Информационна сигурност

  • Сигурност на данните или използването им за бизнес цели? Пет препоръки как да постигнете и двете

    Едва 14% от лидерите по киберсигурност ефективно подсигуряват данните на организацията си, като същевременно позволяват те да се използват за постигане на бизнес цели.

    За 35% от респондентите в скорошно проучване на Gartner защитата на данните е категоричен приоритет. За 21% използването им за постигане на бизнес цели е на първо място. Но само един на всеки седем (14%) може да направи и двете ефективно.

    Това разминаване излага организациите на заплахи, регулаторни санкции и оперативна неефективност. Затова Gartner дава 5 препоръки към мениджърите по киберсигурността как да постигнат хармония между високите нива на защита на данните и ефективните бизнес процеси:

    1. Създайте добре установен процес за съвместно разработване на политики и стандарти за сигурност на данните. В него трябва да участват както звената за управление на риска и киберсигурността, така и тези с бизнес функции.
    2. Съгласувайте усилията, свързани със сигурността и използваемостта на данните. Мениджърите по киберсигурност трябва да си партнират с лидерите на останалите отдели, за да идентифицирате припокриванията.
    3. Очертайте неподлежащи на обсъждане изисквания за сигурност, на които трябва да отговарят бизнес групите.
    4. Определете предпазни огради на високо ниво около решения, свързани с GenAI. Позволете на бизнес групите да експериментират в рамките на ясно зададени параметри.
    5. Работете постоянно съвместно с екипите за управление и анализи на данни. Това ще ви позволи да сте наясно с техните проблеми и изисквания, когато залагате мерките за сигурност.
  • Eвропейският финансов сектор e изправен пред „непосредствена“ квантова заплаха

    Секторът на финансовите услуги в Европа трябва да започне да планира прехода си към квантово-безопасна криптография. Рискът от атаки от типа store now, decrypt later (SNDL) нараства, предупреди Европол.

    Очаква се след време квантовите компютри да могат да разбият системите с асиметрично криптиране. Понастоящем това е начинът за защита на глобалните финансови транзакции, процесите на удостоверяване и цифровите договори.

    Тези машини все още се смятат за отдалечени поне на десетилетие. SNDL атаките обаче скъсяват този график, ако хакерите вече крадат чувствителни данни с цел да ги декриптират по-късно.

    Възможно е също така, с вливането на повече средства в областта, научните пробиви да ускорят появата на т. нар. „криптографски значими квантови компютри“ (CRQC).

    Европол прави няколко препоръки в своя „Призив за действие“:

    • Финансовите институции и създателите на политики трябва да дадат приоритет на прехода към квантово-безопасна криптография;
    • Трябва да се подобри координацията между различните заинтересовани страни, включително съгласуване на пътните карти, целите и стратегиите за изпълнение;
    • Доброволна рамка, създадена между регулаторните органи и частния сектор, ще бъде достатъчна за стимулиране на инициативи и стандартизация в областта на квантово-сигурната криптография;
    • Необходима е ориентирана към бъдещето рамка за управление на криптографията;
    • От съществено значение е и повече трансгранично сътрудничество и обмен на знания между органите от публичния и частния сектор.

    Финансовите услуги остават популярна цел за участниците в заплахите. Доклад на Contrast Security от миналата седмица разкри, че 64% от банките са преживели атаки през предходната година, като повече от половината (54%) твърдят, че данните им са били унищожени.

    Докато чакат появата на CRQC, организациите трябва да използват най-новите стандарти за криптиране заедно с традиционните за известно време, за да изгладят прехода.

  • Мониторинг и сигурност: Как да предпазим мрежовата си инфраструктура от нарастващия брой киберзаплахи

    Западни агенции за сигурност – CISA, NSA, FBI и др. – публикуваха нов набор от добри практики за засилване на видимостта и укрепване на мрежовите инфраструктури. Пускането на Enhanced Visibility and Hardening Guidance for Communications Infrastructure е продиктувано от нарастващия брой кибератаки срещу критични западни системи.

    Той включва актуални насоки в три основни направления – подобряване на видимостта, укрепване на мрежовите устройства и отговор на инциденти.

