Киберсигурност

Изкуственият интелект (AI) бързо се превръща от помощен инструмент в автономен участник на полето на киберсигурността, променяйки го из основи, акцентират от анализаторската платформа AI Cyber Insights в своя доклад „AI in Cybersecurity – Q2 2024 Insights”. Но използването на технологията трябва винаги да бъде обвързано с разбирането, че тя все още е в началните си етапи на развитие и идва със своите проблеми на растежа. 

AI дава огромен потенциал за надграждане на инструментите и стратегиите за информационна сигурност в няколко области: 

• подобрява процеса на Threat Modeling – проиграване на хипотетични сценарии и тестове за идентифициране на уязвимости, подпомагане на оценката на риска и предлагане на коригиращи действия; 
• подкрепя SOAR (Security orchestration, automation and response) технологиите, които координират, изпълняват и автоматизират задачите между различни потребители и инструменти в рамките на една платформа; 
• автоматизира сканирането на уязвимости, приоритизира рисковете и прави препоръки за стратегии за отстраняване на грешки. По този начин AI повишава ефективността на процесите за управление на уязвимостите; 
• анализира моделите и езика на комуникация, за да идентифицира опити за социално инженерство – често използвана тактика в кибератаките, като повишава значително възможностите за откриване на фишинг имейли. 

Но AI може да бъде използван и от злонамерени участници – както за създаване на по-сложни и по-унищожителни киберзаплахи, така и за експлоатация на пробойни в самата технология.  

Пример за това е AI червеят (worm) Morris II, създаден от изследователи по сигурността, за да демонстрира уязвимостите на водещи GenAI платформи като ChatGPT и Gemini. Той краде чувствителни данни и разпространява зловреден софтуер в мрежите. Ако подобен инструмент бъде създаден от киберпрестъпници, би представлявал значителен риск за крайните потребители и бизнесите. 

Според компанията за киберсигурност Wiz критични уязвимости може да има и в платформите от типа AI-като-услуга (AI-as-a-service). Replicate, например, може да бъде много полезна, тъй като събира различни големи езикови модели (LLM) с отворен код, но има и един важен недостатък – потенциално излага на риск чувствителни данни на изградените на нея AI модели.  

Самите LLM също имат присъщи уязвимости, известни като Prompt Injection Vulnerability. Те могат да бъдат екплоатирани: 

• директно (jailbreaking) – злонамереният потребител успява да презапише или разкрие основните системни команди и да манипулира поведението на модела; 
• индиректно – LLM приема входни данни, контролирани от нападател, от външни източници като интернет страници или файлове. 

Успешното експлоатиране на Prompt Injection Vulnerability може да доведе както до изтичане на поверителна информация, така и до манипулиране на критични за бизнеса процеси. 

Изводът от тези примери е, че изкуственият интелект е мощно оръжие за защита, но също така може лесно да се превърне в „ахилесова пета“ за организациите. Затова не бързайте, запленени от конкурентните предимства, които обещава той. Интеграцията на инструменти и услуги, базирани на AI, трябва винаги да бъде основана на внимателно проучване на силните и слабите страни на всяка една платформа поотделно. Независимо дали става дума за киберсигурност или други бизнес процеси.    

Финансовите загуби на компаниите при инциденти с киберсигурността растат с всяка изминала година. А много от тях никога не успяват да се възстановят. 

Често – и щетите, и възможността за възстановяване – зависят от наличието на план за реакция при инциденти. Това не е просто документ с етикет: „Отвори в случай на спешност!“. Той трябва да е основна част от стратегията за киберсигурност за всеки един бизнес и да се развива заедно с него и променящата се палитра от заплахи в киберпространството.  

