Киберсигурност

Най-голямата компания за преработка на месо в света е била обект на сложна кибератака.

Хак на компютърните мрежи в JBS временно е спрял работата на няколко поделения на компанията в Австралия, Канада и САЩ и е засегнал хиляди работници.

Става дума за рансъмуер атака и поискан откуп. Компанията е разбрала за пробива на 31.05.2021 и веднага е спряла всички засегнати ИТ системи – смята, че резервните сървъри не са били хакнати.

ИТ системите са от съществено значение за съвременните месопреработвателни предприятия, като компютрите се използват на няколко етапа, включително фактуриране и доставка.

JBS е най-големият доставчик на месо в света с повече от 150 завода в 15 страни и 150 хил. служители. Сред клиентите на компанията са множество супермаркети и заведенията за бързо хранене McDonald’s. В САЩ JBS преработва почти 25% от говеждото месо в страната и 20% от свинското месо.

Атаката може да доведе до недостиг на месо или повишаване на цените за потребителите.

Миналият месец доставката на гориво в югоизточната част на САЩ спря за няколко дни, след като рансъмуер атака порази най-големия американски петролопровод.  Colonial Pipeline потвърди, че е платил 4,4 млн. USD откуп на киберпрестъпниците, които разследващите свързват с Русия.

Екипът на Sophos за бързо реагиране (Sophos Rapid Response team) е съставил списък с най-често срещаните погрешни възприятия за киберсигурността. Става дума за грешки на мениджърите / администраторите, с които специалистите от екипа са се сблъскали през последните 12 месеца, докато са неутрализирали и разследвали кибератаки в широк кръг организации.

Десетте най-разпространени заблуди по отношение на киберсигурността, които Sophos опровергава са:

Заблуда 1: Ние не сме цел – твърде малки сме и / или нямаме ценни активи

Контрапункт: Повечето киберпрестъпници търсят лесна плячка и бърза финансова облага – те преследват пропуски в сигурността и погрешни конфигурации, които могат лесно да използват. Ако смятате, че вашата организация не е цел, вероятно не проверявате редовно мрежата си за подозрителна активност и може да пропуснете ранни признаци на кибератака.

Заблуда 2: Нямаме нужда от усъвършенствани технологии за сигурност, инсталирани навсякъде

Контрапункт: Ежедневно се увеличават техниките за атака, които заобикалят или деактивират софтуера за защита на крайните точки. Сървърите вече са цел номер едно за атака и нападателите могат лесно да намерят директен маршрут, използвайки откраднати идентификационни данни за достъп. Всички грешки в конфигурането, пачването или защитата правят сървърите уязвими, включително тези под Linux. Дори нападателите често инсталират задна врата (backdoor) на Linux машини, за да ги използват после като безопасни укрития за достъп до мрежата ви.

Заблуда 3: Имаме непоклатими политики за сигурност

Контрапункт: Да, наличието на политики за сигурност на приложенията и потребителите е много важно. Те обаче трябва да се проверяват и актуализират постоянно, тъй като към устройствата, свързани в мрежата, се добавят непрекъснато нови функции и функционалности.

Заблуда 4: Можем да защитим RDP сървърите от нападатели чрез промяна на портовете, на които се намират, и въвеждане на многофакторно удостоверяване (MFA)

Контрапункт: Сканирането на портове от страна на нападателите ще идентифицира всички отворени услуги, независимо къде точно се намират, така че смяната на портове, само по себе си, предлага малка или никаква защита.

Колкото до въвеждането на MFA, то е важно, но няма да подобри сигурността, ако политиката не бъде приложена за всички служители и устройства.

Заблуда 5: Блокирането на IP адреси от високорискови региони като Русия, Китай и Северна Корея ни предпазва от атаки, идващи от тези географски локации

Контрапункт: Блокирането на IP адреси от определени региони е малко вероятно да навреди, но може да създаде фалшиво усещане за сигурност, ако разчитате само на него за защита. Нападателите хостват своята злонамерена инфраструктура в различни държави, включително САЩ, Холандия и останалата част на Европа.

Заблуда 6: Нашите архиви ни осигуряват имунитет срещу въздействието на рансъмуера

Контрапункт: Поддържането на актуални архиви е от решаващо значение за бизнеса. Ако обаче те са свързани към мрежата, остават в обсега на нападателите и са уязвими на криптиране, изтриване или деактивиране при рансъмуер атака.

Ограничаването на броя на хората с достъп до вашите архиви може да не подобри значително сигурността, тъй като нападателите ще са прекарали време във вашата мрежа, търсейки точно тези хора и техните идентификационни данни за достъп.

