Киберсигурност

Съвременният интернет е невъзможен без съществуването на API – интерфейси, посредством който различни приложения могат да комуникират помежду си.

От една страна, това е огромен позитив: коренно противоположни системи могат да работят заедно, От друга: това е огромно предизвикателство за сигурността, те са навсякъде, често са зле защитени и съдържат огромни количества данни и огромна част от бизнесите дори не не само не знаят колко API-та поддържат и дали те изобщо имат някаква форма на защита. Това ги прави една от любимите мишени на хакерите.

Защо да защитя API-тата си

Интерфейсите дават директен достъп до четене и писане на огромно количество чувствителна информация. На практика тяхното предназначение изисква да имат достъп до сърцето на една организация и цялата информация за нея.

Затова, за един бизнес, който поддържа подобни услуги, това означава, че през тях хакер може да:

• да открадне на чувствителна информация като се сдобие с нерегламентиран достъп (който понякога дори не изисква автентникация)
• извърши неоторизирани трансакции и да промени критични данни
• да спре достъпа до услуги, като претовари на сървърите, на които работят те
• да инжектира зловреден код
• да получи неоторизиран достъп до други вътрешни системи
• да нанесе репутационни щети, правни последици и глоби

Само един пример: през януари 2024 г. от социалната медия Spoutible бяха източени лични данни на над 200 хил. потребителя именно заради липсата на защита на една от основните ѝ API услуги.

Как да защитите API-тата си

След всичко изброено по-горе, основният въпрос е какво да направите, за да защитите API услугите, които поддържате? По-лесно е, от колкото си мислите.

Ето няколко практически съвета:

• Организирайте. Изгответе списък с API услуги, които поддържате. За целта можете да използвате автоматизирани инструменти за откриване, но по-добре е да съберете списъка от разработчиците, с които работите и да опишете кое API каква автентникация изисква и достъп до какви данни и какви операции по тях позволява
• Възприемете подход на нулево доверие (zerto-trust) и третирайте всяка заявка към API като потенциално злонамерена, независимо от произхода ѝ.
• Въведете силна автентификация и оторизация за всяка API услуга. Без изключения.
• Задайте разумни ограничения на броя заявките към API, които могат да се осъществяват за единица време. Например, има ли нужда API услуга за потребителска информация да позволява повече от 60 заявки в час?
• въведете надеждна система за създаване на версии за вашите API услуги, за да можете, когато бъдат открити уязвимости (а такива ще бъдат открити), да деактивирате по-старите итерации.
• обучавайте своите разработчици, тъй като повечето уязвимости в API произтичат от липсата на осведоменост за сигурността.
• внедрете инструменти за мониторинг и поведенчески анализ и редовно penetration тестове.

И не забравяйте – киберсигурността изисква постоянство и многопластов подход, така че всички тези стъпки трябва да вървят ръка за ръка.

 

Министърът на електронното управление обяви в LinkedIn профила си, че страната ни се присъединява към държавите (общо 30 към момента), които използват услугата HIBP.

Платформата HaveIBeenPwned (дело на експерта по киберсигурност Troy Hunt) e полезен инструмент, с който да откриете дали информация за ваш акаунт е била компрометирана или включена в масив с изтекли данни (data leak).

Ако установите, че ваш имейл адрес е бил хакнат (pwned), незабавно сменете както паролата за този акаунт, така и за всички други акаунти, за достъп до които използвате същата парола.

През последните 4 години HIBP предоставя допълнителен достъп до информация за нарушение на данните на правителствени агенции, отговорни за защитата на своите граждани.

Това е крачка в правилната посока – повишаване на киберсигурността на държавата!

Разузнавателните агенции от месеци предупреждават, че нападението на Русия срещу Украйна ще бъде придружено от кибератаки, включително такива срещу критична държавна инфраструктура. Подобно на прекъсванията на електроснабдяването в Киев през 2015 г., за което беше обвинена Русия.

През януари в Украйна се появи рансъмуерът WhisperGate, насочен към структури на  държавната администрация. Преди дни компанията за киберсигурност ESET докладва за нов зловреден софтуер, Hermetic Wiper, изтриващ безвъзвратно данните на афектираните системи (помислете дали имате надежден бекъп!).