Ето и основните компоненти на една подобна рамка: 

• Подготовка – ключов етап, в който правите оценка на текущата си позиция по отношение на сигурността, идентифицирате потенциалните заплахи и определяте ролите и отговорностите. Той включва и обучението на вашия екип.
• Откриване – в случай на инцидент, първата стъпка е да разпознаете, че нещо не е наред. Това включва наблюдение на системите за необичайна активност и наличие на протоколи, които да определят дали става въпрос само за дребен проблем или за нещо по-сериозно. 
• Ограничаване – след като веднъж сте хванали нарушителя, трябва да можете да предотвратите по-нататъшни щети, като го изолирате в една определена част от системата и отрежете достъпа му до по-широката инфраструктура.  
• Елиминиране на заплахата – следващата стъпка е да елиминирате заплахата. Това може да означава премахване на зловреден софтуер, изключване на компрометираните системи или дори отнемане на достъпа на определени потребители. Целта е да се гарантира, че заплахата е напълно неутрализирана. 
• Възстановяване – когато заплахата е елиминирана, фокусът се премества върху възстановяването на нормалното функциониране. Това може да включва възстановяване на данни от резервни копия, закърпване на уязвимости или възстановяване на системи. Използването на софтуери за одит на съответствието може да помогне за постигането на тези цели. Най-важното тук е да се гарантира, че всичко е сигурно, преди да се възобнови нормалната работа.
• Научени уроци – може би най-важната част от плана е това, което се случва, след като атаката е отбита и системите са възстановени. Задълбоченият преглед на инцидента може да предостави ценни сведения за това какво се е объркало и как да се предотврати повторното му възникване.  

Тази рамка е разработена от SANS Institute, американска компания за информационна сигурност с повече от век история, но тя не е единствена. Например, National Institute of Standards and Technology (NIST), който е част от Министерството на търговията на САЩ, определя четири основни стъпки – подготовка; откриване и анализ; ограничаване, елиминиране на заплахата и възстановяване; дейност след инцидента: 

Двете рамки са идентични, но има една съществена разлика. В стъпка три NIST смята, че ограничаването, елиминирането на заплахата и възстановяването се припокриват – т.е. не трябва да чакате да ограничите всички заплахи, преди да започнете да ги елиминирате. 

В професионалната общност има спор коя от двете основни рамки е по-добра, но всъщност това е въпрос на предпочитания, както и на ресурсите на вашата организация. Най-важното е да не се забравя, че създаването на план за реагиране при инциденти не е единичен акт, а непрекъснат процес, съобразен с постоянно променящата се среда на заплахите. 

А стриктното спазване на стандартизирани практики, като рамките на NIST и SANS Institute, гарантира наистина сигурни процеси при възникване на инциденти. 

Докладваните уязвимости са се увеличили с 43% през първото полугодие на 2024 г. в сравнение със същия период на 2023 г. За да си осигурят първоначален достъп, нападателите са се насочили предимно към пропуски във виртуални частни мрежи (VPN) и други периферни системи. 

Според нов доклад на компанията за киберсигурност Forescout през първите шест месеца на 2024 г. са докладвани общо 23 668 уязвимости, като средно на ден са се появявали по 111 нови. По-голямата част от тях са със средна (39%) или ниска (25%) оценка за сериозност (CVSS), а само 9% са с критична. 

Най-често засегнатите компании са Microsoft (17%), Google (8%), Apple (6%), D-Link (6%), Ivanti (6%), Android (5%) и Cisco (5%).  

Повечето участници в заплахите произхождат от Китай (65), Русия (36) и Иран (21).  

Атаките с ransomware също са се увеличили. През първото полугодие на 2024 г. броят им е нараснал с 6% в сравнение с първите шест месеца на 2023 г., достигайки 3085. Най-активната група на това поле е LockBit, отговорна за 15% от атаките, следвана от Play (6%), RansomHub (6%), Cactus (5%), Akira (5%), Hunters (5%) и BlackBasta (5%). 

Google вдига повече от два пъти максималното възнаграждение за откриване грешки в сигурността на Chrome, докладвани през нейнта Vulnerability Reward Program. Най-голямата награда – за заобикаляне на MiraclePtr (основна технология, подобряваща сигурността на браузъра) – скача от 100 115 USD на 250 128 USD. Сумите ще бъдат по-големи и за други открити грешки в браузъра и дейности по програмата. 

Google категоризира уязвимостите в зависимост от тяхното въздействие и потенциална вреда като такива със: 

• слабо въздействие (нисък потенциал за експлоатиране, слаб контрол от страна на нападателя, нисък риск/потенциал за вреди за потребителите);
• умерено въздействие (умерени предпоставки за експлоатиране, достатъчна степен на контрол от страна на нападателя);
• голямо въздействие (пряк път към експлоатиране, доказуема и значителна вреда за потребителя, възможност за дистанционно експлоатиране и ниски предварителни условия за такова). 

