Киберсигурност

Западни агенции за сигурност – CISA, NSA, FBI и др. – публикуваха нов набор от добри практики за засилване на видимостта и укрепване на мрежовите инфраструктури. Пускането на Enhanced Visibility and Hardening Guidance for Communications Infrastructure е продиктувано от нарастващия брой кибератаки срещу критични западни системи.

Той включва актуални насоки в три основни направления – подобряване на видимостта, укрепване на мрежовите устройства и отговор на инциденти.

Подобряване на видимостта

Тук основните съвети обхващат:

Мониторинг на мрежата: Внимателно наблюдавайте конфигурационните промени и внедрете механизми за алармиране при неоторизирана намеса.

Централизирано съхранение на конфигурации: Не приемайте устройствата като достоверен източник на информация за техните конфигурации. Редовно тествайте и водете единна база данни на всички настройки.

Решения за мониторинг на мрежовия поток: Внедрете доказани решения за мониторинг на мрежовия поток. Те позволяват детайлно наблюдение на трафика, потребителската активност и трансфера на данни.

Укрепване на мрежовите устройства

Трите основни насоки на това поле са насочени към:

Пачване на уязвими устройства и услуги: Редовно актуализирайте софтуера и фърмуера на мрежовите устройства, за да се намалят възможностите за проникване.

Сигурност на конфигурациите: Използвайте силни пароли и MFA за достъп до мрежовите устройства.

Ограничаване на достъпа: Ограничeте достъпа до мрежите само до оторизирани потребители и устройства.

Отговор на инциденти

Ако все пак се случи пробив, организациите трябва да са изградили възможноти за:

Бързо идентифициране на заплахи: Добрата видимост на инфраструктурата позволява бързо идентифициране на заплахи, аномалии и уязвимости.

Реакция на инциденти: Разработване на планове, които включват процедури за бързо реагиране и възстановяване на нормалната работа на мрежата.

Изпълнението на тези насоки намалява възможностите за проникване и смекчава последствията при потенциални кибератаки.

Инсталационен проблем блокира актуализациите за сигурност при някои компютри с Windows 11, версия 24H2. Грешката се появява при инсталации от компактдискове и USB, които съдържат и кумулативните ъпдейти за октомври или ноември 2024.

От Microsoft предупреждават, че при използване на подбни носители устройството може да спре да приема по-нататъшни актуализации на сигурността.

Тези проблеми с внедряването не засягат ъпдейтите, доставени чрез Windows Update и Microsoft Update Catalog. Инсталациите, снабдени с актуализации за сигурност от декември 2024 г. или по-късно, също са защитени.

Ако сте инсталирали някоя от засегнатите версии, възможно най-бързо надградете. Актуализациите за сигурност са от изключителна важност за предпазването на вашите компютри и бизнеси.

 

Хакерите все по-често използват облачни платформи като Amazon Web Services (AWS) и Microsoft Azure, за да организират мащабни кибератаки.

Тези платформи, които приемат критична инфраструктура за бизнеси от цял свят, се компрометират чрез различни сложни методи.

Те включват:

• Infrastructure laundering: При него атакуващите използват откраднати или измамни акаунти, за да наемат IP адреси от AWS и Azure. Това дава възможност за провеждане на фишинг кампании, инвестиционни измами и операции по пране на пари.
• Кражба на API ключове: След като хакерите успеят да откраднат легитимни API ключове, те се изпозлват за заобикаляне на контрола за сигурност на организациите и генериране на вредно съдържание чрез официални услуги.
• Неправилни конфигурации на облака: Неправилно конфигурираните ресурси в облака продължават да бъдат значителна уязвимост. Нападателите използват публично достъпни бази данни или слаби политики за сигурност, за да получат достъп до чувствителна информация.
• Advanced Exploitation Techniques: Използвайки командата RunShellScript на Azure или публичните AMI (Amazon Machine Images) на AWS, нападателите получават отдалечен достъп до виртуални машини и извличат чувствителни метаданни или пълномощни.

