Киберсигурност

Каква е ролята на генеративния изкуствен интелект в съвременната кибер война? Откъде трябва да започнат начинаещите в областта на киберсигурността? Какви са съществуващите техники за заобикаляне на системите за защита?

Отговори на тези и още много въпроси ще даде първият ден на конференцията на обществото на специалистите и ентусиастите по киберсигурност Security BSides Sofia 2025 – 29-ти март.

„Презентациите обхващат различни области и са с различна комплексност. Така всеки ще може да намери нещо за себе си. Да вземе нещо, което го интересува и което евентуално би приложил в професионалните си задължения. Целта ни е всички присъстващи да обогатят своите знания и погледа си върху темата киберсигурност“, обяснява експертът по информационна сигурност Николай Пасков, който е част от организацията на Security BSides Sofia 2025.

Събитието се отличава от обичайните форуми с това, че е изцяло технически насочено. Презентаторите са част от него като представители на общността за киберсигурност, а не на компаниите, за които работят.

Старт на сцената на Security BSides Sofia 2025 в Interpred WTC ще даде експертът по киберсигурност Крис Кубецка. Тя е известна с ключовата си роля във възстановяването на мрежите на Saudi Aramco след мащабната кибератака през 2012 г. Кубецка ще изнесе лекция на тема „Генеративен AI в кибервойната и навигиране в пост-квантовото бойно поле“.

В сутрешната част на програмата участие ще вземат още специалистът по информационна сигурност Асен Молов и Панайотис Фискилис, Senior Penetration Tester.

Следобед на 29-ти март изследователят по киберсигурността Илия Дафчев ще разкаже в подробности за операция WordDrone. Това е знакова киберкампания срещу аерокосмическия сектор на Тайван. Той ще направи дисекция както на техническите аспекти на атаката, така и на начините, по които тя е открита.

Луиджи Губело, Senior Security Engineer в Pitch, ще разкаже как PDF файловете се превръщат в оръжие в ръцете на хакерите. Специалистът по цифрова криминалистика и реакция при инциденти Юхо Юхиайнен пък ще обясни как нападателите използват open-source софтуери за атаки.

В следобедната сесия на сцената ще излезе и Евгени Дюлгеров, разработчик и предприемач, който ще сподели добрите практики в защитата на системи, захранвани от AI.

Security BSides Sofia 2025 ще се проведе на 29 и 30 март. Цялата програма можете да видите ТУК.

Билети можете да закупите ТУК.

Партньори на четвъртото издание на форума са CENTIO#Cybersecurity, [UX2.DEV], Commerzbank, ESET и BASELINE Cybersecurity.

Медийни партньори: DEV.BG, DIR.BG, Digitalk, BTV, Kaldata.

Fileless malware е усъвършенстван тип зловреден софтуер, който компрометира системите, без да съхранява постоянни изпълними файлове в тях. Това е в рязък контраст с традиционния malware. Той разчита на файлове, които лесно могат да бъдат открити от антивирусни решения, базирани на сигнатури.

Освен това Fileless malware умело използва легитимни системни инструменти като PowerShell, Windows Management Instrumentation (WMI) или дори вградени скриптове (например VBA макроси). Той работи изцяло в оперативната памет, оставяйки значително по-малка следа. Това го прави почти неуловим за конвенционалните методи за откриване и подобрява способността му да заобикаля периметровите защити.

Заразяването най-често става чрез техники за социално инженерство, като фишинг имейли с прикачени файлове и връзки. Когато те се активират, задействат изпълнението на скриптове в рамките на доверени процеси.

Стратегии за откриване на Fileless malware

Противодействието на Fileless malware изисква преминаване от конвенционални мерки за сигурност към по-динамични, ориентирани към поведението стратегии. Екипите по сигурността трябва да използват сложни инструменти и техники за ефективното му идентифициране и неутрализиране.

