Киберсигурност

Спам имейлите ежедневно запълват пощенските ни кутии. Много хора ги изтриват, без да се замислят, приемайки, че това е най-добрият начин да се отърват от тях. Експертите по киберсигурност обаче съветват да не се прави това. Вместо да изтривате спам съобщенията веднага, трябва да ги маркирате като нежелани. Това може да подобри способността на вашия доставчик на електронна поща да ги филтрира в бъдеще.

Повечето услуги за електронна поща – Gmail, Outlook, Yahoo и т.н. – използват автоматични филтри за спам, за да отделят важните от нежеланите имейли. Тези филтри обаче разчитат на обратна връзка от потребителите, за да подобрят точността си. Ако просто изтривате спам имейли, без да ги маркирате като нежелани, системата не се учи от това и може да не филтрира подобни съобщения в бъдеще.

Ето как можете да помогнете за подобряване на филтъра за спам на вашата електронна поща:

• маркирайте ръчно нежеланите съобщения като спам, ако се появят във входящата ви поща. Това научава софтуера да разпознава подобни имейли и да ги блокира;
• ако вместо в папката за спам някое съобщение попадне във входящата ви поща, изберете го и го преместете там. Това помага да обучите системата да разпознава подобни заплахи.

Като следвате тези стъпки, не само намалявате спама във входящата си поща, но и допринасяте за подобряване на системата за филтриране за други потребители.

Не се „отписвайте“ от подозрителни имейли

Много спам имейли включват опция за „отписване“, което може да изглежда като лесен начин да спрете да ги получавате. Щракването върху този бутон обаче може да бъде рисковано.

Киберпрестъпниците изпращат милиони имейли на случайни адреси с надеждата да открият активни потребители. Когато щракнете върху „Отписване“, вие потвърждавате, че вашият имейл адрес е валиден и се следи активно. Вместо да спрат, спамърите могат да ви изпратят още повече нежелани имейли. В някои случаи щракването върху връзката може да ви насочи към злонамерени уебсайтове или дори да инсталира вреден софтуер на вашето устройство.

За да сте в безопасност, избягвайте да кликвате върху „отписване“ на имейли от непознати източници. Вместо това ги маркирайте като спам и ги преместете в папката за нежелани съобщения.

Как да се предпазите от спам

Спам имейлите не са само досадни, те могат да бъдат и опасни. Едни съдържат връзки към зловредни уебсайтове, други прикачени файлове, които инсталират зловреден софтуер на вашето устройство.

За да се защитите, следвайте тези прости стъпки:

• Бъдете нащрек: Ако имейлът изглежда подозрителен или изисква лична информация, бъдете предпазливи. Легитимните компании не искат поверителни данни чрез имейл.
• Не действайте прибързано: Измамниците често създават усещане за спешност, като ви притискат да действате бързо. Ако в имейл се твърди, че трябва да предприемете незабавни действия, помислете два пъти, преди да отговорите.
• Не кликвайте върху непознати връзки: Ако имейлът съдържа връзка, избягвайте да кликвате върху нея.
• Избягвайте да отваряте прикачени файлове от непознати изпращачи: Зловредният софтуер може да бъде скрит в прикачени файлове към имейли, включително PDF и ZIP файлове, както и Word документ. Отваряйте прикачени файлове само ако имате доверие на подателя.

Спам имейлите може да изглеждат безобидни, но начинът, по който се справяте с тях, може да повлияе на вашата онлайн сигурност. Вместо да ги изтривате веднага, маркирането им като спам помага на доставчиците на електронна поща да усъвършенстват филтрите си и да блокират подобни съобщения в бъдеще.

Според ново проучване на Mimecast малка част от служителите допринасят непропорционално много за тези инциденти. Едва 8% са отговорни за 80% от тях.

43% от респондентите съобщават, че през последните 12 месеца са наблюдавали увеличение на вътрешните заплахи и изтичането на данни заради небрежни служители. 66% очакват проблемите с киберсигурността заради вътрешни лица да нарасне през следващата година.

87% организации заявяват, че обучават служителите си да разпознават кибератаки поне веднъж на тримесечие. Въпреки това 33% се опасяват от човешки грешки при обработката на имейли. 27% са загрижени, че умората на служителите води до спад на тяхната бдителност.