За да се противопоставят на тези заплахи, организациите трябва да приемат надеждни мерки за сигурност в облака. Това включва:

• внедряване на усъвършенствани инструменти за наблюдение като GuardDuty за AWS или Microsoft Defender за Azure за откриване на подозрителни дейности в реално време;
• засилване на сигурността на API чрез редовна ротация на ключовете и ограничаване на използването им въз основа на IP или времеви периоди;
• редовни одити на конфигурацията на облачните ресурси за откриване на грешки и уязвимости;
• прилагане на Zero trust архитектура с MFA и политики за достъп с най-малки привилегии за допълнителна защита на средата.

Неправилните конфигурации остават „ахилесова пета“ за киберсигурността на организациите – и рутерите са водещи в това отношение.

Според данни от скорошно проучване на Broadband Genie 86% от анкетираните никога не са променяли администраторската парола на рутера си. 52% никога не са променяли фабричните настройки.

Това поставя нападателите в перфектна позиция за компрометиране на корпоративните мрежи. Те няма смисъл да създават сложни фишинг кампании, след като ужким защитените устройства могат да бъдат достъпни с идентификационни данни „admin“ и „password“.

Нарастващи рискове, свързани с рутерите

Рутерите позволяват на множество устройства да използват една и съща интернет връзка. Те постигат тази цел, като насочват трафика – навън и навътре. Ако нападателите успеят да ги компрометират, те могат да контролират както това, което излиза, така и това, което влиза в мрежата ви.

Това води до дълъг списък с рискове:

• пренасочване на потребителите към злонамерени уебстраници;
• провеждане на Man-in-the-middle атаки за кражба на данни;
• провеждане на DDoS атаки като част от по-голяма ботнет мрежа;
• наблюдение на поведението на потребителите с помощта на IoT устройства.

Естеството на рутерните атаки ги прави трудни за откриване. При тях хакерите не се налага да заобиколят инструментите за сигурност. Те се възползват от пренебрегнати слаби места, за да получат директен достъп до тях, без да предизвикват реакция от системата.

Въпреки това сигурността на рутерите се влошава, вместо да се подобрява. Според изследване, цитирано от Security Inteligence, през 2022 48% от анкетираните са заявили, че не са коригирали настройките на рутера си, а 16 % никога не са променяли администраторската си парола. През 2024 над 50% от рутерите все още работят с фабрични настройки, а само 14% са сменили паролата си.

Ограничаване на риска

Изводът е, че много бизнеси инвестират в инструменти за сигурност, но не променят конфигурациите по подразбиране и не актуализират фърмуера на рутерите си. А това е все едно да заключите с пет ключалки вратите си, но да оставите прозорците широко отворени.

За да ограничите риска от кибератака през този вектор, редовно сменяйте паролите, актуализирайте фърмуера и се уверете, че рутерите ви не са оставени на фабрични настройки. Освен това:

• Създайте редовен график за актуализация. На всеки четири до шест месеца насрочвайте преглед на рутерите си. Включете този график в споделен календар и се уверете, че всички служители по сигурността знаят за него. Когато определеният ден настъпи, актуализирайте фърмуера, където е възможно, и променете данните за вход и парола.
• Заложете седмичен график за преглед на трафика на рутерите. Търсете странно поведение или неочаквани заявки за вход.
• Създайте план за реакция при инциденти. Нарастващият брой крайни точки означава, че е само въпрос на време нападателите да успеят да намерят незащитени рутери или да заобиколят съществуващите защити.

Постоянно разширяващата се екосистема на Интернет на нещата (IoT) променя начина, по който взаимодействаме с технологиите в ежедневието си. От интелигентни системи за сигурност и телевизори до интелигентни хладилници и осветителни системи – тя се превръща в неразделна част от нашите домове.

В центъра на всичко са смартфоните ни, чрез които лесно и удобно управляваме всички тези свързани устройства. Макар и удобна обаче, IoT екосистемата носи със себе си и някои сериозни рискове за сигурността. Мобилните устройства често са цел на киберпрестъпници заради широката им употреба и чувствителната информация, която съхраняват.

Затова мерките за защита са от изключително значение.

