Защита на лични данни

Aтаките с т.нар. EDR Killers стават все по-разнообразни. Те са предназначени да блокират инструментите за киберсигурност и да позволят безпроблемното изпълнение на ransomware. Това поставя още едно предизвикателство пред бизнеса в киберпространството.

Още повече, че този тип зловредни софтуери рязко увеличават своята популярност. Според Picus Red Report 2024 тяхното използване е скочило със зашеметяващите 333% през миналата година.

Опростените версии на EDR Killers са под формата на скриптове, които се опитват директно да прекратят списъка с процеси. По-сложните отиват отвъд това и използват техниката, известна като Bring Your Own Vulnerable Driver (BYOVD). Те злоупотребяват с легитимни, но уязвими (обикновено по-стари) драйвери, за да получат достъп до ядрото на целевата операционна система.

Тези инструменти все пак могат да бъдат спрени. Точните мерки за превенция и надеждните решения за киберсигурност от опитен доставчик са важна част от това.

Как да се защитим от EDR Killers

Защитата срещу EDR Killers не е лесна задача. Тя изисква подход, насочен преди всичко към превенцията. Освен това организациите се нуждаят от многопластова стратегия, способна да открива зловреден софтуер на няколко етапа от атаката.

Ето няколко компонента на вашата защита, с които трябва да разполагате, според ESET:

• Висококачественият EDR е задължително условие: EDR Killers са усъвършенствани инструменти за атака. Затова решенията за киберсигурност, внедрени в целевата крайна точка, също трябва да са от най-високо ниво. Те трябва да разполагат с възможности за откриване на зловреден код, злоупотребяващ с уязвими драйвери, още преди изпълнението му.
• Нужна е и защита от подправяне: Тя не позволява на неоторизирани потребители да деактивират или променят компонентите или възможностите на дадено решение за сигурност.
• Блокиране на уязвими драйвери: Това може да се постигне чрез строги политики по отношение на потенциално опасни приложения. За да избегнете смущения в работата на системата, трябва да започнете с режим „Detect but don’t clean”. След това добавете изключения, ако е необходимо, и накрая преминете към режим „Detect and clean”.
• Управление на уязвимостите и пачовете: Нападателите могат да се опитат да злоупотребят с уязвим драйвер, който вече е наличен на компрометираната машина, вместо да разчитат на BYOVD. Ето защо наличието на правилно управление на пачовете е друг ефективен метод за защита.
• Засилване на контрола на приложенията: Подобрете защитата си чрез контрол на приложенията. Например чрез Windows Defender Application Control (WDAC), където можете да създадете политика, която позволява зареждането само на избрани драйвери.
• Ограничаване на достъпа до настройките за сигурност на крайните точки: Използването на силна парола за блокиране на тези настройки добавя още едно ниво на защита.

Имайте предвид, че криптирането на файлове и последващото изнудване обикновено са последните етапи на атаката с ransomware. Преди това мрежата е била пробита и нападателят е успял да получи администраторски привилегии. Задачата на защитниците е да открият атаката на ранен етап, за да предотвратят изцяло възможността тя да стигне до финалните си акорди.

Теорията е само едната част от уравнението, когато става дума за сложни материи като киберсигурността. Другата е практиката.

Затова и вторият ден на тазгодишното издание на Security BSides Sofia – 30-ти март – ще премине под формата на два практически уъркшопа.

„Уъркшопите във втория ден на Security BSides Sofia 2025 ще дадат на участниците реален практически опит. Те ще боравят с инструменти и техники, които могат да приложат веднага в работата си. Подходящи са за системни администратори, SOC анализатори, офанзивни и дефанзивни специалисти, но и за напреднали ентусиасти, които искат да направят следваща крачка в киберсигурността. Важното е участникът да има основни познания и готовност да се включи активно – останалото ще дойде чрез практиката“, обяснява експертът по информационна сигурност Николай Пасков, който е част от организацията на Security BSides Sofia 2025.