Съвсем наскоро и Агенцията за киберсигурност и инфраструктурна сигурност на САЩ призова американските компании да укрепят своята защита.

Войната е „идеалният“ бизнес

Логично, войната в Украйна доведе до покачване стойността на акциите на много компании в сектор Киберсигурност. Инвеститорите в световен мащаб залагат на това, че търсенето на специфични продукти и услуги за киберзащита  нараства и ще нараства с ожесточаването на конфликта.

Като добавим масираните DDoS атаки спрямо важни сайтове на украинското правителство, банки  и медии, разбираемо е защо акциите на Cloudflare, Crowdstrike, Palo Alto, Mandiant и др. се покачиха с 10-12 %.

Причина за поскъпването обаче е не само моментната ситуация, която е поредния исторически урок, който света получава. През 2017 г., зловреден софтуер с прякор „NotPetya“, предназначен да атакува критичните информационни системи в Украйна, успя да причини щети за повече от 10 млрд. USD по целия свят, след като буквално излезе извън контрола на неговите създатели. Засегнати бяха системите на други правителства, големи компании като Maersk и стотици хиляди малки бизнеси (като вашия!).

Да припомним

Киберпрестъпността е генерирала 3 трлн. USD през 2015 г., а към 2025 г. очакванията са тези обороти да достигнат 10-11 трлн. USD (според вас, от кого са взети тези пари?). Не е учудващо, че киберпрестъпността се е превърнала  в един от основните източници на приходи за групировки и режими. Постъпления в криптовалути все още лесно могат да се прехвърлят, изпират и узаконяват, поради слабите регулаторни рамки в редица държави.

Ситуацията в България

Министерство на електронното управление обяви, че са предприети действия, съвместно с отдел „Киберпрестъпност“ към ГДБОП в МВР, за филтриране или преустановяване на трафика от над 45 хил. IP-адреса, от които са извършвани опити за зловредна намеса в електронни системи или мрежи на страната. Това е стъпка в правилната посока на национално ниво,  но все още няма ясно послание към бизнеса и гражданите как да подготвят собствената си защита.

В нашата страна продължава да битува заблудата, че родните бизнеси са икономически неатрактивни за киберпрестъпниците, които са заети с далеч „по-важна“ работа. Това изобщо не е така: на практика не съществува регион или бизнес, който да не е интересен за киберпрестъпността.

Отпуснете бюджетите за ИТ

Не чакайте да пострадате, за да подсигурите дейността на дружествата си. Позволете на ИТ екипа си да се мобилизира и да подобри киберсигурността. Много компании в България за първи път откриват тази необходимост, просто защото някой западен партньор го изисква от тяхното дружество.

Родния бизнес час по-скоро трябва да започне да се допитва до професионалисти, които да го посъветват какво и как да предприеме, вместо да харчи пари за решения от типа „one size fits all”, преди да се е уверил, че те са подходящи за него.

Нашият Security Operations Center (SOC) oперира успешно от шест години в България и извършва наблюдение на инфраструктурата на нашите клиенти. Силно препоръчвам на компаниите да започнат да  използват подобни услуги, което ще им спести пари и проблеми.

Абсолютно съм съгласен с Шломо Крамер, съосновател на Checkpoint, който твърди, че предприемането на мерки в последната минута е по-скоро резултат от липса на информираност, а не се дължи на липса на възможности. Възползвайте се от наличните възможности навреме и живейте и развивайте бизнеса си спокойно!

Разкрита е критична уязвимост в библиотеката Java Log4j (CVE-2021-44228 или „Log4shell“), последиците от която са сериозни и трудни за митигиране.

Log4j е много популярна система за регистриране, широко използвана от разработчиците на уеб и сървърни приложения, базирани на Java и други езици за програмиране. Уязвимостта засяга голям спектър от услуги и приложения на сървърите, което я прави изключително опасна. Тя предоставя на хакерите сравнително лесен начин за дистанционен достъп до сървър на съответната организация, а оттам – до цялата мрежа.