    Подобряване на видимостта

    Тук основните съвети обхващат:

    Мониторинг на мрежата: Внимателно наблюдавайте конфигурационните промени и внедрете механизми за алармиране при неоторизирана намеса.

    Централизирано съхранение на конфигурации: Не приемайте устройствата като достоверен източник на информация за техните конфигурации. Редовно тествайте и водете единна база данни на всички настройки.

    Решения за мониторинг на мрежовия поток: Внедрете доказани решения за мониторинг на мрежовия поток. Те позволяват детайлно наблюдение на трафика, потребителската активност и трансфера на данни.

    Укрепване на мрежовите устройства

    Трите основни насоки на това поле са насочени към:

    Пачване на уязвими устройства и услуги: Редовно актуализирайте софтуера и фърмуера на мрежовите устройства, за да се намалят възможностите за проникване.

    Сигурност на конфигурациите: Използвайте силни пароли и MFA за достъп до мрежовите устройства.

    Ограничаване на достъпа: Ограничeте достъпа до мрежите само до оторизирани потребители и устройства.

    Отговор на инциденти

    Ако все пак се случи пробив, организациите трябва да са изградили възможноти за:

    Бързо идентифициране на заплахи: Добрата видимост на инфраструктурата позволява бързо идентифициране на заплахи, аномалии и уязвимости.

    Реакция на инциденти: Разработване на планове, които включват процедури за бързо реагиране и възстановяване на нормалната работа на мрежата.

    Изпълнението на тези насоки намалява възможностите за проникване и смекчава последствията при потенциални кибератаки.

  • Инсталационен проблем спира актуализациите на сигурността при някои системи с Windows 11

    Инсталационен проблем блокира актуализациите за сигурност при някои компютри с Windows 11, версия 24H2. Грешката се появява при инсталации от компактдискове и USB, които съдържат и кумулативните ъпдейти за октомври или ноември 2024.

    От Microsoft предупреждават, че при използване на подбни носители устройството може да спре да приема по-нататъшни актуализации на сигурността.

    Тези проблеми с внедряването не засягат ъпдейтите, доставени чрез Windows Update и Microsoft Update Catalog. Инсталациите, снабдени с актуализации за сигурност от декември 2024 г. или по-късно, също са защитени.

    Ако сте инсталирали някоя от засегнатите версии, възможно най-бързо надградете. Актуализациите за сигурност са от изключителна важност за предпазването на вашите компютри и бизнеси.

     

  • ZTNA, SDP, SSE, SASE: 4 рамки за киберсигурност, които ще подобрят защитата на бизнеса ви

    Освен че е непрекъснат процес, а не единичен акт, подсигуряването на киберсигурността на вашия бизнес изисква многопластов подход.

    Пример за това са четирите рамки ZTNA (Zero Trust Network Access), SDP (Software Defined Perimeter), SSE (Secure Service Edge) и SASE (Secure Access Service Edge). Всяка една от тях има своите специфични цели и особености, но едновременно с това могат да функционират в съзвучие.

    Ето какво представлява всяка една от тези четири рамки:

    • ZTNA: Структура за сигурност, която създава логическа граница за достъп. Тя е базирана на идентичност и контекст, изградени около приложение или набор от приложения. Тази рамка за сигурност налага стриктно удостоверяване на автентичността на всеки потребител и устройство, които се опитват да получат достъп. С други думи, логиката на ZTNA е никога не се доверявай, винаги проверявай.
    • SDP: Рамка за сигурност, която има за цел да защитава мрежовите ресурси. Тя залага на динамично създаване на сигурни връзки между потребителите и ресурсите, вместо да разчита на традиционен периметър, като например NGFW.
    • SSE: Архитектура, която защитава достъпа до уеб, облачни услуги и частни приложения. Това включва контрол на достъпа, защита от заплахи, сигурност на данните, мониторинг на сигурността и контрол на приемливото използване. Те се прилагат чрез мрежова и API-базирана интеграция.
    • SASE: Предоставя конвергирана мрежа и възможност за SECaaS, включително SD-WAN, SWG, CASB, NGFW и достъп до ZTNA.