Темата на първия уъркшоп е „Threat Hunting & Incident Response“. Участниците в него ще влязат в ролята на Blue Team. Те ще получат достъп до лабораторна среда с данни от пробив и ще трябва да идентифицират заплахите и да предложат адекватен отговор.

Вторият уъркшоп е „Red Team Tactics for Blue Teams”. Неговият фокус ще падне върху начина на мислена на нападателите – какви техники използват и как защитниците могат да предвидят и блокират техните действия. Тук участниците ще преминат през атака на среда с уязвимости и ще трябва да прилагат защитни контрамерки в реално време.

И двете практически занимания ще започнат с кратък теоретичен брифинг, след което следват практически задачи в контролирана лабораторна среда. Всеки уъркшоп завършва с обща дискусия и обратна връзка от менторите.

„Избрахме тези теми, защото отговарят директно на реалните нужди на специалистите по киберсигурност у нас. Все по-често компаниите се сблъскват с инциденти, при които скоростта и качеството на реакцията са от ключово значение. Threat Hunting и Red Teaming не са просто „модерни думи“, а ежедневие в света на проактивната защита. Виждаме сериозен интерес от страна на нашата общност и искаме да предоставим възможност за учене чрез действие, а не само слушане“, споделят организаторите на събитието.

Ако лекциите дават рамка, знание и вдъхновение, то именно практическите панели позволяват да се провери „а сега можеш ли да го направиш“.

„Те надграждат теорията, като поставят участника в динамична, контролирана, но близка до реалната среда. Там се учи най-много – от грешките, от въпросите, от екипната работа. Вярваме, че така се създава по-силна и по-уверена общност от професионалисти, които знаят не само какво, но и как да го приложат“, акцентира Николай Пасков.

Security BSides Sofia 2025 ще се проведе на 29 и 30 март в Interpred WTC Sofia. Събитието се отличава от обичайните форуми с това, че е изцяло технически насочено. Презентаторите са част от него като представители на общността за киберсигурност, а не на компаниите, за които работят.

Цялата програма и билети можете да намерите ТУК.

Партньори на четвъртото издание на форума са CENTIO#Cybersecurity, [UX2.DEV], Commerzbank, ESET и BASELINE Cybersecurity.

Медийни партньори: DEV.BG, DIR.BG, Digitalk, BTV, Kaldata.

Каква е ролята на генеративния изкуствен интелект в съвременната кибер война? Откъде трябва да започнат начинаещите в областта на киберсигурността? Какви са съществуващите техники за заобикаляне на системите за защита?

Отговори на тези и още много въпроси ще даде първият ден на конференцията на обществото на специалистите и ентусиастите по киберсигурност Security BSides Sofia 2025 – 29-ти март.

„Презентациите обхващат различни области и са с различна комплексност. Така всеки ще може да намери нещо за себе си. Да вземе нещо, което го интересува и което евентуално би приложил в професионалните си задължения. Целта ни е всички присъстващи да обогатят своите знания и погледа си върху темата киберсигурност“, обяснява експертът по информационна сигурност Николай Пасков, който е част от организацията на Security BSides Sofia 2025.

Събитието се отличава от обичайните форуми с това, че е изцяло технически насочено. Презентаторите са част от него като представители на общността за киберсигурност, а не на компаниите, за които работят.

Старт на сцената на Security BSides Sofia 2025 в Interpred WTC ще даде експертът по киберсигурност Крис Кубецка. Тя е известна с ключовата си роля във възстановяването на мрежите на Saudi Aramco след мащабната кибератака през 2012 г. Кубецка ще изнесе лекция на тема „Генеративен AI в кибервойната и навигиране в пост-квантовото бойно поле“.

В сутрешната част на програмата участие ще вземат още специалистът по информационна сигурност Асен Молов и Панайотис Фискилис, Senior Penetration Tester.

