Информационна сигурност

  • NIS2 влиза в сила и въвежда лична отговорност за ръководителите при инциденти с киберсигурността

    Днес, 17 октомври, изтича срокът за превръщане на Директива NIS2 в национално законодателство. Oганите на държавите членки вече могат да подвеждат под лична отговорност ръководителите на организациите, ако след киберинцидент се докаже груба небрежност.

    Директивата категоризира критичните сектори като „съществени“ и „важни“ въз основа на размера и значението им за националната и европейска икономика. Всяко нарушение на нейните изисквания може да струва на „съществените“ организации до 10 милиона евро или 2% от световните годишни приходи. Максималната санкция за тези, определение като „важни“, е до 7 милиона евро или 1,4% от световните годишни приходи.

    NIS2 задължава правоприлагащите агенции в държавите членки на ЕС да извършват проверки на сигурността, да издават предупреждения за нарушения и да докладват за инциденти в рамките на 24 часа. От националните екипи за спешно реагиране в областта на киберсигурността се изисква да споделят информация за киберзаплахи, уязвимости и пробиви.

    Срокът за транспониране на директивата беше определен преди година от ЕП с цел страните членки да имат общи, пропорционални на рисковете и заплахите мерки за киберсигурност. Но приемането на нужното законодателство върви на различни скорости. Страните „отличници“ са  едва 6 – Белгия, Гърция, Унгария, Хърватска, Литва и Латвия.

    България този път е в една група с европейските лидери Франция, Германия и Италия, но не като добър пример. Страната ни изостава с приемането на необходимата правна рамка. Въпреки че публичното обсъждане на новия ни Закон за киберсигурност приключи още в началото на август, той все още не е попаднал в дневния ред на парламента.

    Очаква се към този закон да се появи и нова версия на Наредба за минимални изисквания за мрежова и информационна сигурност. В нея трябва да бъдат заложени конкретните мерки, които всяка организация в обхвата на NIS2 трябва да въведе.

    Ясна перспектива кога ще се случи това няма, но липсата на национално законодателство не е основание да се избегнат евентуални санкции.

     

  • Използването на AI за писане на код притеснява 92% от CISO

    Разработчиците в почти всички организации (83%) използват AI за генериране на код, което притеснява лидерите в областта на киберсигурността. 

    Това е един от основните изводи от новото проучване на доставчикът на услуги за управление на машинна идентичност Venafi – Organizations Struggle to Secure AI-Generated and Open Source Code. То показва, че макар 72% от CISO да смятат, че нямат друг избор, освен да позволят използването на AI, 92% от тях имат опасения, свързани с това. 63% дори са обмисляли да забранят използването на технологията в кодирането заради рисковете за сигурността.   

    Тъй като развитието на AI и особено на GenAI е изключително бързо, 66% от CISO смятат, че не могат да бъдат в крак с него. Още по-голям брой (78%) са убедени, че генерираният от AI код ще доведе организацията им до проблеми със сигурността. 59% са изключително притеснени.   

    Първите три опасения, които най-често се посочват от участниците в проучването, са:   

    • разработчиците ще станат прекалено зависими от AI, което ще доведе до понижаване на стандартите;
    • кодът, написан с AI, няма да бъде ефективно проверяван за качество;   
    • AI ще използва остарели библиотеки с отворен код, които не са добре поддържани.  
  • 25 години Wi-Fi: Безжичната мрежа е световно богатство, но рискове дебнат отвсякъде

    На 15-ти септември Wi-Fi навърши 25 години! За това време технологията за безжична комуникация се превърна в едно от нещата, без които не можем да си представим функционирането на съвременния свят.  

    Тя е неизменна част от днешните компютри, телефони, телевизори, смарт часовници и всевъзможни други умни устройства, давайки на крайните потребители и бизнесите възможности, които някога съществуваха само в научнофантастичните филми и книги. Отдалечено управление на машини, работа от разстояние, постоянна връзка с интернет – всичко това дължим на нея. НАСА дори обмисля как да я използва на Луната! 

    Но като всяка трансформираща технология, освен с предимства Wi-Fi идва и с присъщите си рискове. Използването на безжични мрежи, особено публични, крие няколко сериозни опасности. 

    Публични Wi-Fi мрежи 

    На първо място са атаките от типа Man-in-the-Middle (MITM), при които хакерите прихващат комуникациите между потребителя и мрежата. Това им позволява да получат неоторизиран достъп до чувствителна информация. 