Ето няколко такива, специално проектирани за справяне с неговите отличителни характеристики:

1. Мониторинг на поведението на процесите в реално време и откриване на аномалии: Сканиранията, базирани на сигнатури, не работят. Интегрирайте решения, които наблюдават поведението на процесите в реално време. Внедряването на EDR системи може да подчертае необичайни дейности. Това включва неочаквани команди, стартирани от PowerShell, или необичайни мрежови връзки, които се отклоняват от стандартните системни модели.
2. Задълбочен анализ на паметта: Тъй като Fileless malware работи предимно в паметта, анализът на RAM е от решаващо значение. Анализът в реално време може да разкрие скрит злонамерен код или подозрителни process injection, които остават невидими на диска. Специализираните инструменти могат да помогнат за изолиране и изследване на тези скрити в паметта заплахи.
3. Управление и наблюдение на доверени инструменти: Ограничете използването на често експлоатирани системни инструменти като PowerShell. Това може да се направи чрез политики като списъци на разрешени приложения или контрол на изпълнението на скриптове. Активирайте подробно регистриране за среди, в които тези инструменти са от съществено значение. По този начин можете да одитирате тяхната активност и да откриете потенциални злоупотреби на ранен етап.
4. Анализ на мрежовия трафик: Fileless malware често се свързват с външни C2 сървъри (Command and Control Server). Чрез наблюдение на изходящия мрежов трафик за необичайни модели можете да откриете присъствието му, дори при липса на доказателства, базирани на файлове.
5. Обучение на потребителите и превенция на фишинг: Обучаването на потребителите да забелязват подозрителни връзки и прикачени файлове действа като решаваща първа линия на защита. Допълнете това с филтриране на имейли и sandbox тестване, за да прихванете заплахите преди да достигнат крайните точки.
6. Проактивно укрепване на системата: Минимизирайте повърхността на атака чрез деактивиране на ненужни функции (напр. макроси в Office документи) и приложете принципа на най-малката привилегия. Редовно актуализирайте системите, за да елиминирате уязвимости, които злонамереният софтуер може да експлоатира.

Групата Black Basta ransomware е използвала близо 3000 уникални креденшъли, за да се опитат да компрометират различни корпоративни мрежи.

Според компанията за киберсигурност KELA те са насочени основно към Remote Desktop софтуери и виртуални частни мрежи (VPN).

От Remote Desktop Web Access на Microsoft до Global Protect на Palo Alto и VPN услугите на Cisco – всички те са любима цел на ransomware групите. Веднъж компрометирани, тези услуги могат да се използват като шлюзове към корпоративните мрежи. След това кражбата на данни и внедряването на ransomware стават лесна задача.

В доклад, публикуван на 11 март, киберзастрахователят Coalition установява, че 2/3 от предприятията имат поне един панел за вход, изложен на интернет. Тези организации са три пъти по-застрашени от инцидент с ransomware. Най-често проблемите идват от лошо конфигурирани и зле защитени уеб панели за вход.

Три стъпки за осигуряване на отдалечения достъп

С навлизането на цифровата трансформация и работата отвсякъде, служителите трябва да имат възможност за отдалечен достъп до бизнес ресурси.

Но за да е сигурна тази комуникация, организациите трябва да:

• актуализират своите мрежови устройства, VPN мрежи и firewall – особено фърмуера, който e често забравян компонент;
• добавят силна, устойчива на фишинг многофакторна автентикация (MFA);
• да възприемат цялостна Zero Trust стратегия.

GitLab пусна актуализации за сигурност за Community Edition (CE) и Enterprise Edition (EE). С тях се поправят девет уязвимости, сред които две критични. Те позволяват заобикалянето на удостоверяването в библиотеката ruby-saml.

Това означава, че атакуващият може да получи неоторизиран достъп до акаунта на друг потребител. Подобна атака би довела до потенциално изтичане на данни, увеличаване на привилегии и други рискове за сигурността.

Уязвимости са отстранени във версиите на GitLab CE/EE 17.7.7, 17.8.5 и 17.9.2. Всички преди тях са уязвими.

GitLab.com вече е поправен, а клиентите на GitLab Dedicated ще бъдат актуализирани автоматично. Потребителите, които поддържат самоуправляеми инсталации в собствената си инфраструктура, обаче ще трябва да приложат актуализациите ръчно. Това трябва да се направи възможно най-бързо.