Следобед на 29-ти март изследователят по киберсигурността Илия Дафчев ще разкаже в подробности за операция WordDrone. Това е знакова киберкампания срещу аерокосмическия сектор на Тайван. Той ще направи дисекция както на техническите аспекти на атаката, така и на начините, по които тя е открита.

Луиджи Губело, Senior Security Engineer в Pitch, ще разкаже как PDF файловете се превръщат в оръжие в ръцете на хакерите. Специалистът по цифрова криминалистика и реакция при инциденти Юхо Юхиайнен пък ще обясни как нападателите използват open-source софтуери за атаки.

В следобедната сесия на сцената ще излезе и Евгени Дюлгеров, разработчик и предприемач, който ще сподели добрите практики в защитата на системи, захранвани от AI.

Security BSides Sofia 2025 ще се проведе на 29 и 30 март. Цялата програма можете да видите ТУК.

Билети можете да закупите ТУК.

Партньори на четвъртото издание на форума са CENTIO#Cybersecurity, [UX2.DEV], Commerzbank, ESET и BASELINE Cybersecurity.

Медийни партньори: DEV.BG, DIR.BG, Digitalk, BTV, Kaldata.

В края на 2024 ЕК и Consumer Protection Cooperation (CPC) стартираха разследване на практиките на Temu за съхранение и използване на потребителските данни.

Основните обвинения включват:

• Temu не е успяла да осигури адекватна защита на личните данни на потребителите, което е довело до изтичане на информация.
• Личните данни на потребителите са били компрометирани, което е в нарушение на европейските регулации за защита на данните.

Няколко месеца преди това същото направи и американският щат Арканзас. Неговите обвинения са още по-сериозни:

• използване на на евтини китайски стоки като примамка за привличане на потребители, които несъзнателно предоставят почти неограничен достъп до личните си данни;
• заблуждаване на потребителите относно начина, по който се използва те;
• събиране на почти неограничени количества данни, в това число получаване на пълен достъп до контактите, календарите и фотоалбумите на потребителите;
• предоставяне или продажба на потребителски данни на неоторизирани трети страни.

Въпреки това много хора пренебрегват рисковете за неприкосновеността на личния си живот заради удобството. Те изтеглят приложения за пазаруване, щракват върху „Съгласен съм“ и никога не се замислят с какво всъщност се съгласяват. А трябва.

Много подобни платформи за онлайн търговия (и не само) събират и споделят повече данни, отколкото предполагате. Вашите навици за пазаруване, местоположението ви, данни за устройството – всичко това (и не само) се събира и потенциално се използва за неща, за които дори не подозирате.

Добрата новина е, че можете да се справите с този проблем в рамките на няколко минути:

• изтрийте приложенията, които искат прекалено много разрешения;
• използвайте отделен имейл за онлайн пазаруване;
• винаги проверявайте какви данни събират приложенията в настройките на телефона си;
• активирайте 2FA за по-голяма сигурност.

И следващията път, когато решите да инсталирате някое ново приложение за онлайн пазаруване, прочетет с какво точно се съгласявате. Преди да щракнете върху „Съгласен съм“.

Услугата за уведомяване за нарушаване на сигурността на данните Have I Been Pwned (HIBP) добави над 284 милиона нови акаунта, откраднати чрез infostealer.

Информацията е открита в канал в Telegram, наречен ALIEN TXTBASE. От услугата са анализирали 1,5 TB логове, събрани от различни източници. Те съдържат 23 млрд. реда с 493 млн. уникални двойки уебсайтове и имейл адреси, както и 244 милиона нови компрометирани пароли.

Поради големия брой акаунти в тази колекция данните вероятно включват стари и нови креденшъли, откраднати чрез credential stuffing атаки.

