Киберсигурност

ЕС възнамерява да укрепи цифровата си сигурност със значителни инвестиции. За целта блокът обяви отпускането на 1,3 млрд. EUR за финансиране на иновативни проекти в областта на киберсигурността и AI през следващите три години.

Този нов пакет ще финансира проекти между 2025 и 2027 г. като част от програмата „Цифрова Европа“ (DIGITAL). Тя стартира през 2021 г. и е насочена към разгръщането на технологични инициативи. Нейният първоначален бюджет е в размер на 8,1 млрд. евро и обхваща периода 2021-2027 г.

Част от новото финансиране в размер на 1,3 млрд. EUR ще бъде предназначено за проекти в областта на киберсигурността, в това число:

• Повишаване на киберустойчивостта на критичните системи на ЕС, особено за болници и подводни кабели;
• Подкрепа за въвеждането на Digital Identity Wallet, за да се повиши киберустойчивостта на гражданите на ЕС. Той ще предоставя сигурни, оперативно съвместими и лесни за използване решения за цифрова идентичност.

Участието в програмата DIGITAL ще бъде отворено през април 2025 г. Тя ще предостави възможности за финансиране на различни субекти, включително бизнеси и публични администрации, от държавите членки на ЕС.

Заинтересованите страни могат да намерят допълнителна информация за критериите за допустимост чрез EU Funding & Tenders Portal.

Голяма част от здравните организации използват някои от най-рисковите медицински изделия, според State of CPS Security: Healthcare Exposures 2025 на Claroty.

Известни като IoMT (Internet-of-Medical-Things), те са част от системите на 89% от предприятията в сектора. Въпросните умни инструменти са свързани с интернет и носят уязвимости, за които е известно, че се използват в активни ransomware кампании.

Tези уязвими IoMT устройства са свързани с 20% от болничните информационни системи и 8% от тези за образна диагностика (напр. рентгенови снимки, компютърна томография, ядрено-магнитен резонанс, ултразвук).

Според Claroty 9% от всички използвани IoMT решения имат някаква известна уязвимост.

 

OpenAI обяви петкратно увеличение на максималните възнаграждения за откриване на „изключителни и диференцирани“ критични уязвимости в сигурността. Те вече достигат 100 000 долара.

AI лабораторията твърди, че нейните услуги и платформи се използват всяка седмица от 400 милиона потребители от бизнеса и правителствата по света.

OpenAI стартира своята bug bounty програма през април 2023 г. с изплащане на суми до 20 000 долара. Тя беше обявена месец след разкриването на изтичане на данни за плащанията в ChatGPT. То включваше имена на абонати, имейл адреси, адреси за плащане и частична информация за кредитни карти за около 1,2 % от потребителите на ChatGPT Plus.

Нов доклад на Specops установява, че от един милиард компрометираните пароли почти 1/4 отговарят на стандартните изисквания за сложност. И въпреки това престъпниците са успели да ги пробият. От тях 230 милиона са отговаряли на всички изисквания, включително повече от осем знака, една главна буква, специален символ и число.

Има и още много доказателства за уязвимостта на паролите. Според Data Breach Investigations Report 2024 (DBIR) на Verizon откраднатите креденшъли са основният фактор, водещ до нарушения на сигурността на организациите.

Затова не е изненада, че през последните години се появяват все повече алтернативни методи за удостоверяване на автентичността на потребителите.

Ето 7 от тях:

1. Биометрично удостоверяване

Биометричното удостоверяване използва физическите аспекти на дадено лице, за да потвърди самоличността му – пръстови отпечатъци, лицево разпознаване, сканиране на ириса и др. Този метод има очевидни предимства.

Пръстовите отпечатъци например са уникални за даден човек, така че не могат лесно да бъдат имитирани или възпроизведени. Освен това технологията е лесна за използване, като се избягва необходимостта от въвеждане на данни, които лесно могат да бъдат забравени.