Ето няколко съвета за сигурност от ESET:

• Използвайте силни и уникални пароли: Уверете се, че всяко IoT устройство има силна, уникална парола. В никакъв случай не използвайте такива по подразбиране. Мениджърите на пароли могат да са ви изключително полезни за запомнянето им, без да правите компромиси със сложността.
• Активирайте 2FA: Когато е възможно, активирайте 2FA на вашите устройства и акаунти. Това добавя допълнително ниво на сигурност, като изисква втора форма на проверка.
• Редовно актуализирайте софтуера: Поддържайте смартфона и IoT устройствата актуализирани с най-новия фърмуер и пачове за сигурност. Те често са насочени към уязвимости, които могат да бъдат използвани от хакерите.
• Внедрете firewall и VPN мрежи: Използвайте firewall, за да блокирате неоторизирания достъп до мрежата си. VPN може да осигури допълнително ниво на криптиране, като защити предаването на данни между вашия смартфон и IoT устройствата.
• Наблюдавайте мрежовата активност: Редовно проверявайте устройствата, свързани към вашата мрежа. Това може да помогне за ранното откриване на подозрителни дейности.
• Защитете рутера си: Променете настройките по подразбиране на рутера си, използвайте силна парола и се уверете, че той поддържа WPA3 криптиране. Това е от решаващо значение за поддържане на високи нива на сигурност на безжичната ви мрежа.

Като следвате тези най-добри практики за защита на интелигентни домове, можете значително да намалите рисковете за киберсигурността, свързани с IoT устройствата. Тяхната защита и повишаването на мрежовата сигурност е от съществено значение за предотвратяване на неоторизиран достъп.

Последен ъпдейт на 23 февруари 2025 в 16:26 ч.

Amazon е най-големият онлайн търговец на дребно в света с повече от 310 милиона активни потребител. Много българи също използват неговите услуги.

Очаквано, киберпрестъпниците не пропускат да се възползват от съкровищницата от лични и финансови данни, която представляват акаунтите в платформата. Ако бъдат компрометирани, те могат да бъдат използвани за кражба на идентичности и измами. Това превръща Amazon в любима цел за тях. А за потребителите един пробив може да доведе до сериозни финансови загуби и правни проблеми.

Затова трябва да сте наясно с признаците, които могат да ви подскажат, че профилът ви е бил хакнат.

Ето четири от тях:

Признак 1: Не можете да влезете

Най-очевидният признак е да откриете, че не можете да влезете в акаунта си, дори когато сте сигурни, че използвате правилните имейл адрес и парола.

Възможно е компанията да го е спряла заради необичайна дейност от ваша страна. Но в повечето случаи това е сигнал, че той е бил хакнат и са променени данните ви за вход.

Признак 2: Данните ви са променени

Може да забележите, че данните на профила ви са променени – адрес, имейл или информация за контакт. Хакерите понякога предпочитат вместо директно да откраднат профила, да го превземат и да останат скрити. Съществува и възможност да сте влезли точно в момента, в който те са работили по компрометирането му, и да сте прекъснали процеса.

Признак 3: Странна активност при покупки

Ако получите пакет, който не сте поръчвали, това може да е знак, че информацията ви е използвана за създаване на фалшив акаунт.

Възможно е също така да забележите покупки, които не сте направили, в историята на поръчките си. Ясен сигнал е и наличието на непознати продукти в историята на сърфирането ви.

Признак 4: Появяват се отзиви от ваше име

Една от най-честите причини хакерите да компрометират акаунт в Amazon е да правят фалшиви рецензии. Съмнителните продавачи в платформата често го правят, за да подават петзвездни ревюта за собствените си продукти или лоши за своите конкуренти.

Стъпки за ограничаване на щетите

Ако смятате, че акаунтът ви в Amazon е бил хакнат, има няколко стъпки за ограничаване на щетите и възстановяване.

Стъпка 1: Променете паролата си

Не е лоша идея да сменяте редовно паролата си, независимо дали смятате, че акаунтът ви е бил хакнат, или не. Ако пробивът е факт обаче, това със сигурност трябва да е първата ви стъпка.

Уверете се, че сте избрали трудна за отгатване комбинация. Тя трябва да включва главни и малки букви, цифри и символи. Освен това трябва да сте сигурни, че дори не наподобява парола, която използвате другаде. Също така е задължително да активирате 2FA. За целта отидете в Your Account и секцията Login & security.

Стъпка 2: Проверете данните за профила

Проверете имейл адреса и телефонния номер, свързани с вашия акаунт, и се уверете, че са верни и актуални.