    Как се допълват взаимно

    ZTNA, SDP, SSE и SASE са различни рамки в сферата на мрежовата сигурност, но всяка от тях надгражда другата. Комбинацията между тях осигурява по-всеобхватен и сигурен достъп до приложения и услуги.

    Ето как се случва това:

    • ZTNA и SDP: И двете осигуряват проверка на самоличността, както и функции за контрол на достъпа. Те гарантират, че ресурсите, до които потребителите имат достъп, са ограничени само до необходимите за конкретното приложение. ZTNA разширява възможностите на SDP чрез по-фин контрол на достъпа и непрекъснато удостоверяване на автентичността.
    • ZTNA и SSE: Внедряването на ZTNA в SSE позволява на организациите да прилагат последователни мерки за сигурност за всички приложения и потребители, независимо от местоположението им.
    • SASE: Тази рамка съчетава функционалностите на ZTNA, SDP, SD-WAN и SSE, предоставяйки цялостно решение за сигурност. Опростява внедряването и подобрява работата на потребителите.

    Основни ползи за киберсигурността на бизнесите

    Съвместното внедряване на ZTNA, SDP, SSE и SASE предлага редица предимства за организациите.

    Те включват:

    • Повишени нива на защита: Подобрява сигурността на организацията чрез намаляване на повърхността за атака;
    • Повишена производителност: Потребителите имат достъп до данни и приложения в движение, без да са зависими от традиционните VPN, които често са бавни;
    • Намалена оперативна сложност: Интеграцията на мрежовите възможности и тези за сигурност в една платформа намалява оперативните главоболия на IT отделите.
    • Намалени разходи: Този подход елиминира необходимостта от множество продукти за сигурност, като опростява и рационализира мрежовата архитектура. Чрез консолидиране на множество функции в една облачна конзола бизнесите могат да спестят оперативни разходи.
    • Възможности и адаптивност: Облачни модели като SASE и SSE позволяват на организациите да подсилват сигурността си според нуждите, в синхрон с операциите в реално време. По този начин те могат да се адаптират своевременно към нови предизвикателства.
  • Поредна заплаха за бизнесите: Служители често въвеждат чувствителни данни в заявки на GenAI

    Служителите споделят широк спектър от данни в инструменти за генеративен изкуствен интелект (GenAI). Това оправдава колебанието на много организации да възприемат използването на технологията.

    Всеки път, когато потребител въвежда данни в свой промпт за ChatGPT или друг подобен инструмент, информацията се поглъща от големия езиков модел. След това тя се използва за обучение на следващото поколение на алгоритъма. Опасенията са, че информацията може да бъде извлечена по-късно чрез уязвимости в моделите, ако не е осигурена подходяща защита на данните за въпросната услуга.

    От Harmonic.ai са анализирали хиляди промптове, подадени от потребители в GenAI платформи като Copilot, ChatGPT, Gemini, Claude и Perplexity. Общо 8,5% от анализираните заявки са включвали поверителни данни.

    Те попадат в една от петте категории: данни за клиенти, данни за служители, правни и финансови данни, данни за сигурност, чувствителен код.

    Според изследователите данните за клиенти заемат най-голям дял от подканите – 45,77%. Тези за служители съставляват 27% от чувствителните подсказки в проучването на Harmonic.

    Това показва, че GenAI инструментите все повече се използват за вътрешни процеси. Те включват прегледи на представянето, решения за наемане и дори определяне на годишните бонуси.

    Правната и финансовата информация не е толкова често изложена на риск – 14,88% от случаите, но когато това се случи, носи голям корпоративен риск.

    Тази статистика показва, че бизнесите трябва да обучават своите служители какво е подходящо да сподеят с моделите за генеративен изкуствен интелект и какво не. Въвеждането на стриктни политики за киберсигурност и работа с вътрешна информация е задължително условие за защита на критичните данни на една организация.

  • Microsoft пусна рекорден брой актуализации за сигурност. Инсталирайте ги незабавно!

    Януарската актуализация на сигурността на Microsoft съдържа пачове за рекордните 159 уязвимости, включително осем грешки от типа Zero day. Tри от тях вече се използват активно от хакерите.

    Актуализацията е най-мащабната в историята на компанията. Тя се отличава и с това, че включва три грешки, които са открити от платформа за изкуствен интелект (AI).