По същия начин и съхраняването на резервни копия в облака трябва да се извършва внимателно – при инцидент, разследван от Sophos Rapid Response, е разкрито, че нападателите са изпратили имейл до доставчика на облачни услуги от хакнат акаунт на ИТ администратор и са го помолили да изтрие всички архиви – доставчикът е удовлетвотил молбата!

Стандартната формула за сигурни архиви, които могат да се използват за възстановяване на данни и системи след атака с рансъмуер, е 3:2:1: три копия на всичко, на две различни системи, едната от които е офлайн.

Последна забележка: офлайн резервни копия няма да ви защитят от престъпници, които крадат и заплашват да публикуват вашите данни, дори и да не ги криптират.

Заблуда 7: Нашите служители разбират киберсигурността

Контрапункт: Според The State of Ransomware 2021, 22% от организациите вярват, че ще бъдат засегнати от рансъмуер през следващите 12 месеца, защото е трудно да се спрат крайните потребители да компрометират сигурността.

Тактиките за социално инженерство като фишинг имейли стават все по-трудни за откриване. Съобщенията често са ръчно изработени, точно написани, убедителни и внимателно насочени.

Заблуда 8: Екипите за реагиране при инциденти могат да възстановят данните ми след рансъмуер атака

Контрапункт: Това е много малко вероятно. Днес атакуващите правят много по-малко грешки и процесът на криптиране се е подобрил, така че намирането на вратичка, която може да премахне щетите, се случва изключително рядко.

Заблуда 9: Ако платя откуп ще си получа обратно данните, откраднати при рансъмуер атака

Контрапункт: Според доклада State of Ransomware 2021, организация, която плати откуп, възстановява средно около две трети (65%) от своите данни. Само 8% получават обратно всичките си данни, а 29% възстановяват по-малко от половината.

Освен това връщането на данните е само част от процеса по възстановяване – в повечето случаи рансъмуерът напълно деактивира компютрите и софтуера и системите трябва да бъдат вдигнати от нулата, преди да се стигне до възстановяване на данните. Проучването през 2021 г. показва, че разходите за съвземане на бизнеса са средно десет пъти по-големи от търсения на откуп.

Заблуда 10: Криптирането изчерпва атаката – ако оцелеем, всичко е наред

За съжаление това рядко е така. Чрез криптирането нападателите ви дават да разберете, че са там и какво са направили.

Вероятно те са престояли във вашата мрежа в продължение на дни, ако не и седмици преди пускане на рансъмуера. Те са проучвали, деактивирали или изтривали резервни копия, открили са машини с ценна информация или приложения, които да криптират, премахнали са информация и са инсталирали задни врати… Продължителното присъствие в мрежата на жертвата позволява на нападателите да предприемат втора атака, ако пожелаят.

Как да се справите с организирането на киберсигурността във вашата фирма, прочетете тук:

• Киберсигурност на фирмата: откъде да започнете?
• Десет грешки при защитата на данните, които фирмите не трябва да допускат

Ransomware групите винаги са били находчиви в преследването на печалба. Ако платите откуп и се върнете към обичайната си работа – удрят ви отново. Или не просто криптират системите ви, а първо открадват данните ви – заплашват да ги публикуват, ако не платите.

Последното развитие? Хакерите криптират данните ви двойно: Дори след като платите за ключ за дешифриране, вашите файлове все още могат да останат заключени от друг вид зловреден софтуер.

Препоръка:

Най-добрата защита е превенцията: изисква инвестиции в решения за сигурност, но преди всичко – осъзнаване на мащабите на проблема.

Ако сте станали жертва на ransomware може да сте изкушени да платите, но дали това ще реши проблема или само ще мотивира престъпниците да продължат с изнудването?

Професионалистите в областта на киберсигурността са на мнение, че плащането на откуп трябва да бъде криминализирано.

Protective DNS (PDNS) е услуга, която анализира DNS заявки и предприема действия за ограничаване на заплахите, като използва съществуващия DNS протокол и неговата архитектура. Тя предотвратява достъпа до злонамерен софтуер, рансъмуер, фишинг сайтове, вируси, злонамерени сайтове и шпионски софтуер, и по този начин прави мрежата по-сигурна.