За да защитите вашата организация от човешки грешки, които водят до пробиви в киберсигурността:

• запознайте ги със същността на киберсигурността и нейното значение за вашия бизнес и тяхната работа;
• запознавайте ги с последните тенденции в социалното инженерство и атаките със зловреден софтуер;
• провеждайте регулярни симулации на фишинг атаки, за да тествате устойчивостта на служителите си;
• използвайте мултимедийно и интерактивно съдържание, за да направите обучението по киберсигурност по-атрактивно и лесно разбираемо.

През 2024 г. Google е изплатила възнаграждения на стойност 11,8 млн. USD в рамките на своята Bug Bounty програма. Те са били разпределени между 660 изследователи.

Програмата е насочена към поддържане на безопасността на продуктите на компанията и откриване на нови уязвимости. Тя изисква от изследователите да попълнят формуляр, в който се посочват техническите подробности за уязвимостта, като всеки раздел има свой собствен набор от правила. Участниците трябва да ги спазват, за да бъде взето предвид тяхното изследване.

Максималната награда за единична уязвимост в Chrome е 250 000 USD. През миналата година в уеб браузъра на Google са докладвани 337 уникални грешки в сигурността.

Малко повече от 25% от общата сума (3,3 млн. долара) е изплатена на изследователи, съобщили за уязвимости в мобилните приложения на Android и Google.

2024 е първата година, в която са включени грешки, свързани с изкуствения интелект. Докладваните грешки са 150 и са изплатени 55 000 USD награди.

 

Близо 26 милиона устройства с Windows са били компрометирани чрез Infostealer от началото на 2023 до края на 2024. Действителният брой е още по-голям – 20 и 25 милиона през 2024 и между 18 и 22 милиона за 2023.

Само пробивите в Windows групата е довело до изтичане на повече от 2 милиона уникални данни за банкови карти, според ново изследване на Kaspersky. Всяка 14-та такава инфекция е довела до кражба на данни за банкови карти. А те са само част от информацията, която Infostealer са проектирани да крадат.

Организациите трябва проактивно да наблюдават пазарите в Dark Web и да откриват компрометирани акаунти, преди те да засегнат служителите или клиентите им. Но има и други мерки, които трябва да бъдат предприети, ако вече имате съмнения за пробив.

Корпоративни акаунти се делят на три категории:

1. В домейна на Active Directory или административни такива на корпоративни системи.
2. На служители на трети страни.
3. Клиентски.

Категория 1

• проверете за наличието на потребител с посоченото име за вход и стартирайте съществуващите в организацията процедури за разследване и реакция, ако то бъде потвърдено;
• направете антивирусно сканиране на всички потребителски устройства и корпоративни машини, които са засегнати. Трябва да се уверите, че сте премахнали всеки зловреден софтуер, който е открит по време на процеса;
• задължително променете паролата на всички компрометирани акаунти с дълги и сложни комбинации;
• анализирайте дневника за всякакви необичайни дейности, включително неуспешни влизания и опити за увеличаване на потребителските привилегии;
• активирайте MFA във всички корпоративни системи, където това все още не е неправено.

Категория 2

• проверете за наличието на потребител с посоченото име за вход. Той трябва да бъде информиране за пробития акаунт;
• той трябва да извърши пълно антивирусно сканиране на засегнатите устройства, потребителски и корпоративни, като премахне всеки открит зловреден софтуер.

Категория 3:

• проверете дали акаунтът съществува и определете дали принадлежи на клиент или на служител. Засегнатият потребител трябва да бъде информиран за компрометирането;
• задължителна сменете паролата с дълга и сложна комбинация;
• проверете дневниците за неоторизиран достъп или необичайна дейност;
• клиентът трябва да извърши антивирусна проверка на своите устройства и да активира MFA за засегнатото приложение.

Във всички случаи, с изключение на последния, съществуващите платформи за защита на крайни точки са в състояние да откриват, смекчават и премахват Infostealer.

Хакерите вече не просто търсят пропуски в традиционната мрежова сигурност. Те активно използват инструментите, на които организациите разчитат за ежедневните си операции.

Това превърна технологиите за отдалечена помощ, които са от съществено значение за IT поддръжката и непрекъсваемостта на бизнеса, в основна мишена. Високите нива на сигурност на платформите за дистанционна помощ вече не въпрос на избор. Те са основно изискване за поддържане на оперативната устойчивост.

Zero Trust идва на помощ

Твърде дълго време сигурността на платформите за отдалечена помощ не се проектираше в тяхната архитектура. Нарастването на броя на сложните киберзаплахи обаче изисква фундаментална промяна в подхода.