    Нападателите също така създават фалшиви Wi-Fi мрежи (Evil Twin), които имитират легитимни такива и им позволяват да инсталират зловреден софтуер на устройствата. 

    В много публични Wi-Fi мрежи липсва криптиране, което пък улеснява киберпрестъпниците да наблюдават и улавят незащитени данни. В същото време те могат да се възползват от техните уязвимости и за да поемат контрола над активната сесия на даден потребител в уебсайт или приложение. 

    Безжичните мрежи могат да бъдат благоприятна среда и за разпространение на зловреден софтуер, ако хакерите успеят да заразят самите тях. Те често се превръщат в канал за разпространение на ransomware, който блокира достъпа на потребителите до файловете им. 

    Не на последно място, през незащитени публични Wi-Fi мрежи хакерите могат дистанционно да наблюдават интернет активността, като улавят чувствителна информация без пряк достъп. 

    Затворени Wi-Fi мрежи 

    Но и затворените безжични мрежи не са напълно защитени. Особено ако се използват стари рутери и пароли по подразбиране.  

    Старите рутери често не разполагат с най-новите актуализации на фърмуера, които поправят уязвимостите в сигурността. Производителите спират да поддържат остарелите модели, а без редовни актуализации те стават лесна мишена за хакерите. 

    По-старите рутери също така обикновено не разполагат със съвременни функции за сигурност като мрежи за гости, вградени защитни стени и надеждно криптиране, както и с необходимата изчислителна мощност за безопасната обработка на едновременни връзки. 

    Когато става дума за пароли по подразбиране – в много случаи те са сходни за всички устройства и лесно се разбиват. 

    Как да се защитим 

    За да защитите безжичната си мрежа, е изключително важно да използвате рутери с актуален фърмуер, силни пароли и усъвършенствани функции за сигурност.  

    А за да намалите рисковете при използването на публични Wi-Fi мрежи: 

    • използвайте VPN; 
    • избягвайте чувствителни трансакции; 
    • винаги потвърждавайте легитимността на Wi-Fi мрежата, преди да се свържете с нея;  
    • деактивирайте функциите за автоматично свързване; 
    • поддържайте софтуера на устройствата си актуализиран; 
    • използвайте силни пароли; 
    • излизайте от мрежата след употреба; 
    • избягвайте да въвеждате поверителна информация в мобилни приложения. 

     

  • Мощнa защита и „ахилесова пета“: Различните лица на AI в киберсигурността

    Изкуственият интелект (AI) бързо се превръща от помощен инструмент в автономен участник на полето на киберсигурността, променяйки го из основи, акцентират от анализаторската платформа AI Cyber Insights в своя доклад „AI in Cybersecurity – Q2 2024 Insights”. Но използването на технологията трябва винаги да бъде обвързано с разбирането, че тя все още е в началните си етапи на развитие и идва със своите проблеми на растежа. 

    AI дава огромен потенциал за надграждане на инструментите и стратегиите за информационна сигурност в няколко области: 

    • подобрява процеса на Threat Modeling – проиграване на хипотетични сценарии и тестове за идентифициране на уязвимости, подпомагане на оценката на риска и предлагане на коригиращи действия; 
    • подкрепя SOAR (Security orchestration, automation and response) технологиите, които координират, изпълняват и автоматизират задачите между различни потребители и инструменти в рамките на една платформа; 
    • автоматизира сканирането на уязвимости, приоритизира рисковете и прави препоръки за стратегии за отстраняване на грешки. По този начин AI повишава ефективността на процесите за управление на уязвимостите; 
    • анализира моделите и езика на комуникация, за да идентифицира опити за социално инженерство – често използвана тактика в кибератаките, като повишава значително възможностите за откриване на фишинг имейли. 

    Но AI може да бъде използван и от злонамерени участници – както за създаване на по-сложни и по-унищожителни киберзаплахи, така и за експлоатация на пробойни в самата технология.  

    Пример за това е AI червеят (worm) Morris II, създаден от изследователи по сигурността, за да демонстрира уязвимостите на водещи GenAI платформи като ChatGPT и Gemini. Той краде чувствителни данни и разпространява зловреден софтуер в мрежите. Ако подобен инструмент бъде създаден от киберпрестъпници, би представлявал значителен риск за крайните потребители и бизнесите. 