Изтрийте всички изтекли, закрити или ненужни финансови сметки от раздела за плащания.

Стъпка 3: Проверете за подозрителни трансакции

Прегледайте историята на поръчките си и незабавно докладвайте на Amazon за всички подозрителни трансакции, които откриете. Можете да направите това чрез основния уебсайт за обслужване на клиенти или чрез опцията Report a Scam.

Стъпка 4: Излезте от профила си в Amazon на всички устройства

Можете да излезете от акаунта си в Amazon, като изберете Sign Out в падащото меню Account & Lists. Промяната на паролата трябва автоматично да ви подкани да излезете едновременно на всички устройства, които сте използвали. Направете го.

Стъпка 5: Стартирайте антивирусно сканиране

Възможно е хакерите да са получили достъп до вашето устройство, като са инсталирали зловреден софтуер. Уверете се, че имате актуален антивирусен пакет и го стартирайте, за да откриете и изтриете всичко съмнително.

Възстановяване на профила и защита

Ако не можете да влезете в профила си, защото хакер го е блокирал или е променил паролата ви, посетете центъра за помощ на Amazon. Въведете имейл адреса или номера на мобилния телефон, свързан с вашия акаунт.

След това ще получите еднократна парола, която да въведете. Това ще ви позволи да създадете нова и да възстановите достъпа до профила си.

Ако по някаква причина това не сработи, можете да се свържете директно с Amazon. Посетете секцията за обслужване на клиенти. Възможно е да бъдете помолени да потвърдите самоличността си чрез сканиран или сниман официален документ за самоличност.

Независимо дали акаунтът ви в Amazon е бил компрометиран или не, той трябва да е максимално защитен. Това включва:

• силна, уникална парола и 2FA;
• добавяне на вторичен канал за комуникация като номер на мобилен телефон;
• мониторинг на опитите за влизане чрез опцията Secure Your Account в настройките за сигурност.

Междувременно, за да сте сигурни, че измамниците няма да компрометират профила ви:

• никога не отговаряйте на подозрителни имейли, обаждания и съобщения от непознати податели;
• не въвеждайте лична и финансова информация в изскачащи прозорци;
• информирайте се постоянно за променящите се заплахи в интернет;
• следвайте добрите практики за цифрова хигиена и киберсигурност.

През 2024 г. Google e блокирала 2,36 млн. рискови приложения, подадени в Play Store. Освен това 158 000 акаунта на разработчици са били затворени заради опити за публикуване на зловреден и шпионски софтуер в официалния магазин за Android.

За сравнение, през 2023 г. Google е блокирала 2 280 000 рискови приложения, а през 2022 г. – 1 500 000. Цифрите за блокираните акаунти на разработчици са били съответно 333 000 и 173 000.

По-големият брой блокирани приложения през 2024 г. отчасти се дължи на изкуствения интелект, подпомагащ човешките прегледи. Технологията е била използвана в 92% от случаите, при които са открити нарушения.

Google съобщава също така, че е предотвратила и получаването на прекомерни разрешения от 1,3 милиона приложения. Те биха им предоставили ненужен достъп до чувствителни потребителски данни.

Въпреки че компанията засилва защитата на Android всяка година, пропуски в сигурността продължава да има. Киберпрестъпниците използват нови, все по-усъвършенствани методи за заобикаляне на автоматичните скенери.

Затова потребителите трябва:

• да се доверяват само на реномирани разработчици и винаги да проверяват отзивите за непознати такива;
• да поддържат броя на инсталираните приложения на минимално необходимото ниво;
• да проверяват и отменят разрешенията на рискови приложения и да гарантират, че системата за проверка Play Protect работи във всеки един момент.

Cryptojacking не е заплаха, около която се вдига толкова шум, колкото около ransomwarе например. Тя обаче може незабелязано да източва ресурсите и да увеличи разходите ви. Вместо да блокират системите ви, този тип атаки тихомълком превземат изчислителната ви мощ за добив на криптовалута. Те засягат CPU, GPU или облачната ви инфраструктура.