Съветваме ви да проверите веднага дали някой от вашите онлайн профили не е компрометиран и да вземете необходимите мерки, ако сте част от списъка. Те включват:

• незабавна смята на паролите на всички засегнати акаунти със силни и уникални комбинации;
• активиране на 2FA;
• проверка на други ваши акаунти дали не са компрометирани;
• постоянно следене за подозрителна активност в засегнатите акаунти;
• абониране за известия от Have I Been Pwned, за да бъдете информирани за бъдещи пробиви в сигурността, които могат да засегнат вашите профили.

Последен ъпдейт на 2 март 2025 в 12:27 ч.

В продължение на години стратегиите за сигурност се фокусираха върху три основни области: мрежа, крайни точки и електронна поща. В същото време браузърът, в който се извършва по-голямата част от съвременната работа, е разположен между всички тях. Киберпрестъпниците се адаптираха към това, като насочиха атаките си към него.

Заплахите, базирани на браузъра, манипулират уеб приложенията в реално време, избягвайки засичането им от firewall и EDR решения. Затова екипите по сигурността трябва да преосмислят откриването и реакцията на това ниво.

Нов клас заплахи

Malware Reassembly

Традиционните модели за сигурност са проектирани да откриват и блокират зловреден софтуер, базиран на файлове. Нападателите обаче се отказаха от конвенционалните полезни товари в полза на зловреден софтуер, който динамично се сглобява в браузъра. Тези атаки са практически невидими за инструментите за защита на крайни точки и мрежи.

Хакерите използват JavaScript loader и HTML injection, за да модифицират уеб страници и да сглобяват зловреден код и файлове за изтегляне директно в раздела на браузъра.

Работейки в тази среда, подобни заплахи избягват традиционните механизми за откриване. Това позволява на киберпрестъпниците да превземат сесиите на потребителите, да крадат пълномощия и да компрометират чувствителни данни. Без видимост в реално време за това как уеб страниците и скриптовете работят в браузъра, организациите остават слепи за тези нови техники за атака.

Фишинг и Trusted Site Exploitation

Нападателите постоянно усъвършенстват техниките за фишинг, за да заобиколят автоматизираното откриване. Те използват сложни тактики в няколко стъпки, които включват:

• многократни пренасочвания, за да се избегнат механизмите за откриване и изолиране, базирани на URL;
• насочвани с JavaScript фишинг страници, които динамично генерират злонамерено съдържание при поискване;
• CAPTCHA и контрол на достъпа на базата на сесии, за да се блокират инструментите за сигурност от сканиране на измамни сайтове.

В изследване за сигурността на браузъра на Keep Aware се подчертава, че зашеметяващите 70% от многостъпковите фишинг кампании се представят за приложения на Microsoft – OneDrive или Office 365. Нападателите използват все по-често и надеждни платформи като Google Docs, Dropbox и AWS, за да хостват зловредно съдържание. Това значително затруднява откриването.

Традиционните механизми за защита са неефективни срещу тези тактики и екипите по сигурността се нуждаят от нови модели за откриване. Те трябва да работят в самия браузър, за да наблюдават структурата на страницата и да откриват промени – независимо от URL адреса.

Мъртвата зона в разширенията на браузъра

Разширенията се превърнаха от прости инструменти за продуктивност в дълбоко интегрирани приложения с достъп до почти всичко, което се случва в браузъра. Въпреки нарастващата им сложност, тяхната сигурност остава до голяма степен неконтролирана. Това създава огромна повърхност за атаки от страна на киберпрестъпниците:

• Infostealer и други злонамерени разширения могат да се маскират като легитимни инструменти, докато тихомълком изнасят данни;
• компрометираните акаунти в Chrome Web Store доведоха до масово разпространение на измамни разширения, заобикаляйки стандартните прегледи за сигурност;
• повторното активиране на разширенията и актуализациите на версиите могат да създадат непосредствени рискове за сигурността.

Всичко това подчертава спешната необходимост от мониторинг на разширенията в реално време и интеграцията на автоматизирани инструметни за откриване на заплахи.