    Според компанията за киберсигурност Wiz критични уязвимости може да има и в платформите от типа AI-като-услуга (AI-as-a-service). Replicate, например, може да бъде много полезна, тъй като събира различни големи езикови модели (LLM) с отворен код, но има и един важен недостатък – потенциално излага на риск чувствителни данни на изградените на нея AI модели.  

    Самите LLM също имат присъщи уязвимости, известни като Prompt Injection Vulnerability. Те могат да бъдат екплоатирани: 

    • директно (jailbreaking) – злонамереният потребител успява да презапише или разкрие основните системни команди и да манипулира поведението на модела; 
    • индиректно – LLM приема входни данни, контролирани от нападател, от външни източници като интернет страници или файлове. 

    Успешното експлоатиране на Prompt Injection Vulnerability може да доведе както до изтичане на поверителна информация, така и до манипулиране на критични за бизнеса процеси. 

    Изводът от тези примери е, че изкуственият интелект е мощно оръжие за защита, но също така може лесно да се превърне в „ахилесова пета“ за организациите. Затова не бързайте, запленени от конкурентните предимства, които обещава той. Интеграцията на инструменти и услуги, базирани на AI, трябва винаги да бъде основана на внимателно проучване на силните и слабите страни на всяка една платформа поотделно. Независимо дали става дума за киберсигурност или други бизнес процеси.    

  • Да ограничиш щетите при кибератака: Анатомията на един план за реагиране при инциденти

    Финансовите загуби на компаниите при инциденти с киберсигурността растат с всяка изминала година. А много от тях никога не успяват да се възстановят. 

    Често – и щетите, и възможността за възстановяване – зависят от наличието на план за реакция при инциденти. Това не е просто документ с етикет: „Отвори в случай на спешност!“. Той трябва да е основна част от стратегията за киберсигурност за всеки един бизнес и да се развива заедно с него и променящата се палитра от заплахи в киберпространството.  

    Ето и основните компоненти на една подобна рамка: 

    • Подготовка – ключов етап, в който правите оценка на текущата си позиция по отношение на сигурността, идентифицирате потенциалните заплахи и определяте ролите и отговорностите. Той включва и обучението на вашия екип.
    • Откриване – в случай на инцидент, първата стъпка е да разпознаете, че нещо не е наред. Това включва наблюдение на системите за необичайна активност и наличие на протоколи, които да определят дали става въпрос само за дребен проблем или за нещо по-сериозно. 
    • Ограничаване – след като веднъж сте хванали нарушителя, трябва да можете да предотвратите по-нататъшни щети, като го изолирате в една определена част от системата и отрежете достъпа му до по-широката инфраструктура.  
    • Елиминиране на заплахатаследващата стъпка е да елиминирате заплахата. Това може да означава премахване на зловреден софтуер, изключване на компрометираните системи или дори отнемане на достъпа на определени потребители. Целта е да се гарантира, че заплахата е напълно неутрализирана. 
    • Възстановяване – когато заплахата е елиминирана, фокусът се премества върху възстановяването на нормалното функциониране. Това може да включва възстановяване на данни от резервни копия, закърпване на уязвимости или възстановяване на системи. Използването на софтуери за одит на съответствието може да помогне за постигането на тези цели. Най-важното тук е да се гарантира, че всичко е сигурно, преди да се възобнови нормалната работа.
    • Научени уроци – може би най-важната част от плана е това, което се случва, след като атаката е отбита и системите са възстановени. Задълбоченият преглед на инцидента може да предостави ценни сведения за това какво се е объркало и как да се предотврати повторното му възникване.  

    Тази рамка е разработена от SANS Institute, американска компания за информационна сигурност с повече от век история, но тя не е единствена. Например, National Institute of Standards and Technology (NIST), който е част от Министерството на търговията на САЩ, определя четири основни стъпки – подготовка; откриване и анализ; ограничаване, елиминиране на заплахата и възстановяване; дейност след инцидента: 

    Двете рамки са идентични, но има една съществена разлика. В стъпка три NIST смята, че ограничаването, елиминирането на заплахата и възстановяването се припокриват – т.е. не трябва да чакате да ограничите всички заплахи, преди да започнете да ги елиминирате. 

    В професионалната общност има спор коя от двете основни рамки е по-добра, но всъщност това е въпрос на предпочитания, както и на ресурсите на вашата организация. Най-важното е да не се забравя, че създаването на план за реагиране при инциденти не е единичен акт, а непрекъснат процес, съобразен с постоянно променящата се среда на заплахите. 