Как работи PDNS

PDNS използва функционалността Response Policy Zone (RPZ). Тя представлява DNS resolver, който връща отговор на DNS заявки на базата на зададени политики. DNS resolver-а проверява както домейна, така и отговарящият му IP адрес срещу динамична база от данни –  в която се съдържат списъци на зловредни сайтове, налични от различни публично достъпни и частни източници. DNS resolver-a може да блокира или прерутира достъпа до такива сайтове на базата на зададеното действие в политиката. Когато PDNS получи злонамерена или подозрителна DNS заявка, той може да отговори по няколко начина:

• Да ограничи достъпа до заявения домейн, като върне NXDOMAIN отговор – това означава, че няма IP адрес за заявения домейн
• Да пренасочи заявката към алтернативна страница с информация, че първоначално заявеният домейн е блокиран
• Да използва т.нар. „sinkhole“ похват за конкретния домейн, като по този начин ще предотврати или забави изпълнението на последваща кибератака (криптиране на машината или свързването й към CnC сървър). Този подход позволява на специалистите по киберсигурност да разследват инциденти, докато заплахата е все още активна в инфраструктурата.

В помощ на киберсигурността

Основната характеристика на PDNS е възможността категоризира домейни въз основа на threat intelligence. Агенцията по киберсигурност и сигурност на инфраструктурата (CISA) и Националната агенция за сигурност (NSA) на САЩ класифицираха категориите домейни, използвани от PDNS, в следните групи :

• Фишинг: Сайтове, за които се знае, че хостват приложения, които злонамерено събират лична или корпоративна информация, включително идентификационни данни. Фишинг домейните могат да включват на пръв поглед сходни или близки като абревиатура имена на легитимни домейни (например go0com). PDNS може да предпази потребителите от случайно/непредизвикано свързване към потенциално злонамерена страница.
• Разпространение на малуер и свързване към CnC: Сайтове, за които е известно, че обслужват злонамерено съдържание или се използват за командване и управление на зловреден софтуер върху машините на жертвите. Те могат да хостват злонамерени JavaScript® файлове или да събират лична информация за профилиране. PDNS може да блокира и предупреждава за опити за злонамерена връзка.
• Алгоритми за генериране на домейни (DGA): Това са сайтове с динамично генерирани имена на домейни, които зловредният софтуер използва, за да заобиколи статичното блокиране от страна на наличните мерки за сигурност. Някои видове злонамерен софтуер, включително ботнет мрежите, зависят изцяло от комуникацията с инфраструктурата за командване и управление (CnC). Злонамерените лица използват алгоритми за генериране на домейни (DGA), за да заобиколят статичното блокиране – на ниво домейн или IP – чрез динамично генериране на имена на домейни. PDNS предлага защита от зловреден софтуер, използващ DGA, като анализира текстовите атрибути на всеки домейн и маркира тези, които са свързани с известни DGA атрибути.
• Филтриране на определено съдържание: Сайтове, чието съдържание е в разрез с политиките ви за достъп: PDNS може да ограничи достъпа до определени категории като хазарт, онлайн игри, социални мрежи и др.

Как PDNS помага

• Блокира нови домейни в реално време, от момента на тяхното регистриране/създаване
• Ограничава броя на потенциалните домейни, които могат да ви атакуват
• Има възможност да ограничи/спре цялата зловредна изходяща DNS комуникация в случай на инфекция със зловреден код
• Осигурява видимост, в реално време и в исторически план, на целия изходящ DNS трафик, което позволява да анализирате настъпили инциденти

Услугата е подходяща за всички

Можете да използвате услугата, какъвто и потребител да сте – работещи в офиса, отдалечено или у дома. За първите два типа, настройката и конфигурирането на позволените политики и категории се извършва от ИТ администратора. За работещите отдалечено е желателно свързването към PDNS да става чрез имплементирането на DoH – това дава възможност да се възползват от защитните механизми, независимо от къде се свързват с Интернет. Домашните потребители сами ще решат дали да се възползват от филтрирането на определени категории и сайтове или ще разчитат само на защитата от зловредни сайтове.

В заключение

Използването на PDNS ви осигурява още едно ниво на сигурност, като същевременно ви предоставя контрол и видимост върху целият DNS трафик. DNS е един от основните инструменти, използвани от злонамерените лица за комуникация, ексфилтрация на данни и т.н. Затова наличието и използването на DNS защита става неразделна част от съвременната киберсигурност. Допълнителна информация ще откриете ТУК и в следващата таблица:

Пандемията от Covid-19 засегна работната сила в почти всеки сектор на икономиката в световен мащаб. Проучване на ISACA и HCL Technologies разкрива какви са предизвикателствата в киберсигурността:

• 61% от анкетираните 3500 ИТ специалисти посочват, че екипите им за киберсигурност не разполагат с достатъчно персонал
• 55% казват, че имат незапълнени позиции
• Според 50% кандидатите за работа в областта на киберсигурността не са достатъчно квалифицирани
• Едва 31% поделят, че ЧР разбира нуждата от наемане на специалисти по киберсигурност

По-слаб екип за киберсигурност = повече допуснати кибератаки

Над 60% процента от анкетираните, които са имали повече кибератаки в миналото, съобщават, че са изпитвали недостиг на персонал или трудности при задържането на квалифицирани специалисти по киберсигурност.