    Компанията оценява 10 от уязвимостите като критични, а останалите – като важни за отстраняване. Пачовете обхващат широк спектър от технологии, включително операционната система Windows, Microsoft Office, .NET, Azure, Kerberos и Windows Hyper-V. Те включват:

    • повече от 20 уязвимости с отдалечено изпълнение на код (RCE);
    • почти същия брой с повишаване на привилегии;
    • набор от такива, свързани с DoS;
    • проблеми със заобикалянето на мерките за сигурност, подправяне и разкриване на информация.

    От Microsoft са категорични, че три от тях трябва да се коригират незабавно. Tе са свързани с проблеми с повишаване на привилегиите в компонент на NT ядрото на Windows Hyper-V. Атакуващите могат да се възползват от тях сравнително лесно, за да получат привилегии на системно ниво в засегнатите инфраструктури.

    Трите бъга имат умерена оценка за сериозност от 7,8 от 10 по скалата CVSS. Но фактът, че нападателите вече ги използват, означава, че организациите не могат да си позволят да забавят отстраняването им.

    Ние ви съветваме възможно най-бързо да инсталирате всички новопубликувани пачове на Microsoft.

  • 10 нетехнически мерки, които трябва да вземете след пробив в киберсигурността

    Последен ъпдейт на 2 февруари 2025 в 10:05 ч.

    Когато напрежението след пробив се уталожи, фокусът често пада върху прилагането на технически предпазни мерки и разследването на причината. Много организации обаче пропускат огромна възможност, като не обръщат внимание на нетехническите аспекти на възстановяването. А те могат да смекчат значително последствията и да повишават устойчивостта ви.

    Ето 10 важни нетехнически мерки, които трябва да вземете след пробив в сигурността.

    1. Деактивирайте временните логове и премахнете ненужните инструменти

    Тази мярка е малко техническа, но е много важна! По време на инцидент консултантите и служителите ще се нуждаят от временни акаунти за достъп до мрежата. Едновременно с това в цялата ви инфраструктура може да бъдат разположени специализирани инструменти и логове. След приключване на разследването и отстраняване на проблема тези акаунти и инструменти трябва да бъдат премахнати по сигурен начин.

    Ако това не бъде направено, чувствителните данни могат да бъдат изложени на опасност или векторите за достъп да останат отворени. Извършете задълбочен одит на инфраструктурата си, за да се уверите, че не са останали временни акаунти или остатъци от инструменти за реагиране на инциденти.

    1. Подсилете споразуменията за неразкриване на информация със служители и консултанти

    Разследванията на пробиви често разкриват изключително чувствителна информация за уязвимостите, системите и операциите на вашата организация. Всички консултанти или служители, участващи в тези процеси, трябва да имат надеждни споразумения за неразкриване на информация.

    Прегледайте съществуващите договорености и ги подсилете, когато е необходимо. Трябва да гарантирате, че чувствителните детайли за нарушението или за състоянието на сигурността ви ще останат поверителни.

    1. Наградете екипа си

    Реагирането на инциденти е стресиращо, изтощително и често емоционално натоварващо. Вашите екипи по IT и киберсигурност вероятно са работили под огромен натиск, за да стабилизират ситуацията.

    Признанието за техните усилия може да допринесе за повдигане на морала. Независимо дали става въпрос за бонуси, публично признание или допълнителна почивка, награждаването на екипа ви показва, че трудът му не е останал незабелязан.

    Важно е също така да се грижите за хората си по време на пробив. Осигурете им храна и комфорт. Силата на една пица не може да бъде подценявана!

    1. Преоценете взаимоотношенията си с трети страни

    Пробивите в сигурността често подчертава уязвимостта на взаимоотношенията ви с трети страни – партньори или доставчици.

    Извършете задълбочен преглед на споразуменията си с тях, техния достъп до системите ви и практиките им за сигурност. Тази преоценка ще ви помогне да идентифицирате слабите звена и да предприемете коригиращи действия, за да сведете до минимум бъдещите рискове.

    1. Сигурно архивирайте данните за инцидента

    Нарушението може да създаде огромно количество данни, включително логове, доклади и записи на комуникации. Сигурното им архивиране е от съществено значение за спазване на изискванията – правни и професионални.