Откакто стартира своята програма през 2010 г., Google е изплатила над 50 млн. USD на изследователи по сигурността, които са докладвали за над 15 000 уязвимости. 

 

 

Балансираният подход – старт с вградени в облачните услуги инструменти и след това добавяне на решения от трети страни за запълване на евентуални пропуски – е най-добрият по отношение на киберсигурността в облака.  

До този извод стига в свой анализ, базиран на дискусия в Cloud Security Podcast, д-р Антон Чувакин, съветник по сигурността в Google Cloud.  

В търсене на отговор на дилемата – инструменти за сигурност, предоставени от доставчиците на облачни услуги (CSP), или независими решения от трети страни – той посочва предимствата на двата варианта. 

Аргументи в полза на независимите инструменти: 

• използването на независими инструменти може да осигури по-обективен поглед върху сигурността и да се избегне потенциален конфликт на интереси при CSP;  
• в контекста на мулти-облачните стратегии, те се възприемат като предлагащи по-унифициран подход към сигурността;
• според някои анализатори специализираните доставчици на решения за сигурност често се считат за по-гъвкави и иновативни. 

Предимства на вградените инструменти:  

• защитниците на този подход вярват, че CSP имат уникален поглед върху своята инфраструктура, което им позволява да създават по-ефективни инструменти за сигурност;
• вградените инструменти се считат за осигуряващи по-добра интеграция с други облачни услуги;
• CSP могат да осигурят защита на новите услуги още при тяхното пускане, което се счита за критично важно в бързо развиващата се облачна среда.

В крайна сметка изборът между вградени инструменти за облачна сигурност и решения от трети страни зависи до голяма степен от специфичните нужди на организациите. Те трябва да имат предвид фактори като използваните облачни платформи, модела на заплахи и регулаторните изисквания.                        

                                                                                                                                                                                                                                          

Google пусна спешна актуализация на Chrome (версия 128.0.6613.84/85) в отговор на активно експлоатирана уязвимост от типа zero-day (CVE-2024-7971).  Категоризирана като проблем с объркване на типовете в JavaScript, тя представлява значителен риск за потребителите. Уязвимостите, свързани с объркване на типовете, позволяват на атакуващите да изпълняват злонамерен код на машината на жертвата, потенциално водещ до кражба на данни, неоторизиран достъп или инсталиране на зловреден софтуер.  

Актуализацията Chrome 128 не само поправя CVE-2024-7971, но също така отстранява няколко други уязвимости с висока степен на сериозност, включително CVE-2024-7964 (Използване след освобождаване в частта с попълване на пароли). 

Предвид активната експлоатация на CVE-2024-7971, всички потребители на Chrome трябва незабавно да актуализират браузърите си до версия 128.0.6613.84 или по-нова. Те могат ръчно да проверят за актуализации, като отидат в менюто с настройки на Chrome, изберат “Помощ” и след това “Относно Google Chrome”. Браузърът автоматично ще провери за актуализации и ще подкани за рестартиране, след като най-новата версия бъде инсталирана. 

3 от всеки 4 или 74% от директорите по информационна сигурност смятат, че човешките грешки са най-големият риск за информационната сигурност за организациите им.

Данните са от годишното проучване Voice of the CISO на компанията за киберсигурност Proofpoint. Те показват ясно, че човешкият фактор – става все по-значим при гарантирането на защитата на бизнеса. Поради година 60% от анкетираните са посочили човешката грешка като най-значима уязвимост, а пред 2022 само 50% са били на подобно мнение.