Потребителите на GitLab, които не могат да преминат незабавно към безопасна версия, трябва да:

• се уверят, че всички потребители на самоуправляващата се инстанция на GitLab са активирали 2FA. MFA на ниво доставчик на софтуер за проверка на идентичност не смекчава проблема;
• деактивират опцията за заобикаляне на SAML;
• заложат одобрение от администратора за автоматично създадените потребители, като зададат:

‘gitlab_rails[‘omniauth_block_auto_created_users’] = true’

Въпреки че тези стъпки значително намаляват риска, те трябва да се разглеждат само като временни мерки, докато не стане възможно обновяването до GitLab 17.9.2, 17.8.5 или 17.7.7.

За да актуализирате GitLab, отидете в официалния център за изтегляне на актуализации. Инструкциите за инсталиране на GitLab Runner са налични ТУК.

Спам имейлите ежедневно запълват пощенските ни кутии. Много хора ги изтриват, без да се замислят, приемайки, че това е най-добрият начин да се отърват от тях. Експертите по киберсигурност обаче съветват да не се прави това. Вместо да изтривате спам съобщенията веднага, трябва да ги маркирате като нежелани. Това може да подобри способността на вашия доставчик на електронна поща да ги филтрира в бъдеще.

Повечето услуги за електронна поща – Gmail, Outlook, Yahoo и т.н. – използват автоматични филтри за спам, за да отделят важните от нежеланите имейли. Тези филтри обаче разчитат на обратна връзка от потребителите, за да подобрят точността си. Ако просто изтривате спам имейли, без да ги маркирате като нежелани, системата не се учи от това и може да не филтрира подобни съобщения в бъдеще.

Ето как можете да помогнете за подобряване на филтъра за спам на вашата електронна поща:

• маркирайте ръчно нежеланите съобщения като спам, ако се появят във входящата ви поща. Това научава софтуера да разпознава подобни имейли и да ги блокира;
• ако вместо в папката за спам някое съобщение попадне във входящата ви поща, изберете го и го преместете там. Това помага да обучите системата да разпознава подобни заплахи.

Като следвате тези стъпки, не само намалявате спама във входящата си поща, но и допринасяте за подобряване на системата за филтриране за други потребители.

Не се „отписвайте“ от подозрителни имейли

Много спам имейли включват опция за „отписване“, което може да изглежда като лесен начин да спрете да ги получавате. Щракването върху този бутон обаче може да бъде рисковано.

Киберпрестъпниците изпращат милиони имейли на случайни адреси с надеждата да открият активни потребители. Когато щракнете върху „Отписване“, вие потвърждавате, че вашият имейл адрес е валиден и се следи активно. Вместо да спрат, спамърите могат да ви изпратят още повече нежелани имейли. В някои случаи щракването върху връзката може да ви насочи към злонамерени уебсайтове или дори да инсталира вреден софтуер на вашето устройство.

За да сте в безопасност, избягвайте да кликвате върху „отписване“ на имейли от непознати източници. Вместо това ги маркирайте като спам и ги преместете в папката за нежелани съобщения.

Как да се предпазите от спам

Спам имейлите не са само досадни, те могат да бъдат и опасни. Едни съдържат връзки към зловредни уебсайтове, други прикачени файлове, които инсталират зловреден софтуер на вашето устройство.

За да се защитите, следвайте тези прости стъпки:

• Бъдете нащрек: Ако имейлът изглежда подозрителен или изисква лична информация, бъдете предпазливи. Легитимните компании не искат поверителни данни чрез имейл.
• Не действайте прибързано: Измамниците често създават усещане за спешност, като ви притискат да действате бързо. Ако в имейл се твърди, че трябва да предприемете незабавни действия, помислете два пъти, преди да отговорите.
• Не кликвайте върху непознати връзки: Ако имейлът съдържа връзка, избягвайте да кликвате върху нея.
• Избягвайте да отваряте прикачени файлове от непознати изпращачи: Зловредният софтуер може да бъде скрит в прикачени файлове към имейли, включително PDF и ZIP файлове, както и Word документ. Отваряйте прикачени файлове само ако имате доверие на подателя.

Спам имейлите може да изглеждат безобидни, но начинът, по който се справяте с тях, може да повлияе на вашата онлайн сигурност. Вместо да ги изтривате веднага, маркирането им като спам помага на доставчиците на електронна поща да усъвършенстват филтрите си и да блокират подобни съобщения в бъдеще.