Вече са засечени стотици хиляди опити от 9 декември 2021 г. (когато разкритието беше оповестено) насам за дистанционно изпълнение на код, използвайки тази уязвимост. Предполага се, че тя е била експлоатирана седмици преди публичното й оповестяване. Засегнати са услуги/продукти на вендори като Cisco, VMware,  Apple, Cloudflare, Minecraft и много други.

Какво да направите

1. Консултирайте се с разработчиците на вашите системи, за да установите дали приложенията, които използва организацията ви са написани на Java и/или част от тях разчитат на код написан на Java.
2. Ако това е така, проверeте дали приложенията включват уязвима версия на библиотеката Log4j – актуализирайте я до версия 2.15.0 или по-нова.
3. Уязвимостта може да бъде смекчена и в предишни версии (2.10 и по-нови) чрез задаване на стойност „true“ на „log4j2.formatMsgNoLookups“ или премахване на класа JndiLookup от указания път.
4. Ако използвате засегнато приложение на трета страна, уверете се, че поддържате продукта актуализиран до най-новата версия.

Подробна информация и насоки по темата можете да откриете ТУК.

Представи си, че в разгара на работния ден шефът ти звъни с молба спешно да купиш онлайн абонамент за нуждите на фирмата – разходите ще ти бъдат възстановени служебно. Веднага се сещаш, че преди седмица в офиса ви предупредиха за фишинг, свързан с онлайн абонаменти… Но обучението се отнасяше за подозрителни имейли или обаждания от непознати, а ти получаваш инструкции от шефа, освен това лично отговаряш за абонаментите във фирмата… Затова бързо се заемаш и изпълняваш задачата.

За съжаление се оказва, че полученото обаждане е фалшиво. И е звучало толкова автентично, защото е създадено от алгоритъм за машинно обучение (Machine Learning Algorithm – MLA). Шефът ти със сигурност не е доволен!

Какво е „Deepfake“

Това е фалшифициран (въпреки че изглежда легитимен) видеоклип, аудио или снимка, създаден, за да заблуди получателя му, че е автентичен (за постигане на желания ефект дори може да се използва съществуващо съдържание). Deepfake технологията манипулира желаната форма на медия чрез MLA (терминът всъщност идва от „deep learning“– методът на машинно самообучение на изкуствен интелект с помощта на изкуствени невронни мрежи).

С други думи, киберпрестъпниците са намерили още един начин за атака на човешкия елемент – най-слабото звено във всяка организация.

Фишингът се развива

Има една известна фраза на американския писател Едгар Алън По: „Вярвай само на половината от това, което виждаш и на нищо от това, което чуваш“.

Deepfake атаките разчитат на доверието, което имаш на хората около теб – колеги, приятели, семейство. И така си гарантират успех – обществото ни до голяма степен се основава на способността ни да се доверяваме на други хора да изпълнят определени задачи.

Очакванията на киберспециалистите са за разрастване на Phishing as a Service и използването на Deepfake фалшификати със сигурност ще има дял в това „развитие“.

Как да предпазим работната среда

1. Обучение, обучение, обучение. Щом нападателите се възползват от човешката природа, то и тренингите трябва да включват активно участие на служителите и социално инженерство.
2. Възможност за прилагане на наученото на практика. Deepfake, представящ се за шеф, може да отправи заплаха за наказание, ако задачата не бъде изпълнена. Важно е служителите да имат право да поставят под въпрос искане, което изглежда необичайно, дори ако идва от главния изпълнителен директор.
3. Стриктна документация и канали на комуникация. Създаването на процедури за работа и ясно дефинирани процеси ще помогнат по-лесно да се забележи необичайно или злонамерено поведение.

Два интересни доклада на тема киберсигурност привлякоха вниманието ни през изминалите дни:

Microsoft Digital Defense Report (October 2021 edition) прави подробна дисекция на своята телеметрия и наблюдения, докато Sophos 2022 Threat Report обобщава  киберзаплахите към момента и прави прогнози за наближаващата 2022 г.