Организациите трябва да го преосмислят през призмата на Zero Trust. Те трябва да са сигурни, че всяка сесия, потребител и устройство се проверяват, отговарят на изискванията и се наблюдават, преди да получат достъп.

Това изисква структурирана стратегия, основана на:

• Идентичност и контрол на достъпа – гарантиране, че само проверени, отговарящи на изискванията потребители и устройства могат да инициират или получават отдалечена помощ.
• Сигурност на крайните точки и съответствие – налагане на базови нива на сигурност и стриктно контролиран достъп до всички управлявани устройства.
• Вградена сигурност в отдалечената помощ – вграждане на сигурността в самата основа на инструментите за отдалечена помощ, като се елиминират пропуските, от които могат да се възползват нападателите.

Сигурността на идентичността е крайъгълен камък на всяка сигурна стратегия за отдалечена помощ. Компрометираната самоличност често е първата стъпка в кибератаката. Организациите трябва да наложат:

• Изрична проверка на самоличността – използване на MFA и базиран на риска достъп, за да се гарантира, че само оторизирани потребители получават такъв.
• Достъп с най-малки привилегии – гарантиране, че отдалечената помощ се предоставя само за необходимата продължителност и с минимални привилегии.
• Оценка на риска в реално време – непрекъснато оценяване на заявките за достъп за аномалии или подозрителна дейност.

Като преместват периметъра на сигурността към идентичността, организациите създават среда, в която доверието се печели в реално време, а не се предполага.

Шест сектора на критичната инфраструктура изпитват затруднения да спазят директивата NIS2. За това предупреди водещата агенция за сигурност на ЕС.

Директивата беше създадена в отговор на нарастващите заплахи за критичните сектори в целия регион. Тя налага строг набор от базови изисквания за киберсигурност.

В нов доклад на Enisa за стартирането на схемата за оценка на състоянието на сигурността NIS360 се посочват следните сектори:

• управление на ИТ услуги, който е изправен пред предизвикателства заради трансграничния си характер и разнородните структури;
• космическа индустрия, където ограничените познания в областта на киберсигурността и силното разчитане на готови търговски компоненти са предизвикателства;
• публична администрация, където организациите „не разполагат с подкрепата и опита, които се наблюдават в по-зрелите сектори“;
• морски сектор, който е изправен пред предизвикателства, свързани с ОТ, и би могъл да се възползва от „адаптирани насоки за управление на риска в областта на киберсигурността“;
• здравеопазване, което разчита на сложни вериги за доставки, наследени системи и слабо защитени медицински изделия;
• газоснабдяване, който трябва да подобри готовността и възможностите за реагиране при инциденти.

Enisa също така посочва, че секторът на цифровата инфраструктура е „стъпка по-надолу по отношение на зрелостта“. Той включва критични услуги като интернет обмен, домейни от първо ниво, центрове за данни и облачни услуги.

Като положителни примери докладът изтъква електроенергията, телекомуникациите и банковото дело. Те са трите най-подготвени сектора от гледна точка на NIS2.

 

Служебните акаунти в Active Directory (AD) са честа мишена за хакери и киберпрестъпници, тъй като разполагат с привилегирован достъп до множество системи. Един компрометиран служебен акаунт може да отвори вратата към цялата корпоративна мрежа и да доведе до сериозно нарушение на сигурността.

Те се делят на три основни типа:

• Локални потребителски акаунти: Те съществуват и действат единствено в рамките на отделна машина. В тази категория попадат системните акаунти, акаунтите за локални услуги и мрежови акаунти. Важна тяхна характеристика е, че нямат достъп до ресурси отвъд границите на локалната машина.
• Домейн потребителски акаунти: Те получават достъп въз основа на членството си в групи и могат да оперират в рамките на целия домейн. Техните права и привилегии могат да бъдат управлявани централизирано.
• Управлявани служеби акаунти (MSA): Специализирани акаунти, които са създадени с конкретна цел – обслужване на определена системна функция или приложение. За разлика от стандартните потребителски акаунти, MSA не могат да се използват за интерактивно влизане в системата. Важно тяхно предимство е автоматичното управление на паролите. Операционната система сама се грижи за периодичната им смяна, което премахва административната тежест и риска от използване на остарели или компрометирани пароли.
• Групово управлявани служебни акаунти (gMSA): Подобни на MSAs, но предназначени за множество сървъри или услуги. Те включват допълнителни функции за сигурност като автоматично управление на паролитe. Предлагат по-високо ниво на защита и гъвкавост.