Около 46% от анкетираните са се сблъскали с някаква форма на загуба на чувствителна информация през последната година. Като причини за успешните пробиви са посочени:

• човешка небрежност (42%)
• целенасочени външни атаки (40%)
• внедрени злонамерени служители (36%)

Част от нещата, които държат директорите по информационна сигурност будни нощем, са:

• 70% от анкетираните се притесняват от кибератака срещу организацията им, а само 43% смятат, че са готови да посрещнат таргетирана такава
• Въвеждането на генеративен AI е посочено като най-големият риск от наличните бизнес инструменти – 54% го считат за такъв, а 38% смятат, че използването на Microsoft 365 е рисково
• Криптовируси, зловредни кодове и имейл измама са най-често срещаните заплахи според анкетата

Затова организациите трябва да възприемат проактивен подход към киберсигурността, който включва:

• използване на инструменти с изкуствен интелект, които могат да предвиждат какви грешки е възможно да допусне персонала;
• осигуряване на цялостно и регулярно обучение на служителите;
• създаване на култура на киберсигурност, която започва от най-високите нива във фирмата и се превръща в постоянен фокус на всички ръководители и служители.

 

Над 445 хил. DDoS атаки или с 45% повече спярмо миналата година са засечени през първото полугодие на 2024 г. по данни на Gcore Radar Report.

Най-мощната атака през изследвания период е достигнала 1,7 Tbps, докато през 2023 г. тя е била 1,6 Tbps. За контекст, дори атака от 300 Gbps може да спре достъпа до незащитен сървър.

Повечето от тях са били кратки – под 10 минути, но най-дългата е продължила цели 16 часа.

Компаниите за онлайн залагания са най-честите цели на DDoS атаки с 49% от общия брой на инцидентите, но най-голям ръст е регистриран в технологичния сектор – удвояване до 15%. Това обаче далеч не означава, че останалите индустрии не са заплашени от DDoS атаки. Напротив – независимо от големината, региона и сферата, в която оперира една компания, тя може да стане жертва на атака за отказ на услуга.

Затова ви съветваме да:

• внедрите услуги за защита от DDoS;
• използвате Web Application Firewall (WAF);
• ограничите броя на едновременните заявки към сървърите си;
• разработите план за реакция при инциденти.

Хакери създават фалшиви сайтове, приличащи на легитимните страници на известни AI фоторедактори за установяване на отдалечен контрол и кражба на данни.

Според откривателите на кампанията от TrendMicro това се случва като:

1. хакерът краде страница в някоя от социалните мрежи (обикновено свързана с фотография) и променя името ѝ, за да напомня на популярен AI фоторедактор;
2. създава публикации с връзки към фалшиви страници, копиращи действителната;
3. подсилва злонамерените публикации чрез платени реклами.

Единственият проблем в тази ситуация: софтуерът в злонамерения уебсайт не е редактор на снимки, а програма за управление на работни станции. След като бъде инсталирана, тя позволява отдалечен контрол над машината и достъп до данните в нея.

За да се предпазите:

• активирайте многофакторна автентникация (MFA);
• използвайте силни, уникални пароли за профилите си и ги актуализирайте редовно;
• следете постоянно за необичайно поведение;
• информирайте се редовно за новите методи, използвани от хакерите;
• не теглете никакви инсталационни файлове, докато не сте 100% сигурни, че сте в легитимен сайт  и винаги ги сканирайте с антивирусен софтуер, преди да инсталирате.

 

Осем уязвимости в сигурността на приложението за мониторинг на мрежова инфраструктура Zabbix са били открити и отстранени от създателите му. Препоръката ни е да ъпдейтнете до най-новата налична версия, защото част от тях са критични и позволяват включително кражба на пароли на потребителите ви. По-конкретно:

• Отдалечено изпълнение на код в ping скрипт (CVE-2024-22116);
• Пряк достъп до указатели в паметта в рамките на JS енджина с цел модификация (CVE-2024-36461);
• Одитн дневникът на показва пароли в обикновен текст (CVE-2024-36460);
• Неконтролируемо потребление на ресурси (CVE-2024-36462);
• Инсталаторът MSI на Zabbix Agent позволява на потребител без администраторски права да получи достъп до опцията за промяна на настройките чрез msiexec.exe (CVE-2024-22121);
• Уиджет за системна информация в таблото за управление Global View разкрива информация за хостове на потребители без разрешение (CVE-2024-22114);
• Четене на произволни файлове (arbitrary files) в Zabbix (CVE-2024-22123).

Пропуските са отстранени във версиите 5.0.43rc1, 6.0.31rc1, 6.4.16rc1 и 7.0.0rc3.