Но и този метод не е неуязвим. Deepfake технологията може да се използва за създаване на фалшиви версии на лицето или други биометрични данни. А ако една подобна система бъде компрометирана, не можете просто да възстановите биометричните данни, както бихте направили с парола.

2. Поведенческа биометрия

Подобно на биометричната автентификация, поведенческата биометрия разчита на характеристики, които са уникални за дадено лице. Само че този път това е начинът, по който взаимодействате с въпросното приложение или уебсайт – например как движите мишката или пишете на клавиатурата.

Ползите са очевидни – потребителят не трябва да прави нищо специално, което прави този метод изключително удобен. Освен това се намалява опасността от споделяне на удостоверения, тъй като не можете лесно да споделите ритъма си на писане.

Но той може да се окаже скъп за интеграция и има потенциални опасения относно поверителността на данните в случай на пробив.

3. Blockchain за сигурно съхранение на пароли

Blockchain технологията може да осигури изключително сигурен метод за защита на данните. Тя осигурява защитен метод за разпространение на данни в децентрализирана мрежа. Въпреки това остават въпроси относно възможните разходи за съхраняване на пароли в Blockchain мрежи като Bitcoin или Ethereum.

4. Zero-knowledge proof (ZKP) технология

ZKP доказва истинността на математическо твърдение, без да разкрива допълнителна информация, „която може да е била полезна при намирането му“, отбелязва NIST. Това е криптографски метод, който доказва, че знаете паролата си, без да е необходимо действително да въвеждате данните си. С други думи, можете да докажете кой сте, без да се налага да споделяте лична информация.

Но и този метод има своите предизвикателства. Те включват ресурсните изисквания за обработка на заявките и потенциални проблеми, свързани със сложността.

5. Passphrases

Друга алтернатива на традиционните пароли е използването на Passphrases. За разлика от стандартните пароли, те се състоят от няколко свързани думи. Това създава по-дълъг, но по-лесно запомнящ се метод за удостоверяване.

Например, парола като „PurpleBananaSunsetDancer!“ се запомня по-лесно от произволен низ от букви и цифри, като същевременно осигурява силна защита благодарение на дължината си.

Passphrases са особено ефективни срещу Brute force атаки, тъй като дължината им увеличава експоненциално броя на възможните комбинации. Те обаче продължават да разчитат на входни данни, генерирани от потребителя. Това означава, че могат да бъдат уязвими, ако се използват общи фрази или предсказуеми модели на думи.

6. Passkey

Passkey е устойчива на фишинг алтернатива на паролите, която набира популярност през последните няколко години. Тя използва криптография с публични ключове за удостоверяване на потребителите. Обикновено ключът е свързан с устройство, например телефон или компютър, и може да бъде отключен с помощта на биометрични данни или ПИН код.

Passkey е устойчива на credential stuffing и фишинг атаки. Частният ключ, използван за удостоверяване, се съхранява на сигурно място в устройствата на потребителите и никога не се споделя с уебсайтове и не се предава по интернет. В резултат на това няма креденшъли, които могат да бъдат откраднати при фишинг атаки или пробиви в данните.

Технологията вече се поддържа широко от всички основни платформи, включително Google, Apple и Microsoft.

7. Security keys

Security keys са физически устройства, обикновено USB, NFC или Bluetooth, които най-често се използват за MFA. След като въведат парола, потребителите активират ключа за сигурност или въвеждат ПИН код, за да потвърдят самоличността си.

Security keys са устойчиви на атаки, тъй като изискват не само достъп до физическото устройство, но и до биометричните данни и ПИН.

Най-доброто от двата свята

Много от тези подходи са на разположение от известно време. Въпреки това паролите остават в основата на онлайн сигурността.