Служебните акаунти притежават разширен достъп до системи и ресурси и компрометирането им може да доведе до контрол върху мрежата. Те дават достъп до чувствителни данни и могат да бъдат използвани за странично движение в мрежата.

Затова те трябва да бъдат максимално защитени. Ето пет основни практики за постигане на високи нива за сигурност:

1. Следвайте принципа на най-малките привилегии

Служебните акаунти трябва да разполагат само с необходимите разрешения за изпълнение на своите задачи. Това означава:

• прецизно определяйте нужните права за всеки акаунт;
• редовно преглеждайте и ограничавайте излишните привилегии;
• избягвайте добавянето на сервизни акаунти към административни групи;
• използвайте отделни акаунти за различни услуги вместо да споделяте един.

2. Прилагайте многофакторна автентикация (MFA)

Това включва:

• Внедряване на MFA за интерактивни влизания;
• Използване на решения, съвместими със служебни акаунти;
• Защита на административния достъп до управлението на служебните акаунти.

3. Премахвайте неизползваните служебни акаунти

Редовното почистване на неизползвани акаунти е критично за намаляване на възможната повърхност за атака:

• провеждайте редовни одити на всички служебни акаунти;
• идентифицирайте и деактивирайте остарели или ненужни акаунти;
• документирайте целта и собствеността на всеки служебен акаунт;
• установете процес за преглед и деактивиране на акаунти при промени в инфраструктурата.

4. Наблюдавайте активността на служебните акаунти

Мониторингът е ключов елемент за ранното откриване на потенциални заплахи:

• Използвайте вградени инструменти като Event Viewer и Security Log;
• Внедрете специализирани решения за мониторинг;
• Следете за необичайни модели на активност като достъп в нетипично време или от необичайни локации;
• Настройте системите да подават автоматични сигнали при подозрителна активност.

5. Прилагайте стриктни политики за пароли

Дори при автоматизирано управление на паролите в MSAs и gMSA, стриктните политики за пароли остават важни:

• Използвайте сложни и дълги пароли
• Редовно сменяйте комбинациите за стандартните служебни акаунти;
• Използвайте генератори на случайни пароли;
• Внедрете решения за сигурно съхранение на данни.

Защитата на служебните акаунти в Active Directory е от критично значение за цялостната киберсигурност на организацията. Не я пренебрегвайте!

Пролетта идва, а с нея е време и за четвъртото издание на Security BSides Sofia! Тази година уникалното събитие от обществото специалисти по киберсигурност за обществото специалисти по киберсигурност ще се проведе на 29 и 30 март в Interpred WTC Sofia.

Security BSides Sofia 2025 се отличава с изцяло техническата си насоченост. Всички презентатори са подбрани на база идеите, които искат да споделят. Те са част от събитието си не като представители на компаниите, за които работят, а като част от обществото.

„За разлика от много корпоративни конференции, Security BSides Sofia 2025 се отличава със своя комюнити характер и лесна достъпност. Нашето събитие е с отворен формат, който насърчава участието на всички присъстващи. Те могат да задават въпроси, като по този начин не се ограничават само до пасивното слушане“, акцентират организаторите на форума.

Затова и фокусът на Security BSides Sofia 2025 пада върху практическото знание и реалните казуси, а не върху маркетингови презентации. Конференцията предлага пространство за дискусии по теми, които често остават извън обхвата на традиционните конференции.

„Искаме да съберем на едно място както  професионалисти, така и ентусиасти в областта на киберсигурността, за да споделят знания, опит и нови интересни решения. Идеята на формата е да създаде достъпна платформа за обмен на идеи, представяне на нови технологии и дискусии в сферата на информационната сигурност. Стремим се да изградим силна общност, която насърчава сътрудничеството и развитието на киберсигурността в България и региона“, добавят те.

Програмата на Security BSides Sofia 2025 е разделена на две части – лекционна (29 март) и практическа (30 март), в рамките на която ще се проведат workshop-и. В първият ден на форума на сцената ще излязат лектори от четири различни държави, половината от които българи. Те ще представят основните тенденции в киберсигурността от гледна точка на водещите съвременни технологии – AI, дронове, квантови изчисления и т.н.

Цялата програма на Security BSides Sofia 2025, както и билети за събитието, можете да намерите ТУК.

Партньори на четвъртото издание на форума са CENTIO#Cybersecurity, [UX2.DEV], Commerzbank, ESET и BASELINE Cybersecurity.

