрежи.

Доставчикът на софтуер за киберсигурност и мрежово оборудване, Palo Alto Networks, е открил два инцидента със сигурността си още през есента на 2020 г. Атаките са били неуспешни и са свързани със софтуера на SolarWinds, едва след разкритието на пробива във FireEye.

Троянизирана версия на приложението Orion са разкрили и от киберкомпанията Fidelis. Инсталацията е направена още през май 2020 г., като част провеждана оценка на софтуера, и е останала изолирана в тестова среда.

Вниманието към Qualys пък се насочи след като „corp.qualys.com“ се появи в списък на нови домейни, използвани от хакерите на SolarWinds за вторични атаки.

Might be helpfull with the SolarWinds/SUNBURST data to combine one another, so here’s all the data (subdomain, region, first seen date, decrypted DGA) that I’m personally aware of in a Google sheet atm. Feel free to comment with new or updated information https://t.co/Kln8e2eUm6

— Kira 2.0 (@VriesHd) December 17, 2020

Qualys твърди, че приложението Orion е инсталирано само в лабораторна среда за целите на тестването, отделно от основната мрежа.

Най-силно засегнат изглежда е Mimecast – доставчик на продукти за защита на имейли. Компанията разкри, че хакерите са проникнали в мрежата й и са получили достъп до акаунтите в Microsoft 365 на някои от клиентите й. Пробивът е осъществен чрез цифрови сертификати, използвани от един от продуктите за сигурност на Mimecast.

Последен ъпдейт на 16 декември 2020 в 13:48 ч.

За тези, които не знаят за какво служи платформата Orion на SolarWinds – това е система за управление на мрежата (NMS – Network Management System).

SolarWinds е един от най-използваните и широкоразпространени брандове NMS в световен мащаб. Използва се в средни и големи частни организации, правителствени агенции, военни и други стратегически формирования с национално значение.

NMS обикновено служи за наблюдение на мрежови устройства и критични сървъри. Ако някога сте виждали мрежова карта, на която устройствата са показани в зелено/жълто/червено, то тя вероятно е създадена от NMS.

Как NMS генерира картата

Понякога това е проста задача – колкото командата за проверка на наличността на дадена система в мрежата (ping).  По-често обаче NMS използва SNMP (протокол за наблюдение и управление на мрежата) или инсталиран върху машината агент, за да научи или промени състоянието на отдалечените устройства. В допълнение към това, тези управляващи мрежата системи могат да променят конфигурацията, да рестартират услуги и т.н. Разбира се, не всички NMS са в състояние или имат права да правят промени или поне – не за всички системи в инфраструктурата.

Защо NMS са отлични цели за атакуващия и защо евентуален хак е труден за откриване

Както споменахме по-горе, NMS имат достъп до повечето (може и до всички) системи в мрежата, така че изходящите IP ACL (правилата за контрол на мрежовия трафик) не са полезен контрол. Netflow (протоколът, следящ за активността в мрежовия трафик) обикновено също не помага, тъй като NMS не само има достъп до всичко, но и говори много – тя се нуждае от разнообразна информация относно мрежата, която управлява, за да е максимално полезна.

Може би добра новина е, че NMS рядко има достъп до всички системи. Лоша новина е, че до най-критичните системи, най-вероятно достъпът е с най-високи привилегии и са позволени, както промяна в конфигурации, така и рестартиране на сървиси, цели машини или достъп до чувствителна информация, касаеща работата на системата. Това, разбира се, не е провал в моделирането на сигурността, защото същността на работа на тези системи предполага подобен тип взаимодействие с машините в мрежата. Нека си припомним, че сигурността включва и наличност (CIA – Confendentiality, Integrtity, Availability). В този ред на мисли, колкото по-критична е системата, толкова по-вероятно е да искате да осигурите нейната наличност. NMS я осигурява, като следи за услуги, които не реагират и ги рестартира автоматично, като част от зададен автоматизиран процес, а в повечето случаи – дори и без администраторът да разбере.

Друга лоша новина е, че дори и само в режим на монитор, NMS все още може да се използва за четене на конфигурации, които често включват достатъчно информация, за да могат хакерите да преминат от една система в друга (lateral movement). По-този начин хакерът може незабелязано да прескача от система към система, деактивирайки средствата им за защита и преодолявайки механизмите за наблюдение.