Според ново проучване на Mimecast малка част от служителите допринасят непропорционално много за тези инциденти. Едва 8% са отговорни за 80% от тях.

43% от респондентите съобщават, че през последните 12 месеца са наблюдавали увеличение на вътрешните заплахи и изтичането на данни заради небрежни служители. 66% очакват проблемите с киберсигурността заради вътрешни лица да нарасне през следващата година.

87% организации заявяват, че обучават служителите си да разпознават кибератаки поне веднъж на тримесечие. Въпреки това 33% се опасяват от човешки грешки при обработката на имейли. 27% са загрижени, че умората на служителите води до спад на тяхната бдителност.

За да защитите вашата организация от човешки грешки, които водят до пробиви в киберсигурността:

• запознайте ги със същността на киберсигурността и нейното значение за вашия бизнес и тяхната работа;
• запознавайте ги с последните тенденции в социалното инженерство и атаките със зловреден софтуер;
• провеждайте регулярни симулации на фишинг атаки, за да тествате устойчивостта на служителите си;
• използвайте мултимедийно и интерактивно съдържание, за да направите обучението по киберсигурност по-атрактивно и лесно разбираемо.

През 2024 г. Google е изплатила възнаграждения на стойност 11,8 млн. USD в рамките на своята Bug Bounty програма. Те са били разпределени между 660 изследователи.

Програмата е насочена към поддържане на безопасността на продуктите на компанията и откриване на нови уязвимости. Тя изисква от изследователите да попълнят формуляр, в който се посочват техническите подробности за уязвимостта, като всеки раздел има свой собствен набор от правила. Участниците трябва да ги спазват, за да бъде взето предвид тяхното изследване.

Максималната награда за единична уязвимост в Chrome е 250 000 USD. През миналата година в уеб браузъра на Google са докладвани 337 уникални грешки в сигурността.

Малко повече от 25% от общата сума (3,3 млн. долара) е изплатена на изследователи, съобщили за уязвимости в мобилните приложения на Android и Google.

2024 е първата година, в която са включени грешки, свързани с изкуствения интелект. Докладваните грешки са 150 и са изплатени 55 000 USD награди.

 

Близо 26 милиона устройства с Windows са били компрометирани чрез Infostealer от началото на 2023 до края на 2024. Действителният брой е още по-голям – 20 и 25 милиона през 2024 и между 18 и 22 милиона за 2023.

Само пробивите в Windows групата е довело до изтичане на повече от 2 милиона уникални данни за банкови карти, според ново изследване на Kaspersky. Всяка 14-та такава инфекция е довела до кражба на данни за банкови карти. А те са само част от информацията, която Infostealer са проектирани да крадат.

Организациите трябва проактивно да наблюдават пазарите в Dark Web и да откриват компрометирани акаунти, преди те да засегнат служителите или клиентите им. Но има и други мерки, които трябва да бъдат предприети, ако вече имате съмнения за пробив.

Корпоративни акаунти се делят на три категории:

1. В домейна на Active Directory или административни такива на корпоративни системи.
2. На служители на трети страни.
3. Клиентски.

Категория 1

• проверете за наличието на потребител с посоченото име за вход и стартирайте съществуващите в организацията процедури за разследване и реакция, ако то бъде потвърдено;
• направете антивирусно сканиране на всички потребителски устройства и корпоративни машини, които са засегнати. Трябва да се уверите, че сте премахнали всеки зловреден софтуер, който е открит по време на процеса;
• задължително променете паролата на всички компрометирани акаунти с дълги и сложни комбинации;
• анализирайте дневника за всякакви необичайни дейности, включително неуспешни влизания и опити за увеличаване на потребителските привилегии;
• активирайте MFA във всички корпоративни системи, където това все още не е неправено.

Категория 2

• проверете за наличието на потребител с посоченото име за вход. Той трябва да бъде информиране за пробития акаунт;
• той трябва да извърши пълно антивирусно сканиране на засегнатите устройства, потребителски и корпоративни, като премахне всеки открит зловреден софтуер.