Това е така, защото:

• концепцията е утвърдена от десетилетия и е лесна за разбиране от всички;
• можете лесно да промените паролата си, ако се налага;
• паролите са или верни, или грешни – нищо повече, нищо по-малко;

Оптималният подход не е да избирате между пароли и някоя друга форма на автентификация. Вместо това трябва да се възползвате от предимствата на новите технологии, като същевременно запазите удобствата на сегашните.

Aтаките с т.нар. EDR Killers стават все по-разнообразни. Те са предназначени да блокират инструментите за киберсигурност и да позволят безпроблемното изпълнение на ransomware. Това поставя още едно предизвикателство пред бизнеса в киберпространството.

Още повече, че този тип зловредни софтуери рязко увеличават своята популярност. Според Picus Red Report 2024 тяхното използване е скочило със зашеметяващите 333% през миналата година.

Опростените версии на EDR Killers са под формата на скриптове, които се опитват директно да прекратят списъка с процеси. По-сложните отиват отвъд това и използват техниката, известна като Bring Your Own Vulnerable Driver (BYOVD). Те злоупотребяват с легитимни, но уязвими (обикновено по-стари) драйвери, за да получат достъп до ядрото на целевата операционна система.

Тези инструменти все пак могат да бъдат спрени. Точните мерки за превенция и надеждните решения за киберсигурност от опитен доставчик са важна част от това.

Как да се защитим от EDR Killers

Защитата срещу EDR Killers не е лесна задача. Тя изисква подход, насочен преди всичко към превенцията. Освен това организациите се нуждаят от многопластова стратегия, способна да открива зловреден софтуер на няколко етапа от атаката.

Ето няколко компонента на вашата защита, с които трябва да разполагате, според ESET:

• Висококачественият EDR е задължително условие: EDR Killers са усъвършенствани инструменти за атака. Затова решенията за киберсигурност, внедрени в целевата крайна точка, също трябва да са от най-високо ниво. Те трябва да разполагат с възможности за откриване на зловреден код, злоупотребяващ с уязвими драйвери, още преди изпълнението му.
• Нужна е и защита от подправяне: Тя не позволява на неоторизирани потребители да деактивират или променят компонентите или възможностите на дадено решение за сигурност.
• Блокиране на уязвими драйвери: Това може да се постигне чрез строги политики по отношение на потенциално опасни приложения. За да избегнете смущения в работата на системата, трябва да започнете с режим „Detect but don’t clean”. След това добавете изключения, ако е необходимо, и накрая преминете към режим „Detect and clean”.
• Управление на уязвимостите и пачовете: Нападателите могат да се опитат да злоупотребят с уязвим драйвер, който вече е наличен на компрометираната машина, вместо да разчитат на BYOVD. Ето защо наличието на правилно управление на пачовете е друг ефективен метод за защита.
• Засилване на контрола на приложенията: Подобрете защитата си чрез контрол на приложенията. Например чрез Windows Defender Application Control (WDAC), където можете да създадете политика, която позволява зареждането само на избрани драйвери.
• Ограничаване на достъпа до настройките за сигурност на крайните точки: Използването на силна парола за блокиране на тези настройки добавя още едно ниво на защита.

Имайте предвид, че криптирането на файлове и последващото изнудване обикновено са последните етапи на атаката с ransomware. Преди това мрежата е била пробита и нападателят е успял да получи администраторски привилегии. Задачата на защитниците е да открият атаката на ранен етап, за да предотвратят изцяло възможността тя да стигне до финалните си акорди.

Теорията е само едната част от уравнението, когато става дума за сложни материи като киберсигурността. Другата е практиката.

Затова и вторият ден на тазгодишното издание на Security BSides Sofia – 30-ти март – ще премине под формата на два практически уъркшопа.

„Уъркшопите във втория ден на Security BSides Sofia 2025 ще дадат на участниците реален практически опит. Те ще боравят с инструменти и техники, които могат да приложат веднага в работата си. Подходящи са за системни администратори, SOC анализатори, офанзивни и дефанзивни специалисти, но и за напреднали ентусиасти, които искат да направят следваща крачка в киберсигурността. Важното е участникът да има основни познания и готовност да се включи активно – останалото ще дойде чрез практиката“, обяснява експертът по информационна сигурност Николай Пасков, който е част от организацията на Security BSides Sofia 2025.