Това струва на компаниите повече, отколкото те осъзнават. Според SonicWall през 2023 г. Cryptojacking атаките са се увеличили с 659%. А за всяка добита криптовалута на стойност 1 USD компаниите са плащали по около 53 USD разходи за облачни услуги. И тъй като не нарушават незабавно работата на системите, тe често остават незабелязани.

Нападателите са разработили няколко метода за вкарване на код за Cryptojacking във вашите системи:

• Drive-by Downloads: Когато потребителите посещават компрометирани уебсайтове, злонамерените Cryptominer могат да се изпълняват автоматично във фонов режим:
• Фишинг имейли: При кликане върху зловредна връзка или изтегляне на файл жертвата несъзнателно изтегля зловреден софтуер;
• Непоправени уязвимости: Инструментите за Cryptojacking често използват уязвимости в сървъри, за да разпространяват зловреден софтуер в мрежите;
• Контейнеризирани среди: Тъй като все повече компании използват контейнери, нападателите вграждат зловредни скриптове за таен добив на криптовалути в такива, съхранявани в публични хранилища.

Защо трябва да ви е грижа

Въпреки че Cryptojacking може да изглежда като незначително неудобство в сравнение с кражбата на данни, въздействието може да бъде сериозно.

Различните сценарии включват:

• Удар по производителността: Cryptojacking източва ресурсите на CPU и GPU, което забавя работата на системите ви. Освен това прекомерната консумация на енергия увеличава сметките ви, натоварва хардуера и може да доведе до прегряване;
• Увеличаване на разходите в облака: Доставчиците на облачни услуги начисляват такси въз основа на използването на ресурсите. Компрометираните виртуални машини или контейнери консумират огромни количества CPU, GPU и памет, което води до неочаквани и често огромни сметки;
• Загуба на производителност: Претоварените системи могат да се сринат или забавят до степен, в която операциите спират;
• Уязвимост на сигурността: Cryptojacking инструментите често се възползват от същите уязвимости, които могат да доведат до по-големи и по-вредни атаки. След като вече има опора в компрометирания ресурс, нападателят може да се възползва от това по всяко време.

Защита срещу Cryptojacking

Cryptojacking атаките могат да бъдат насочени срещу всяка организация, независимо от нейната големина, индустрия или регион.

За да защитите вашия бизнес се нуждаете от проактивна, многопластова защита. Това включва:

• Защита на крайни точки: Съвременните инструменти за защита на крайни точки често включват функционалности за откриване на Cryptojacking. Те следят скоковете в потреблението на ресурси и сигнализират за необичайна активност;
• Мониторинг на мрежата: Софтуерите за Cryptojacking често оставят следи в мрежовия трафик. Инструменти, които анализират моделите на потребление за необичайни връзки, могат да помогнат за ранното откриване и предотвратяване на заплахата;
• Мониторинг на облака: Платформи като AWS CloudWatch и Azure Monitor могат да помогнат за проследяване на скоковете в потреблението на CPU или GPU. Подобни събития са основен признак за Cryptojacking.

Но не е достатъчно просто да внедрите тези инструменти. Те трябва да бъдат правилно конфигурирани и непрекъснато актуализирани, за да се гарантира, че са ефективни срещу най-новите заплахи от този тип.

Пробивите през SaaS платформи са се увеличили с 300% през 12-те месеца от септември 2023. Те са мотивирани основно от финансова печалба, шпионаж и прекъсване на дейността на таргетираната компания.

Според констатациите на Obsidian Security APT групите все по-често се фокусират върху SaaS приложенията, за да крадат чувствителни данни. Причината – бизнесите все повече разчитат на тях за критични операции.

Лошата новина е, че подобни атаки се оказват успешни дори срещу организации със стабилни мерки за сигурност. Все по-широкото използване на SaaS от предприятията означава, че съхранението на данни се премества от крайната точка към приложенията. Това прави акаунтите в SaaS платформите решаващи за защитата на тази информация.

Интегрираният характер на този вид софтуери означава, че една компрометирана идентичност позволява на нападателите лесно да проникнат в множество приложения.

Пробивите в SaaS обикновено започват именно чрез компрометирана идентичност (85%). Другите типове атаки включват:

• Adversary-in-the-middle – AiTM (39%);
• Self-service password reset – SSPR (24%);
• Brute-force атака (14%);
• Push fatigue (MFA fatigue) (13%).