Медийни партньори: DEV.BG, DIR.BG, Digitalk, BTV, Kaldata.

 

Регистрацията за тазгодишните квалификации за Националния отбор по киберсигурност на България вече са отворени!

За трета поредна година Cyber Security Challenge Bulgaria организира Национален квалификационен рунд. Той ще определи най-добрите млади кибер таланти на България и ще ги подготви за престижното състезание European Cyber Security Challenge 2025.

Квалификациите ще се проведат на 8-ми и 9-ти март под формата на Capture The Flag (CTF) състезание, което ще премине изцяло online в рамките на 36 ч.

Изискванията към желаещите да станат част от Националния отбор по киберсигурност са:

• да са на възраст между 14-25 години (към 31/12/2025г.);
• да са български граждани;
• да са ентусиазирани и позитивно настроени.

Ако сте мотивирани, готови за предизвикателства и искате да се докажете сред най-добрите в страната, не пропускайте тази възможност! Участниците ще имат шанс не само да се състезават, но и да се подготвят за международната сцена в света на киберсигурността.

Запишете се за участие ТУК.

Ако сте предводител на армия как ще предпочетете да я изпратите в битка – „въоръжена“ с цялата налична информация за врага или на сляпо? Очевидно е, че първият вариант е по-добър.

Същото е и в киберсигурността. Затова всяка организация трябва да е наясно с основните начини, по които може да бъде пробита от хакерите.

Ето 9 от тях:

1. Социално инженерство: Повече от 90% от атаките започват със социално инженерство. При него нападателите се насочват към хората, а не към техническите системи. С помощта на различни фишинг техники те подмамват потребителите да кликнат върху злонамерени връзки, да споделят пароли или да изтеглят зловреден софтуер.
2. Софтуерни грешки: Слабостите на даден софтуер могат да бъдат използвани от хакерите, за да получат неоторизиран достъп до организацията ви или да поемат контрол над вашите системи. Подобни уязвимости често възникват в резултат на грешки в кодирането, лоши практики за сигурност или остарял софтуер.
3. Authentication attacks: Те са насочени към системи, които се използват за удостоверяване на самоличността на потребителите. Те използват компрометиране на потребителските данни или уязвимости в механизмите за удостоверяване.
4. Злонамерени инструкции/скриптове: Всеки език за програмиране, макроезик или език за автоматизация може да бъде използван за злонамерени цели. Например PowerShell, инструмент, който вече присъства на всички машини с Windows, може да бъде програмиран или инструктиран да прави лоши неща. При този подход нападателите доставят на жертвите зловреден скрипт, използвайки социално инженерство. Ако те кликнат върху него, той компрометира системата им.
5. Злоупотреба с данни: В този случай нападателите умишлено променят или повреждат данни по начин, който води до неправилно тълкуване или поведение на системата. Чрез използване на несъответствия в начина, по който се обработват или валидират данните, нападателите могат да предизвикат претоварване на буфера. Това може да доведе до неоторизиран достъп, срив на системата или други нарушения на сигурността.
6. Човешка грешка или неправилно конфигуриране: Често срещана грешка е даден потребител да иска да изпрати имейл с чувствителни данни на даден получател, а да го изпрати на друг. Това създава сериозна възможност за нарушения на сигурността. Друга често срещана човешка грешка е неправилното конфигуриране или предоставянето на прекалено широки разрешения.
7. Man in the middle атаки: При Man in the middle атаките, нападателите не само прихващат, но и манипулират предаваните данни. При тях информацията изглежда легитимна както за изпращача, така и за получателя. По този начин може да бъде открадната всевъзможна критична информация.
8. Brute force: Този тип атаки използват различни комбинации от входни данни, като например пароли или ключове за криптиране, докато намерят правилната. Слабите или кратките пароли са особено уязвими. Статистиките сочат, че хакерите се нуждаят от едва 37 секунди, за да разбият обикновена осемцифрена парола, използвайки brute force.
9. Вътрешни атаки: Вътрешни атаки се случват, когато доверени служители, бизнес партньори или изпълнители злоупотребяват с достъпа си до системи или данни за злонамерени цели. Това включва кражба на информация, саботаж на системите или умишлено извличане на чувствителни данни. Вътрешните атаки са особено опасни, защото извършителите вече имат достъп и откриването на злонамерените им действия може да бъде трудно.

Очаквайте продължението: „Как да се защитим от най-използваните методи за кибератака срещу бизнеса“.