Темата на първия уъркшоп е „Threat Hunting & Incident Response“. Участниците в него ще влязат в ролята на Blue Team. Те ще получат достъп до лабораторна среда с данни от пробив и ще трябва да идентифицират заплахите и да предложат адекватен отговор.

Вторият уъркшоп е „Red Team Tactics for Blue Teams”. Неговият фокус ще падне върху начина на мислена на нападателите – какви техники използват и как защитниците могат да предвидят и блокират техните действия. Тук участниците ще преминат през атака на среда с уязвимости и ще трябва да прилагат защитни контрамерки в реално време.

И двете практически занимания ще започнат с кратък теоретичен брифинг, след което следват практически задачи в контролирана лабораторна среда. Всеки уъркшоп завършва с обща дискусия и обратна връзка от менторите.

„Избрахме тези теми, защото отговарят директно на реалните нужди на специалистите по киберсигурност у нас. Все по-често компаниите се сблъскват с инциденти, при които скоростта и качеството на реакцията са от ключово значение. Threat Hunting и Red Teaming не са просто „модерни думи“, а ежедневие в света на проактивната защита. Виждаме сериозен интерес от страна на нашата общност и искаме да предоставим възможност за учене чрез действие, а не само слушане“, споделят организаторите на събитието.

Ако лекциите дават рамка, знание и вдъхновение, то именно практическите панели позволяват да се провери „а сега можеш ли да го направиш“.

„Те надграждат теорията, като поставят участника в динамична, контролирана, но близка до реалната среда. Там се учи най-много – от грешките, от въпросите, от екипната работа. Вярваме, че така се създава по-силна и по-уверена общност от професионалисти, които знаят не само какво, но и как да го приложат“, акцентира Николай Пасков.

Security BSides Sofia 2025 ще се проведе на 29 и 30 март в Interpred WTC Sofia. Събитието се отличава от обичайните форуми с това, че е изцяло технически насочено. Презентаторите са част от него като представители на общността за киберсигурност, а не на компаниите, за които работят.

Цялата програма и билети можете да намерите ТУК.

Партньори на четвъртото издание на форума са CENTIO#Cybersecurity, [UX2.DEV], Commerzbank, ESET и BASELINE Cybersecurity.

Медийни партньори: DEV.BG, DIR.BG, Digitalk, BTV, Kaldata.

Каква е ролята на генеративния изкуствен интелект в съвременната кибер война? Откъде трябва да започнат начинаещите в областта на киберсигурността? Какви са съществуващите техники за заобикаляне на системите за защита?

Отговори на тези и още много въпроси ще даде първият ден на конференцията на обществото на специалистите и ентусиастите по киберсигурност Security BSides Sofia 2025 – 29-ти март.

„Презентациите обхващат различни области и са с различна комплексност. Така всеки ще може да намери нещо за себе си. Да вземе нещо, което го интересува и което евентуално би приложил в професионалните си задължения. Целта ни е всички присъстващи да обогатят своите знания и погледа си върху темата киберсигурност“, обяснява експертът по информационна сигурност Николай Пасков, който е част от организацията на Security BSides Sofia 2025.

Събитието се отличава от обичайните форуми с това, че е изцяло технически насочено. Презентаторите са част от него като представители на общността за киберсигурност, а не на компаниите, за които работят.

Старт на сцената на Security BSides Sofia 2025 в Interpred WTC ще даде експертът по киберсигурност Крис Кубецка. Тя е известна с ключовата си роля във възстановяването на мрежите на Saudi Aramco след мащабната кибератака през 2012 г. Кубецка ще изнесе лекция на тема „Генеративен AI в кибервойната и навигиране в пост-квантовото бойно поле“.