В 84% от инцидентите, анализирани в доклада, MFA не е успяла да спре нападателите.

За да се защитите, трябва да:

• имате цялостен поглед върху всички използвани SaaS приложения и услуги, за да се идентифицират и управляват потенциални уязвимости;
• прилагате контрол на достъпа, базиран на най-малки привилегии. Това ще намали възможността на нападателите да се придвижват в други приложения, след като са получили първоначален достъп;
• създадете система за постоянно наблюдение на SaaS средите, за да се идентифицират бързо уязвимостите и заплахите и да се реагира на тях.

Последен ъпдейт на 23 февруари 2025 в 09:58 ч.

Освен че е непрекъснат процес, а не единичен акт, подсигуряването на киберсигурността на вашия бизнес изисква многопластов подход.

Пример за това са четирите рамки ZTNA (Zero Trust Network Access), SDP (Software Defined Perimeter), SSE (Secure Service Edge) и SASE (Secure Access Service Edge). Всяка една от тях има своите специфични цели и особености, но едновременно с това могат да функционират в съзвучие.

Ето какво представлява всяка една от тези четири рамки:

• ZTNA: Структура за сигурност, която създава логическа граница за достъп. Тя е базирана на идентичност и контекст, изградени около приложение или набор от приложения. Тази рамка за сигурност налага стриктно удостоверяване на автентичността на всеки потребител и устройство, които се опитват да получат достъп. С други думи, логиката на ZTNA е никога не се доверявай, винаги проверявай.
• SDP: Рамка за сигурност, която има за цел да защитава мрежовите ресурси. Тя залага на динамично създаване на сигурни връзки между потребителите и ресурсите, вместо да разчита на традиционен периметър, като например NGFW.
• SSE: Архитектура, която защитава достъпа до уеб, облачни услуги и частни приложения. Това включва контрол на достъпа, защита от заплахи, сигурност на данните, мониторинг на сигурността и контрол на приемливото използване. Те се прилагат чрез мрежова и API-базирана интеграция.
• SASE: Предоставя конвергирана мрежа и възможност за SECaaS, включително SD-WAN, SWG, CASB, NGFW и достъп до ZTNA.

Как се допълват взаимно

ZTNA, SDP, SSE и SASE са различни рамки в сферата на мрежовата сигурност, но всяка от тях надгражда другата. Комбинацията между тях осигурява по-всеобхватен и сигурен достъп до приложения и услуги.

Ето как се случва това:

• ZTNA и SDP: И двете осигуряват проверка на самоличността, както и функции за контрол на достъпа. Те гарантират, че ресурсите, до които потребителите имат достъп, са ограничени само до необходимите за конкретното приложение. ZTNA разширява възможностите на SDP чрез по-фин контрол на достъпа и непрекъснато удостоверяване на автентичността.
• ZTNA и SSE: Внедряването на ZTNA в SSE позволява на организациите да прилагат последователни мерки за сигурност за всички приложения и потребители, независимо от местоположението им.
• SASE: Тази рамка съчетава функционалностите на ZTNA, SDP, SD-WAN и SSE, предоставяйки цялостно решение за сигурност. Опростява внедряването и подобрява работата на потребителите.

Основни ползи за киберсигурността на бизнесите

Съвместното внедряване на ZTNA, SDP, SSE и SASE предлага редица предимства за организациите.

Те включват:

• Повишени нива на защита: Подобрява сигурността на организацията чрез намаляване на повърхността за атака;
• Повишена производителност: Потребителите имат достъп до данни и приложения в движение, без да са зависими от традиционните VPN, които често са бавни;
• Намалена оперативна сложност: Интеграцията на мрежовите възможности и тези за сигурност в една платформа намалява оперативните главоболия на IT отделите.
• Намалени разходи: Този подход елиминира необходимостта от множество продукти за сигурност, като опростява и рационализира мрежовата архитектура. Чрез консолидиране на множество функции в една облачна конзола бизнесите могат да спестят оперативни разходи.
• Възможности и адаптивност: Облачни модели като SASE и SSE позволяват на организациите да подсилват сигурността си според нуждите, в синхрон с операциите в реално време. По този начин те могат да се адаптират своевременно към нови предизвикателства.