Киберпрестъпленията като бизнес

Общото в двата доклада е, че те разглеждат киберпрестъпления като услуга в престъпният свят (criminal-to-criminal market),  включваща:

• Initial Access as a Service / Brokers
• Ransomware as a Service
• Phishing as a Service

Специално внимание се обръща на развитието на престъпните картели, занимаваща се с ransomware и extortion – Conti, REvil и  др.

Не всичко е такова, каквото изглежда

Обща тема в двата доклада е и използването на dual-use инструменти, като CobaltStrike, Metasploit и mimikatz. Особено внимание се обръща на популярността на CobaltStrike сред престъпниците и на това, че лицензите за този инструмент в повечето случаи са откраднати от легитимни клиенти, използващи продукта.

Интересен аспект е увеличението на броя инцидентите с инсталиран / инжектиран  web shell. И двете компании са единодушни, че това се дължи основно на откритите слабости и атаки към MS Exchange сървъри през изминалите 6-9 месеца – ProxyLogon, ProxyShell и т.н.

Заплахите насочени към IoT и мобилни устройства/технологии също намират своето място в докладите, като прогнозите са за увеличено използване на artificial intelligence (AI) и machine learning (ML) от двете страни на барикадата.

Бъдещи тенденции

Единодушно е мнението, че Zero-Trust модел/архитектура и ZTNA  решенията са бъдещето при вече наложилият се хибриден модел на работа.

Набляга се и на факта, че човекът си остава един от най-рисковите, но и най-важни за защитата от киберзаплахи фактори.

Следването на правила помага

От изтеклата информация за това как работи една престъпна организация (Recently leaked Conti ransomware playbook)  става ясно, че киберпрестъпниците не са някакви гениални същества, които трудно могат да бъдат спрени, а дори напротив! Оказва се, че те използват изключително прости и добре известни похвати, методи и инструменти (TTPs) !

Именно това е и заключението в доклада на Microsoft – базова „хигиена“ и спазване на добри практики в  областта на сигурността биха ви защитили от 98% процента от атаките.

Същото мнение споделя и Sumedh Thakar (CEO и президент на Qualys) в интервю в Smashing Security podcast, което е и покана за годишната Qualys Security Conference на 15  -18 ноември 2021 г. (регистрацията за онлайн присъствие и обучение е напълно безплатна!)

Допълнителни ресурси

• Интервю на Kevin Magee (CSO в Microsoft Канада) относно Digital Defense доклада на Microsoft
• Video: Decrypting Cobalt Strike Traffic With Keys Extracted From Process Memory

Нов законопроект ще позволи на полицията в Австралия да променя или изтрива данни, да контролира акаунти в социалните медии и да събира информация за мрежова активност на всеко лице, участващо в текущо разследване.

Очакванията са новите полицейски правомощия да подпомогнат борбата срещу онлайн престъпността.

Получавайки достъп до устройства на заподозрени, без нужда от изрична заповед, правителството се надява да улови не само отделни лица, но и цели мрежи от престъпни дейности.

Законопроектът е внесен за одобрение и ще влезе в сила до 10 дни след приемането му.

През последните няколко години станахме свидетели на значителен брой инциденти с рансъмуер. От лятото на 2021 г. ще запомним атаките срещу американски петролопровод с национално значение и международна софтуерна компания, които засегнаха доставчици на услуги (MSP) и техните клиенти надолу по веригата.

Да припомним:

Рансъмуер е злонамерен софтуер, предназначен да криптира файлове върху вашите устройства, така че те да станат неизползваеми за системата ви. Традиционно, атакуващите искат паричен откуп в замяна на декриптиране. С течение на времето хакерите подобриха своите тактики, с което заплахите станаха още по-разрушителни. Злонамерените участници все по-често ексфилтрират данните ви и след това заплашват да ги продадат или пуснат безплатно в мрежата ако откупът не бъде платен.

Когато откраднатото включва чувствителна или лична информация или данни за достъп до засегнатите системи, дейността и репутацията на компанията ви може сериозно да пострадат.

Препоръки за предотвратяване на рансъмуер атаки

Каквато и да е организацията ви, съществува риск да станете жертва на инцидент с рансъмуер. Затова и отговорността за защитата на чувствителни и лични данни, съхранявани в системите ви, е ваша – като управляващ бизнеса или като отговарящ за киберсибурността.