В сутрешната част на програмата участие ще вземат още специалистът по информационна сигурност Асен Молов и Панайотис Фискилис, Senior Penetration Tester.

Следобед на 29-ти март изследователят по киберсигурността Илия Дафчев ще разкаже в подробности за операция WordDrone. Това е знакова киберкампания срещу аерокосмическия сектор на Тайван. Той ще направи дисекция както на техническите аспекти на атаката, така и на начините, по които тя е открита.

Луиджи Губело, Senior Security Engineer в Pitch, ще разкаже как PDF файловете се превръщат в оръжие в ръцете на хакерите. Специалистът по цифрова криминалистика и реакция при инциденти Юхо Юхиайнен пък ще обясни как нападателите използват open-source софтуери за атаки.

В следобедната сесия на сцената ще излезе и Евгени Дюлгеров, разработчик и предприемач, който ще сподели добрите практики в защитата на системи, захранвани от AI.

Security BSides Sofia 2025 ще се проведе на 29 и 30 март. Цялата програма можете да видите ТУК.

Билети можете да закупите ТУК.

Партньори на четвъртото издание на форума са CENTIO#Cybersecurity, [UX2.DEV], Commerzbank, ESET и BASELINE Cybersecurity.

Медийни партньори: DEV.BG, DIR.BG, Digitalk, BTV, Kaldata.

Fileless malware е усъвършенстван тип зловреден софтуер, който компрометира системите, без да съхранява постоянни изпълними файлове в тях. Това е в рязък контраст с традиционния malware. Той разчита на файлове, които лесно могат да бъдат открити от антивирусни решения, базирани на сигнатури.

Освен това Fileless malware умело използва легитимни системни инструменти като PowerShell, Windows Management Instrumentation (WMI) или дори вградени скриптове (например VBA макроси). Той работи изцяло в оперативната памет, оставяйки значително по-малка следа. Това го прави почти неуловим за конвенционалните методи за откриване и подобрява способността му да заобикаля периметровите защити.

Заразяването най-често става чрез техники за социално инженерство, като фишинг имейли с прикачени файлове и връзки. Когато те се активират, задействат изпълнението на скриптове в рамките на доверени процеси.

Стратегии за откриване на Fileless malware

Противодействието на Fileless malware изисква преминаване от конвенционални мерки за сигурност към по-динамични, ориентирани към поведението стратегии. Екипите по сигурността трябва да използват сложни инструменти и техники за ефективното му идентифициране и неутрализиране.

Ето няколко такива, специално проектирани за справяне с неговите отличителни характеристики:

1. Мониторинг на поведението на процесите в реално време и откриване на аномалии: Сканиранията, базирани на сигнатури, не работят. Интегрирайте решения, които наблюдават поведението на процесите в реално време. Внедряването на EDR системи може да подчертае необичайни дейности. Това включва неочаквани команди, стартирани от PowerShell, или необичайни мрежови връзки, които се отклоняват от стандартните системни модели.
2. Задълбочен анализ на паметта: Тъй като Fileless malware работи предимно в паметта, анализът на RAM е от решаващо значение. Анализът в реално време може да разкрие скрит злонамерен код или подозрителни process injection, които остават невидими на диска. Специализираните инструменти могат да помогнат за изолиране и изследване на тези скрити в паметта заплахи.
3. Управление и наблюдение на доверени инструменти: Ограничете използването на често експлоатирани системни инструменти като PowerShell. Това може да се направи чрез политики като списъци на разрешени приложения или контрол на изпълнението на скриптове. Активирайте подробно регистриране за среди, в които тези инструменти са от съществено значение. По този начин можете да одитирате тяхната активност и да откриете потенциални злоупотреби на ранен етап.
4. Анализ на мрежовия трафик: Fileless malware често се свързват с външни C2 сървъри (Command and Control Server). Чрез наблюдение на изходящия мрежов трафик за необичайни модели можете да откриете присъствието му, дори при липса на доказателства, базирани на файлове.
5. Обучение на потребителите и превенция на фишинг: Обучаването на потребителите да забелязват подозрителни връзки и прикачени файлове действа като решаваща първа линия на защита. Допълнете това с филтриране на имейли и sandbox тестване, за да прихванете заплахите преди да достигнат крайните точки.
6. Проактивно укрепване на системата: Минимизирайте повърхността на атака чрез деактивиране на ненужни функции (напр. макроси в Office документи) и приложете принципа на най-малката привилегия. Редовно актуализирайте системите, за да елиминирате уязвимости, които злонамереният софтуер може да експлоатира.