Сега вече всички се досещате, защо компрометирането на SolarWinds NMS е апетитна хапка и защо хакерите са се насочили точно към тази система:

1. Широкото й разпространение предоставя възможност за достъп до голям брой системи в таргетирани организации, вкл. такива от национално значение
2. Критичността и нивата на достъп на системата на практика осигуряват ключа за цялото „кралство”. Това е все едно да имате потребител „enterprise domain super administrator plus”

Какво трябва да направите ако имате инсталиран SolarWinds NMS

1. Не изпадайте в паника и не го изтегляйте офлайн
2. Следете “изкъсо” препоръките на производителя и приложете всички налични и бъдещи ъпдейти, които се публикуват
3. Помислете и за наблюдение и предупреждение при всеки опит за достъп до администраторския интерфейс
4. Независимо коя NMS използвате, препоръчваме да заключите достъпа до администраторските интерфейси, като използвате списъци за контрол на достъпа

Откриването на аномалии в трафика няма да е лесно, но в следващите няколко дни и седмици ще се появят IOCs (indicators of compromise), които ще подпомогнат системите за наблюдение.

В повечето организации NMS се конфигурира от администраторите, чиято единствена цел е осигуряване на наличност. Работете заедно с екипите по сигурност и моделирайте системите също и от гледна точка на поверителност.

В заключение само ще кажем, че NMS са “необходимото зло”. Без тях конфигурирането, управлението и наблюдението на множество системи би довело до доста по-силен “слънчев вятър” (solar wind), който би „довял“ съпътстващи проблеми. Или иначе казано – не изхвърляйте бебето, заедно с водата за къпане! Обърнете сериозно внимание на моделирането на сигурността в организацията си, за да минимизирате риска и щетите при евентуален инцидент. Ако срещате трудности – допитайте се до специалисти с опит и познания по темата.

Последен ъпдейт на 2 януари 2021 в 18:46 ч.

Правителството на САЩ съобщи за мащабен пробив в мрежата на Министерство на финансите, а вероятно и на други държавни агенции. Все още не е ясен пълния списък със засегнати структури, но се очаква той да нарасне.

Експертите смятат, че няма достатъчно квалифицирани екипи от специалисти, които да идентифицират надлежно всички правителствени и частни системи, които може да са били хакнати. Държавната администрация пък не иска да сподели пълния обхват на инцидента и имената на засегнатите.

Не е ясно какво точно са търсили хакерите, но експертите казват, че това може да включва ядрени тайни, схеми на усъвършенствани оръжия, изследвания, свързани с ваксината COVID-19 и информация от досиетата на ключови държавни и индустриални лидери.

За атаката се счита, че е част от киберкампания срещу американски институции, жертва на която стана и компанията за киберсигурност FireEye. Смята, че зад атаката стои чуждо правителство, като най-много се спряга руско участие.

Пробивът е станал през широкоизползвания софтуер за мониторинг на ИТ инфраструктура Orion на компанията SolarWinds. Веднъж получили отдалечен достъп до него, всичко в засегнатата мрежа  става видимо за хакерите.

Според разследване на Microsoft,  зловреден код е бил вмъкнат в DLL файл, свързан с платформата за управление на инфраструктурата Orion. Той е осигурил на хакерите backdoor, използван за осъществяване на същинската атака.

SolarWinds asks all customers to upgrade immediately to Orion Platform version 2020.2.1 HF 1 to address a security vulnerability. More information is available at https://t.co/scsUhZJCk8

— SolarWinds (@solarwinds) December 14, 2020

За пробивът в американското правителство е станало ясно при разследването, което FireEye е провела в собствената си мрежа. Компанията е установила, че софтуерът на SolarWinds е инжектиран със зловреден код, който се е разпространил с ъпдейт, приложен през март 2020.

На сайта си SolarWinds заявяват, че имат над 300 хил. клиенти по целия свят, включително всичките пет клона на американската армия, Пентагона, Държавния департамент, НАСА, Агенцията за национална сигурност, Министерството на правосъдието и Белия дом. Според него 10-те водещи американски телекомуникационни компании и петте най-добри американски счетоводни фирми също са сред клиентите.

Флорида е първият щат, който призна, че е станал жертва на хака на SolarWinds. Cisco Systems Inc. и Microsoft Corp. също съобщиха, че системите им са били засегнати от злонамерения ъпдейт. Към списъка се присъединиха Министерството на енергетиката (DOE) и Националната администрация за ядрена сигурност (NNSA) на САЩ. Пентагонът е заявил, че към момента не са открити прониквания в мрежата му.

Американските държавни агенции са получили директива за предприемане на незабавни действия, които да намалят щетите от използването на компрометирания софтуер Orion на SolarWinds.

Продължаваме да следим темата, за да ви информираме своевременно за развитието на инцидента.

Ситуацията показва, че 100% сигурност не съществува, но наличието на средства за проследяване на случващото се в мрежата (Cybersecurity Monitoring) ви дава възможност да реагирате навременно и адекватно и да вземете мерки за минимизиране на нанесените щети.

Прочетете още: Network Management System – перфектната цел за атака

Друга интересна гледна точка представяме и тук: Хакерите на SolarWinds заобикалят многофакторното удостоверяване на Duo