Ето какво е добре да направите:

1. Поддържайте офлайн криптирани архиви на данни и редовно ги тествайте.

Архивирането трябва да се извършва редовно. Важно е да поддържате офлайн копия, тъй като много варианти на рансъмуер се опитват да намерят и изтрият или криптират достъпни архиви.

2. Създайте, поддържайте и упражнявайте основен план за реакция при киберинциденти, план за устойчивост и свързан с тях комуникационен план:

• Планът за реакция при киберинциденти трябва да включва процедури за реакция и уведомяване в случай на рансъмуер атака
• Планът за устойчивост трябва да предвижда начин на работа, ако загубите достъп или контрол над критични функции

3. Обърнете особено внимание на уязвимости и неправилни конфигурации на всичките си критични системи. По този начин ще намалите възможността даден актив да бъде атакуван успешно:

• Прилагайте най-добрите практики за използване на протокол за отдалечен достъп (RDP). Атакуващите често получават първоначален достъп до мрежата чрез открити и лошо защитени отдалечени услуги, които дават възможност за разпространение на рансъмуер.
• Одитирайте мрежата за всички критични системи, използващи RDP; затваряйте неизползвани RDP портове; налагайте блокиране на акаунт след определен брой опити; прилагайте многофакторно удостоверяване (MFA); регистрирайте опитите за влизане в RDP
• Провеждайте редовно сканиране на уязвимости, за да ги идентифицирате и отстраните, особено тези на устройства с интернет. Възползвайки се от услуги на външни експертни екипи, за да намалите експозицията си и вероятността да станете жертва на рансъмуер.
• Актуализирайте своевременно софтуера, включително операционните системи, приложенията и фърмуера. Приоритизирайте своевременното закърпване на критични уязвимости и уязвимости на сървъри в интернет, както и софтуерна обработка на интернет данни, като уеб браузъри, приставки за браузъри и четци на документи. Ако бързото закърпване не е осъществимо, приложете съветите, предоставени от доставчика на съответния софтуер, за по-сигурна работа.
• Уверете се, че устройствата ви са правилно конфигурирани и функциите за защита са активирани. Например, деактивирайте портовете и протоколите, които не се използват за бизнес цели.
• Деактивирайте или блокирайте протокола за входящи и изходящи сървърни съобщения (SMB) и премахнете или забранете остарелите му версии.

4. Намалете риска фишинг имейлите да достигнат до крайните потребители

• Активирайте силни филтри за спам
• Прилагайте програма за повишаване на осведомеността и обучение на потребителите в областта на киберсигурността, която включва насоки за това как да се идентифицират и докладват подозрителни дейности (например фишинг) или инциденти

5. Практикувайте добра киберхигиена

• Осигурете си актуален антивирусен софтуер
• Приложете списък с разрешени приложения и забранете всички останали
• Ограничете използването на привилегировани акаунти чрез политики за използване, контрол и управление
• Използвайте MFA за всички услуги, доколкото е възможно, особено за уеб поща, виртуални частни мрежи (VPN) и акаунти, които имат достъп до критични системи

6. Следете каква лична и чувствителна информация се съхранява във вашите системи и кой има достъп до нея

• Ограничете данните, като съхранявате само информация, необходима за бизнес операциите ви. Уверете се, че данните се унищожават правилно, когато вече не са необходими.
• Идентифицирайте компютрите и сървърите, на които се съхранява чувствителна лична информация. Не съхранявайте чувствителни или лични данни в системи или лаптопи, свързани с интернет, освен ако това не е от съществено значение за бизнес операциите ви. Ако лаптопите ви съдържат чувствителни данни, ги шифровайте и обучете служителите си на правилата за физическа сигурност на устройствата.