    А стриктното спазване на стандартизирани практики, като рамките на NIST и SANS Institute, гарантира наистина сигурни процеси при възникване на инциденти. 

  • Ранни индикатори за ransomware атака и как да я предотвратим

    Ransomware атаките са все по-голяма заплаха за бизнесите, а хакерите постоянно усъвършенстват тактиките си. В същото време те могат да причинят значителни финансови и репутационни щети. 

    Затова разбирането на ранните предупредителни индикатори за предстояща ransomware атака и проактивното отстраняване на уязвимите точки в сигурността са изключително важни за организациите. 

    Предупредителните индикатори са:  

    • фишинг имейли от домейна на фирмата, които са доказателство за успешно превземане на акаунт;
    • подозрителни опити за влизане в системата;
    • тестови атаки;
    • опити за деактивиране на активна директория и контролери на домейни. 

    Списъкът с често срещани критични грешки, отварящи пътя за ransomware атаки, включва: 

    • слаби пароли и липса на многофакторна автентикация; 
    • лошо управление на връзките с протокола за дистанционен достъп до устройствата Remote Desktop Protocol (RDP); 
    • неактуализирани софтуери и системи с незатворени уязвимости; 
    • недостатъчно обучение и информираност на служителите;
    • липса на план за реакция при инциденти. 

    За да намалите до минимум възможността да станете жертва на ransomware, или ако все пак това се случи, важната за вас информация да бъде достъпна, без да се налага да плащате откуп, нашите съвети са: 

    • редовно актуализирайте системите и софтуера си; 
    • въведете надежден контрол на достъпа чрез многофакторно удостоверяване; 
    • разделете мрежата си на сегменти и следете непрекъснато за необичайни дейности;  
    • редовно архивирайте критичните си данни в резервни копия; 
    • грижете се вашите екипи да бъдат осведомени относно най-новите тактики за фишинг и социално инженерство.   
  • Обучавайте екипите си! Човешките грешки са най-големият риск пред киберсигурността

    3 от всеки 4 или 74% от директорите по информационна сигурност смятат, че човешките грешки са най-големият риск за информационната сигурност за организациите им.

    Данните са от годишното проучване Voice of the CISO на компанията за киберсигурност Proofpoint. Те показват ясно, че човешкият фактор – става все по-значим при гарантирането на защитата на бизнеса. Поради година 60% от анкетираните са посочили човешката грешка като най-значима уязвимост, а пред 2022 само 50% са били на подобно мнение.

    Около 46% от анкетираните са се сблъскали с някаква форма на загуба на чувствителна информация през последната година. Като причини за успешните пробиви са посочени:

    • човешка небрежност (42%)
    • целенасочени външни атаки (40%)
    • внедрени злонамерени служители (36%)

    Част от нещата, които държат директорите по информационна сигурност будни нощем, са:

    • 70% от анкетираните се притесняват от кибератака срещу организацията им, а само 43% смятат, че са готови да посрещнат таргетирана такава
    • Въвеждането на генеративен AI е посочено като най-големият риск от наличните бизнес инструменти – 54% го считат за такъв, а 38% смятат, че използването на Microsoft 365 е рисково
    • Криптовируси, зловредни кодове и имейл измама са най-често срещаните заплахи според анкетата

    Затова организациите трябва да възприемат проактивен подход към киберсигурността, който включва:

    • използване на инструменти с изкуствен интелект, които могат да предвиждат какви грешки е възможно да допусне персонала;
    • осигуряване на цялостно и регулярно обучение на служителите;
    • създаване на култура на киберсигурност, която започва от най-високите нива във фирмата и се превръща в постоянен фокус на всички ръководители и служители.

     

  • Използвате Zabbix? Ъпгрейднете максимално бързо, паролите ви са в опасност!

    Осем уязвимости в сигурността на приложението за мониторинг на мрежова инфраструктура Zabbix са били открити и отстранени от създателите му. Препоръката ни е да ъпдейтнете до най-новата налична версия, защото част от тях са критични и позволяват включително кражба на пароли на потребителите ви. По-конкретно:

    Пропуските са отстранени във версиите 5.0.43rc1, 6.0.31rc1, 6.4.16rc1 и 7.0.0rc3.