    Уверете се, че данните се съхраняват в сигурна среда с контролиран достъп. Този архив може да послужи и като ценен ресурс за бъдещи обучения или одити.

    1. Преглед на протоколите за комуникация

    Пробивът може да е разкрил слабости във вашите вътрешни и външни комуникационни протоколи. Прегледайте начина, по който е била предадена информацията по време на инцидента. Ако се налага, усъвършенствайте процесите си за постигане на яснота и бързина.

    Това включва преразглеждане на плановете за кризисна комуникация. Трябва да гарантирате, че правилната информация ще достига до точните заинтересовани страни бързо и ефективно в бъдеще.

    1. Актуализирайте обучението на служителите

    Ако е настъпило нарушение, има вероятност пропуските в информираността на служителите да са изиграли важна роля. Възползвайте се от тази възможност, за да актуализирате програмите си за обучение, така че да отразяват поуките от инцидента.

    Фокусирайте се върху осведомеността за фишинг, практиките за сигурни пароли и важността на докладването на подозрителни дейности. Дайте възможност на хората си да действат като първа линия на защита. Помислете за цялостна програма за повишаване на информираността. Тя трябва да съчетава онлайн, лично, геймифицирано обучение и провеждане на редовни симулации на фишинг атаки.

    1. Общувайте със заинтересованите страни

    След като непосредствената криза приключи, поддържането на прозрачност със заинтересованите страни е от решаващо значение. Това включва клиенти, инвеститори и регулаторни органи. Очертайте какво се е случило, какво е направено за разрешаване на проблема и какви стъпки предприемате за предотвратяване на бъдещи проблеми.

    Добре изпълнената комуникационна стратегия може да запази доверието във вас и демонстрира нагласа за отчетност.

    1. Създайте план за задържане на служителите

    Нарушението често създава среда на несигурност, която може да доведе до прегаряне или текучество на служителите. Изградете план за задържане им, който ги подкрепя и успокоява.

    Това може да включва консултантски услуги и възможности за професионално развитие.

    1. Направете оценка на репутацията

    Възможно е репутацията на вашата организация да е пострадала заради пробива. Направете анализ, за да разберете степента на щетите и да разработите план за възстановяване на доверието.

    Той трябва да включва:

    • проследяване на мнението на хората за вашата организация в социалните медии, сайтовете за ревюта, форумите и други платформи;
    • събиране на информация от служители, клиенти, партньори, инвеститори, регулаторни органи и т.н., за да разберете вътрешните и външните възприятия;
    • преглед на медийното отразяване и каналите на социалните медии, за да идентифицирате силните и слабите страни на репутацията на вашата организация.

    След това обмислете провеждането на кампании, за да потвърдите отново ангажимента си към сигурността и високото ниво на обслужване.

    Като се съсредоточите върху тези 10 нетехнически действия, можете да укрепите устойчивостта на организацията си, да възстановите доверието и да гарантирате, че сте по-добре подготвени за бъдещи инциденти.

  • Няколко урока, които научихме през 2024

    Последен ъпдейт на 11 януари 2025 в 09:57 ч.

    От нарастващата сложност на Zero day експлойтите до укрепването на съюзите между национални държави и киберпрестъпниците. 2024 г. предостави много доказателства за това колко бързо продължава да се развива пейзажът на заплахите в киберпространството.

    Ето няколко събитията, които трябва да бъдат използвани за тактическите прозрения от екипите по информационна сигурност. Те могат да подкрепят дейността им в продължаващата битка през 2025 г.

    Нарастващ брой Zero day експлойти и участието на национални държави

    И през 2024 изследователите продължиха да отчитат увеличение на броя на Zero day атаките. Експертите по киберсигурност очакват тази тенденция да се ускори, като в основата на това ускорение ще залегне геополитическото напрежение. Според тях националните държавни субекти, особено Китай, увеличават използването на този тип уязвимости с безпрецедентни темпове.

    Затова все по-често се говори за сътрудничество или координация между национални държави и киберпрестъпници. Русия, например, си сътрудничи с групи, предлагащи „софтуер като услуга“, като Killnet, LokiBot, Gumblar, Pony Loader и Amadey.