Пропастта в сигурността: Защо традиционните инструменти не са достатъчни

Основното предизвикателство в сигурността на браузъра се крие в неговия уникален модел на данните – Document Object Model (DOM). Той управлява начина на визуализиране и манипулиране на уеб страниците, но до голяма степен остава пренебрегнат като вектор за атака.

Инструментите за мрежова сигурност и защита на крайните точки следят трафика и изпълнението на процесите. Браузърът обаче е активна среда, в която съдържанието и скриптовете се променят динамично.

Организациите трябва да възприемат модел за откриване на заплахи в браузъра, като наблюдават поведението на сесиите, моделите на въвеждане на удостоверения и високорисковите взаимодействия в реално време. Контролите трябва да работят отвъд филтрирането на URL адреси, за да включват откриване с отчитане на контекста.

Точно както EDR трансформира сигурността на крайните точки, BDR трябва да се превърне в основен компонент на корпоративната сигурност. Решенията от този клас позволяват телеметрия в реално време, анализ на изпълнението на JavaScript и на заплахи на ниво браузър.

Браузърът като източник на риск за цялата организация

Откриването на заплахите и реагирането са от решаващо значение за сигурността на ниво браузър. Организациите обаче трябва да вземат предвид и по-широките рискове, включително:

• чувствителна информация може да бъде копирана, качена или споделена в рамките на неподлежащи на наблюдение SaaS приложения;
• служителите рутинно използват несанкционирани инструменти и приложения с изкуствен интелект в браузъра, заобикаляйки IT контрола;
• те често споделят поверителни данни в AI чатботове и асистенти, без да разбират последиците за сигурността;
• компрометирани акаунти и злонамерени вътрешни лица могат да изнасят корпоративни данни директно в браузъра.

Тези предизвикателства подчертават нуждата от непрекъсната видимост и превенция на заплахите, които се простират отвъд мрежата, крайните точки и електронната поща. Екипите по сигурността трябва да преосмислят управлението на браузъра, сигурността на данните и контрола на риска от вътрешни лица като част от цялостна стратегия за сигурност на предприятието.

Браузърът вече не е просто инструмент за продуктивност – той е основната повърхност за атака, която нападателите използват, за да заобиколят традиционните защити. Така че не пренебрегвайте този вектор, а го защитете както останалата част от вашата IT инфраструктура.

В най-новата си актуализация на сигурността Microsoft пусна пачове за 63 уязвимости. Те засягат някои от основните системи и продукти на компанията, включително Microsoft Excel, Microsoft Office, Windows CoreMessaging и Windows Storage.

Повече от 2/3 от уязвимостите, обхванати от актуализацията, са с висока степен на опасност. Две от тях са от типа Zero day, като едната позволява повишаване на привилегиите в Windows Storage. По този начин тя излага на риск поверителните данни на организациите, които могат да бъдат откраднати или изтрити.

Като се има предвид повсеместното разпространение на операционните системи Windows, потенциално милиони бизнеси по света са застрашени.

Инсталирайте новите актуализации за сигурност на Microsoft възможно най-бързо!

Последен ъпдейт на 20 февруари 2025 в 05:50 ч.

От 17-януари финансовите организации на територията на ЕС трябва да отговарят на по-строги изисквания за киберсигурност. Те са част от официално влезлия в сила Digital Operational Resilience Act (DORA) и идват в отговор на задълбочаващите се заплахи в киберпространството.

„DORA е амбициозна регулаторна инициатива на ЕС, която въвежда всеобхватни изисквания за киберсигурност и дигитална устойчивост във финансовия сектор. Основните цели на регламента включват подобряване на управлението на IT рисковете, засилване на киберсигурността и създаване на единни стандарти за целия ЕС“, обяснява пред FreedomOnline Спас Иванов, консултант по киберсигурност.