Групата Black Basta ransomware е използвала близо 3000 уникални креденшъли, за да се опитат да компрометират различни корпоративни мрежи.

Според компанията за киберсигурност KELA те са насочени основно към Remote Desktop софтуери и виртуални частни мрежи (VPN).

От Remote Desktop Web Access на Microsoft до Global Protect на Palo Alto и VPN услугите на Cisco – всички те са любима цел на ransomware групите. Веднъж компрометирани, тези услуги могат да се използват като шлюзове към корпоративните мрежи. След това кражбата на данни и внедряването на ransomware стават лесна задача.

В доклад, публикуван на 11 март, киберзастрахователят Coalition установява, че 2/3 от предприятията имат поне един панел за вход, изложен на интернет. Тези организации са три пъти по-застрашени от инцидент с ransomware. Най-често проблемите идват от лошо конфигурирани и зле защитени уеб панели за вход.

Три стъпки за осигуряване на отдалечения достъп

С навлизането на цифровата трансформация и работата отвсякъде, служителите трябва да имат възможност за отдалечен достъп до бизнес ресурси.

Но за да е сигурна тази комуникация, организациите трябва да:

• актуализират своите мрежови устройства, VPN мрежи и firewall – особено фърмуера, който e често забравян компонент;
• добавят силна, устойчива на фишинг многофакторна автентикация (MFA);
• да възприемат цялостна Zero Trust стратегия.

GitLab пусна актуализации за сигурност за Community Edition (CE) и Enterprise Edition (EE). С тях се поправят девет уязвимости, сред които две критични. Те позволяват заобикалянето на удостоверяването в библиотеката ruby-saml.

Това означава, че атакуващият може да получи неоторизиран достъп до акаунта на друг потребител. Подобна атака би довела до потенциално изтичане на данни, увеличаване на привилегии и други рискове за сигурността.

Уязвимости са отстранени във версиите на GitLab CE/EE 17.7.7, 17.8.5 и 17.9.2. Всички преди тях са уязвими.

GitLab.com вече е поправен, а клиентите на GitLab Dedicated ще бъдат актуализирани автоматично. Потребителите, които поддържат самоуправляеми инсталации в собствената си инфраструктура, обаче ще трябва да приложат актуализациите ръчно. Това трябва да се направи възможно най-бързо.

Потребителите на GitLab, които не могат да преминат незабавно към безопасна версия, трябва да:

• се уверят, че всички потребители на самоуправляващата се инстанция на GitLab са активирали 2FA. MFA на ниво доставчик на софтуер за проверка на идентичност не смекчава проблема;
• деактивират опцията за заобикаляне на SAML;
• заложат одобрение от администратора за автоматично създадените потребители, като зададат:

‘gitlab_rails[‘omniauth_block_auto_created_users’] = true’

Въпреки че тези стъпки значително намаляват риска, те трябва да се разглеждат само като временни мерки, докато не стане възможно обновяването до GitLab 17.9.2, 17.8.5 или 17.7.7.

За да актуализирате GitLab, отидете в официалния център за изтегляне на актуализации. Инструкциите за инсталиране на GitLab Runner са налични ТУК.