7. Шифровайте чувствителната информация в покой и при транспортиране

• Внедрете защитни стени от ново поколение за елиминиране на злонамерен или ненужен мрежов трафик
• Обмислете прилагането на сегментиране на мрежата за допълнителна защита на системи, съхраняващи чувствителна или лична информация

8. Уверете се, че вашите планове за реакция при киберинциденти и комуникационни планове включват процедури за реакция и уведомяване за инциденти при нарушаване на данни

В случай че все пак станете жертва на рансъмуер:

• Определете кои системи са засегнати и незабавно ги изолирайте. Ако повече от една система е засегната, веднага изолирайте цялата мрежа на ниво суич. Ако това не е възможно, намерете кабела на мрежата (например Ethernet) и изключете засегнатите устройства или ги премахнете от Wi-Fi, за да ограничите инфекцията.
• Само в краен случай, ако засегнатите устройства не могат да бъдат премахнати от мрежата или мрежата не може да бъде временно спряна, изключете засегнатите устройства, за да избегнете по-нататъшно разпространение на заразата

Забележка: Тази стъпка трябва да се извършва само ако е необходимо, тъй като може да доведе до загуба на артефакти на инфекцията и потенциални доказателства, съхранявани в  паметта

• Ангажирайте вашите вътрешни и външни екипи и заинтересованите страни, като ги информирате как могат да ви помогнат да се възстановите от инцидента
• Сериозно обмислете да поискате помощ от реномиран доставчик на услуги по киберсигурност и реакция при инциденти
• Ако лична информация, съхранявана от името на други фирми, бъде открадната, уведомете тези фирми за нарушението
• Ако инцидента включва лична идентифицираща информация, уведомете засегнатите лица, за да могат те да предприемат стъпки за намаляване на вероятността с тяхната информация да се злоупотреби

Още по темата прочетете ТУК.

Както многократно сме писали, рансъмуер е вид злонамерен софтуер, който заключва компютъра ви или криптира данните ви, като изисква да платите откуп, за да си възвърнете контрола върху засегнатото устройство или файлове.

За да противодействат на заплахата, Европейският център за киберпрестъпления на Европол, Националното звено за високотехнологична престъпност на холандската полиция и McAfee създават No More Ransom (NMR). Инициативата подпомага жертвите на рансъмуер да извлекат своите криптирани данни, без да се налага да плащат на престъпниците.

NMR отбелязва петата година на проекта, като стартира нов уебсайт. Модерен и лесен за употреба, той предлага актуализирана информация за рансъмуер, както и съвети как да предотвратите зараза.

В момента сайтът предлага 121 безплатни инструмента, способни да дешифрират 151 семейства криптовируси.  Порталът е достъпен на 37 езика и обединява 170 партньори от публичния и частния сектор.

NMR работи в помощ на пострадалите, но създателите му припомнят, че добрата хигиена на работа е първото ниво на защита:

• Редовно архивирайте данните, съхранявани на вашите електронни устройства
• Внимавайте върху какво кликате – винаги проверявайте къде води линкът
• Пазете се от прикачени файлове в имейли
• Поддържайте софтуера за сигурност и операционната ви система актуални
• Ако станете жертва, не плащайте! Подайте сигнал за престъплението и потърсете на No More Ransom за инструменти за декриптиране

Най-голямата компания за преработка на месо в света е била обект на сложна кибератака.

Хак на компютърните мрежи в JBS временно е спрял работата на няколко поделения на компанията в Австралия, Канада и САЩ и е засегнал хиляди работници.

Става дума за рансъмуер атака и поискан откуп. Компанията е разбрала за пробива на 31.05.2021 и веднага е спряла всички засегнати ИТ системи – смята, че резервните сървъри не са били хакнати.

ИТ системите са от съществено значение за съвременните месопреработвателни предприятия, като компютрите се използват на няколко етапа, включително фактуриране и доставка.

JBS е най-големият доставчик на месо в света с повече от 150 завода в 15 страни и 150 хил. служители. Сред клиентите на компанията са множество супермаркети и заведенията за бързо хранене McDonald’s. В САЩ JBS преработва почти 25% от говеждото месо в страната и 20% от свинското месо.

Атаката може да доведе до недостиг на месо или повишаване на цените за потребителите.

Миналият месец доставката на гориво в югоизточната част на САЩ спря за няколко дни, след като рансъмуер атака порази най-големия американски петролопровод.  Colonial Pipeline потвърди, че е платил 4,4 млн. USD откуп на киберпрестъпниците, които разследващите свързват с Русия.