Законодателството налага завишени изисквания в четири основни области:

• Управление на риска: Ръководителите трябва да разработят стабилни системи за управление на IT риска. Те включват цялостна рамка за киберсигурност, картографиране на инфраструктурата, идентифициране и класифициране на критичните активи и функции.
• Реакция при инциденти и докладване: Финансовите институции трябва да уведомяват компетентните органи до 24 часа след откриването на значим инцидент и да предоставят подробни доклади за развитието на ситуацията.
• Тестване на оперативната устойчивост: Организациите трябва да провеждат редовни тестове за устойчивост на своите ICT системи и да поддържат ефективни механизми за откриване на инциденти.
• Управление на риска от трети страни: DORA се прилага не само за финансовите субекти, но и за доставчиците на технологии за сектора. Те трябва да гарантират определено ниво на сигурност и надеждност и да осигурят пълна прозрачност в отношенията си с финансовите институции.

Неспазването на изискванията може да доведе до сериозни санкции – глоби до 10 милиона евро или 2% от годишния оборот. Временно преустановяване на дейности и отнемане на лицензи също са възможни.

Предизвикателства и ползи за българския финансов сектор

Тук, логично, стигаме до въпроса: Готов ли е финансовият сектор у нас за тези правила?

„Българските компании от финансовия сектор са изправени пред сериозни предизвикателства при прилагането на DORA. Основните трудности включват необходимостта от значителни инвестиции в IT инфраструктура и недостига на квалифицирани специалисти по киберсигурност“, коментира Спас Иванов.

По думите му общото впечатление, е че големите банки и застрахователи са сравнително добре подготвени, но по малките и средните компании в сектора все още изостават значително.

Въпреки тези предизвикателства обаче, спазването на регламента носи множество ползи:

• устойчивост на системите;
• по-добра защита на данните;
• повишено доверие от страна на клиентите;
• намален риск от финансови загуби заради киберинциденти.

Целта на законодателството е в дългосрочен план инвестициите в киберсигурност да не се разглеждат като разход, а като необходимост и конкурентно предимство.

„DORA бележи нова ера в регулацията на киберсигурността във финансовия сектор на ЕС. Въпреки предизвикателствата пред българските компании, регламентът е важна стъпка към изграждането на по-устойчива и сигурна финансова система. Успешното му прилагане ще изисква значителни усилия и ресурси, но ползите за бизнеса и потребителите ще надхвърлят първоначалните инвестиции“, категоричен е в заключение Спас Иванов.

Глобите по GDPR, наложени в Европа през 2024, възлизат на 1,2 млрд. EUR.

Нови данни на адвокатската кантора DLA Piper показват намаление на наказанията, наложени от европейските регулаторни органи, в сравнение с 2023. Тогава са били издадени санкции на стойност 2,9 млрд. EUR.

2024 е първата година, в която се наблюдава спад на глобите на годишна база, откакто GDPR влезе в сила през май 2018. Това обаче се дължи основно на рекордната санкция от 1,2 млрд. EUR срещу Meta от май 2023.

Общата стойност на глобите по Общия регламент за защита на личните данни от 2018 насам вече възлиза на 5,88 млрд. EUR.

Трите най-големи глоби през 2024 са:

• 310 млн. EUR срещу LinkedIn за обработката на лични данни в рекламните ѝ практики;
• 290 млн. EUR срещу Uber за съхраняване на данни на европейски шофьори в САЩ без адекватни предпазни мерки;
• 251 млн. EUR срещу Meta за нарушение на сигурността на данните през 2018, което е засегнало около 29 млн. профила във Facebook.

Преориентиране към лична отговорност

Друга тенденция, подчертана в изследването, е значителното изместване на фокуса на европейските регулатори към личната отговорност. В редица техни решения се посочват пропуски в организационното управление и надзора, които са довели до нарушения на защитата на личните данни.

Нидерландският регулатор, например, проучва дали може да подведе под лична отговорност директорите на Clearview AI за многобройни нарушения на GDPR. Срещу компанията беше заведено дело за 30,5 млн. EUR.

Очаква се тази тенденция да се задълбочи през настоящата година.