  • Защитете API услугите си, защото вече те са основна мишена на хакерите. Вижте как

    Съвременният интернет е невъзможен без съществуването на API – интерфейси, посредством който различни приложения могат да комуникират помежду си.

    От една страна, това е огромен позитив: коренно противоположни системи могат да работят заедно, От друга: това е огромно предизвикателство за сигурността, те са навсякъде, често са зле защитени и съдържат огромни количества данни и огромна част от бизнесите дори не не само не знаят колко API-та поддържат и дали те изобщо имат някаква форма на защита. Това ги прави една от любимите мишени на хакерите.

    Защо да защитя API-тата си

    Интерфейсите дават директен достъп до четене и писане на огромно количество чувствителна информация. На практика тяхното предназначение изисква да имат достъп до сърцето на една организация и цялата информация за нея.

    Затова, за един бизнес, който поддържа подобни услуги, това означава, че през тях хакер може да:

    • да открадне на чувствителна информация като се сдобие с нерегламентиран достъп (който понякога дори не изисква автентникация)
    • извърши неоторизирани трансакции и да промени критични данни
    • да спре достъпа до услуги, като претовари на сървърите, на които работят те
    • да инжектира зловреден код
    • да получи неоторизиран достъп до други вътрешни системи
    • да нанесе репутационни щети, правни последици и глоби

    Само един пример: през януари 2024 г. от социалната медия Spoutible бяха източени лични данни на над 200 хил. потребителя именно заради липсата на защита на една от основните ѝ API услуги.

    Как да защитите API-тата си

    След всичко изброено по-горе, основният въпрос е какво да направите, за да защитите API услугите, които поддържате? По-лесно е, от колкото си мислите.

    Ето няколко практически съвета:

    • Организирайте. Изгответе списък с API услуги, които поддържате. За целта можете да използвате автоматизирани инструменти за откриване, но по-добре е да съберете списъка от разработчиците, с които работите и да опишете кое API каква автентникация изисква и достъп до какви данни и какви операции по тях позволява
    • Възприемете подход на нулево доверие (zerto-trust) и третирайте всяка заявка към API като потенциално злонамерена, независимо от произхода ѝ.
    • Въведете силна автентификация и оторизация за всяка API услуга. Без изключения.
    • Задайте разумни ограничения на броя заявките към API, които могат да се осъществяват за единица време. Например, има ли нужда API услуга за потребителска информация да позволява повече от 60 заявки в час?
    • въведете надеждна система за създаване на версии за вашите API услуги, за да можете, когато бъдат открити уязвимости (а такива ще бъдат открити), да деактивирате по-старите итерации.
    • обучавайте своите разработчици, тъй като повечето уязвимости в API произтичат от липсата на осведоменост за сигурността.
    • внедрете инструменти за мониторинг и поведенчески анализ и редовно penetration тестове.

    И не забравяйте – киберсигурността изисква постоянство и многопластов подход, така че всички тези стъпки трябва да вървят ръка за ръка.

     

  • Използвате ли някой от тези девет рутера – може да сте уязвими

    Идентифицирани са 226 потенциални уязвимости в девет популярни WiFi рутера, дори при работа с най-новия фърмуер. Изследването е проведено от IoT Inspector.

    Начело на списъка е TP-Link Archer AX6000 (с 32 уязвимости), следва Synology RT-2600ac (с 30 грешки в сигурността). Тествани са още рутери, произведени от Asus, AVM, D-Link, Netgear, Edimax и Linksys – всички те се използват от милиони хора.

    Използвате ли някой от тези 9 рутера – може да сте уязвими
    Източник: CHIP

    Специалистите са открили и някои общи проблеми, които се отнасят до повечето тествани модели:

    • Остаряло Linux ядро във фърмуера
    • Остарели мултимедийни и VPN функции
    • Използване на по-стари версии на BusyBox
    • Използване на слаби пароли по подразбиране (напр. „admin“)
    • Кодирани идентификационни данни под формата на текст

    Всички засегнати производители пуснаха пачове на фърмуера, които елиминират голяма част от откритите уязвимости, но не всички.

    Препоръка:

    Ако използвате някой от споменатите модели, препоръчваме:

    • Да приложите наличните актуализации на защитата
    • Да активирате „автоматичните актуализации“
    • Да промените фабричната парола по подразбиране с уникална и силна парола

    Внимание! Прилагайте тези правила при първо стартиране на всяко IoT устройство – у дома или в корпоративната мрежа.

Back to top button