Категория 3:

• проверете дали акаунтът съществува и определете дали принадлежи на клиент или на служител. Засегнатият потребител трябва да бъде информиран за компрометирането;
• задължителна сменете паролата с дълга и сложна комбинация;
• проверете дневниците за неоторизиран достъп или необичайна дейност;
• клиентът трябва да извърши антивирусна проверка на своите устройства и да активира MFA за засегнатото приложение.

Във всички случаи, с изключение на последния, съществуващите платформи за защита на крайни точки са в състояние да откриват, смекчават и премахват Infostealer.

Хакерите вече не просто търсят пропуски в традиционната мрежова сигурност. Те активно използват инструментите, на които организациите разчитат за ежедневните си операции.

Това превърна технологиите за отдалечена помощ, които са от съществено значение за IT поддръжката и непрекъсваемостта на бизнеса, в основна мишена. Високите нива на сигурност на платформите за дистанционна помощ вече не въпрос на избор. Те са основно изискване за поддържане на оперативната устойчивост.

Zero Trust идва на помощ

Твърде дълго време сигурността на платформите за отдалечена помощ не се проектираше в тяхната архитектура. Нарастването на броя на сложните киберзаплахи обаче изисква фундаментална промяна в подхода.

Организациите трябва да го преосмислят през призмата на Zero Trust. Те трябва да са сигурни, че всяка сесия, потребител и устройство се проверяват, отговарят на изискванията и се наблюдават, преди да получат достъп.

Това изисква структурирана стратегия, основана на:

• Идентичност и контрол на достъпа – гарантиране, че само проверени, отговарящи на изискванията потребители и устройства могат да инициират или получават отдалечена помощ.
• Сигурност на крайните точки и съответствие – налагане на базови нива на сигурност и стриктно контролиран достъп до всички управлявани устройства.
• Вградена сигурност в отдалечената помощ – вграждане на сигурността в самата основа на инструментите за отдалечена помощ, като се елиминират пропуските, от които могат да се възползват нападателите.

Сигурността на идентичността е крайъгълен камък на всяка сигурна стратегия за отдалечена помощ. Компрометираната самоличност често е първата стъпка в кибератаката. Организациите трябва да наложат:

• Изрична проверка на самоличността – използване на MFA и базиран на риска достъп, за да се гарантира, че само оторизирани потребители получават такъв.
• Достъп с най-малки привилегии – гарантиране, че отдалечената помощ се предоставя само за необходимата продължителност и с минимални привилегии.
• Оценка на риска в реално време – непрекъснато оценяване на заявките за достъп за аномалии или подозрителна дейност.

Като преместват периметъра на сигурността към идентичността, организациите създават среда, в която доверието се печели в реално време, а не се предполага.

Шест сектора на критичната инфраструктура изпитват затруднения да спазят директивата NIS2. За това предупреди водещата агенция за сигурност на ЕС.

Директивата беше създадена в отговор на нарастващите заплахи за критичните сектори в целия регион. Тя налага строг набор от базови изисквания за киберсигурност.

В нов доклад на Enisa за стартирането на схемата за оценка на състоянието на сигурността NIS360 се посочват следните сектори:

• управление на ИТ услуги, който е изправен пред предизвикателства заради трансграничния си характер и разнородните структури;
• космическа индустрия, където ограничените познания в областта на киберсигурността и силното разчитане на готови търговски компоненти са предизвикателства;
• публична администрация, където организациите „не разполагат с подкрепата и опита, които се наблюдават в по-зрелите сектори“;
• морски сектор, който е изправен пред предизвикателства, свързани с ОТ, и би могъл да се възползва от „адаптирани насоки за управление на риска в областта на киберсигурността“;
• здравеопазване, което разчита на сложни вериги за доставки, наследени системи и слабо защитени медицински изделия;
• газоснабдяване, който трябва да подобри готовността и възможностите за реагиране при инциденти.

Enisa също така посочва, че секторът на цифровата инфраструктура е „стъпка по-надолу по отношение на зрелостта“. Той включва критични услуги като интернет обмен, домейни от първо ниво, центрове за данни и облачни услуги.

Като положителни примери докладът изтъква електроенергията, телекомуникациите и банковото дело. Те са трите най-подготвени сектора от гледна точка на NIS2.