    Китай е в подобни отношения със Storm-0558 и Red Relay, обикновено в подкрепа на геополитическия си дневен ред в Южнокитайско море.

    Планирането на устойчивостта се нуждае от повече внимание

    Атаките с ransomware през 2024 г. подчертаха слабостите на веригите за доставки и политиките за непрекъснатост на бизнеса. Хакерите все по-често се насочват към доставчиците на услуги от трети страни, за да ударят своите цели.

    Кибератака срещу Ahold Delhaize, компанията майка на някои от най-големите американски вериги супермаркети, например, наруши услугите в мрежата ѝ през ноември. Тя засегна повече от 2000 магазина.

    Включването на съвременни инструменти за сегментиране в стратегиите за непрекъсваемост на бизнеса може да помогне да се сведат до минимум оперативните смущения по време на инциденти.

    Друг такъв, предизвикал интерес през тази година, беше прекъсването на работата на CrowdStrike. Събитието доминираше в новинарските емисии в продължение на няколко дни. След него анализаторите изтъкнаха критичната необходимост от по-добро спазване на процесите и повече видимост.

    Случаят също така подчерта необходимостта лидерите в областта на сигурността да комуникират ефективно с различни заинтересовани страни, когато управляват последиците от мащабен инцидент. Тази комуникация включва технически екипи, бизнес ръководители и външни доставчици.

    Критичната инфраструктура е все по-честа мишена

    През 2024 г. атаките срещу критичната инфраструктура достигат нови нива. През септември Агенцията за киберсигурност и инфраструктурна сигурност на САЩ (CISA) предупреди, че правителствени водни системи са изложени на риск от атаки от страна на национални държави. До това предупреждение се стигна, след като служители съобщиха за проблем с киберсигурността на съоръжение в Арканзас Сити, Канзас. Те бяха принудени да преминат към ръчни операции, докато проблемът бъде разрешен.

    През тази година стана ясно също така, че нападателите изместват фокуса си от добре защитените съоръжения към по-уязвимите системи. Списъкът включва както водоснабдяването, така и електропреносните мрежи.

    Едно от основните предизвикателства при осигуряването на критичната инфраструктура е присъщата сложност на оперативните среди. Много промишлени системи работят с наследено оборудване, което не е било проектирано с оглед на киберсигурността. Освен това често липсва видимост към свързаните устройства, което може да направи откриването на заплахи изключително трудно.

    Внедряването на усъвършенствани инструменти за мониторинг и откриване на заплахи е част от решението на тези проблеми. Подобряването на комуникацията в организациите също може да бъде полезна за подсигуряване на уникалните изисквания за сигурност на критичната инфраструктура.

  • По-голямата част от МСП в Обединеното кралство нямат политика за киберсигурност

    Повече от две трети (69%) от малките и средните предприятия (МСП) в Обединеното кралство нямат политика за киберсигурност. Това става ясно от данни на специализираната застрахователна компания Markel Direct.

    Проучването установява значителна липса на основни мерки за защита на информационните ресурси в тези компании:

    • 43% признават, че служителите им не са обучени за най-добрите практики и потенциалните заплахи;
    • едва 35% насърчават служителите си да актуализират паролите си;
    • само 52% използват многофакторна автентикация (MFA).

    72% от британските МСП заявяват, че разполагат с антивирусен софтуер. 49% са интегрирали инструменти за филтриране на електронна поща за спам и фишинг имейли, 47% – firewall, а 46% – разполагат със защитени Wi-Fi мрежи.

    По-малко от половината от анкетираните компании извършват редовно архивиране на данни (46%) и ги криптират (44%). Две трети (69%) редовно актуализират системния си софтуер, 49% не знаят какво да правят в случай на кибератака.

    Запитани как защитават данните си, когато до тях имат достъп дистанционни служители, 52% от МСП отговарят, че използват VPN. 48% обучават служителите си на практиките за безопасна работа от разстояние. 46% имат въведени политики и механизми за контрол на достъпа от разстояние.

    Проучване на JumpCloud от юли 2024 г. пък установява, че 49% от IT екипите на британските МСП не разполагат с достатъчно ресурси и персонал, за да защитят организацията си от киберзаплахи.

Back to top button