През последната година стана още по-очевидно колко жизненоважна е киберсигурността за осигуряване на непрекъснатост на бизнеса. Компаниите и организациите, които са осъзнали тази нужда, преодоляват проблема с липсата на квалифицирани специалисти по следните начини:

• Обучение на персонал, който не е тясно специализиран, но е заинтересован да работи в сферата на киберсигурността (43%)
• Използване на външно наети служители или компании за киберсигурност (37%)
• Преквалификация на служители (23%)
• Провеждане на регулярни обучения на персонала (22%)
• AI / автоматизация (22%)

Сингапурската фирма Flexxon е изобретила сторидж устройство (наречено X-Phy), което автоматично открива и елиминира заплахи за киберсигурността.

Щом засече нарушение, X-Phy заключва данните и изисква удостоверяване от собственика им, за да разреши отново достъпа до тях.

В сравнение с конвенционалния антивирусен софтуер, който трябва постоянно да се актуализира, устройството използва изкуствен интелект, за да търси малуер. Разработчикът му смята, че нуждата от хардуер за сигурност, който да подпомага съществуващия софтуер за защита се налага, поради непрекъснато нарастващите заплахи за киберсигурността, включително рансъмуер.

Иновацията е в процес на изпитване в държавни агенции и индустриални компании и е възможно да бъде предоставена на потребителите още през 2022 г. Тя може да се използва в принтери, медицински устройства и фотокопирни машини, където не е възможно да се инсталира антивирусен софтуер.

За разработването на X-Phy, Flexxon е получила финансиране от Агенцията за киберсигурност на Сингапур, в рамките на схема за иновации в киберсигурността през 2018 г. Целта на програмата е да помогне за разработването на авангардни продукти, които отговарят на стратегическите нужди на националната киберсигурност, а също така имат потенциално търговско приложение.

Агенцията на Европейския съюз за киберсигурност (ENISA) пусна онлайн инструмент, като допълнение към насоките за обществени поръчки за киберсигурност в болниците.

Той ще помага за идентифициране на добри практики при закупуване на продукти и услуги за постигане на целите на киберсигурността.

Насоките вече са преведени на езиците на всички държави-членки, така че здравните организации да имат пряк достъп до съдържанието им.

Основен акцент е, че киберсигурността трябва да се предвижда през целия жизнен цикъл на обществените поръчки, а ИТ отделите трябва да бъдат изрично включени в дейностите по възлагане.

Съветът на Европейския съюз обяви, че официално е приел нова стратегия за киберсигурност, която да обхване текущото десетилетие (до 2030 г.).

Документът предлага обща рамка за това как да се защитава бизнеса, организациите и гражданите на ЕС от кибератаки и да се насърчават сигурни информационни системи. Също така очертава планове как международното киберпространство да стане „отворено, свободно и сигурно“.

Ключови моменти в новата стратегия са:

• Засилване на способността да се правят автономни избори в областта на киберсигурността
• Финализиране и прилагане на мерките на ЕС за 5G инструменти и за гарантиране на сигурността на 5G мрежите
• Създаване на мрежа от оперативни центрове за сигурност в целия ЕС за подобряване на откриването и предвиждането на заплахи
• Ускоряване приемането на ключови стандарти за интернет сигурност
• Развитие на силно криптиране, като средство за защита на основните права и цифрова сигурност

Двете големи кибератаки от последните месеци, насочени към сървърите на Microsoft Exchange и софтуера за сигурност SolarWinds, потенциално компрометираха хиляди държавни и частни компютърни мрежи.

Затова  Белият дом обединява усилия с частния сектор за увеличаване на киберзащитата в държавата.

За първи път компании от частния сектор са поканени да участват в ключови срещи за националната сигурност с цел да подпомогнат намирането на адекватни решения.

Нуждата от прилагане на спешни мерки се налага и от появата на нов щам на рансъмуер, който използва недостатък в сигурността на сървърите на Microsoft Exchange.

Проведено е уеб-базирано проучване сред 600 киберспециалисти от седем държави и 19 индустрии. Кампанията се е състояла през август 2020 г. Изпълнител е CyberEdge – специализирана в областта на маркетинга на високотехнологични компании. Резултатите могат да бъдат обобщени така:

Отдалечената работа е все по-популярна в компаниите и все по-предпочитана от служителите. Рисковете, които крие тази тенденция вече са познати, а възможностите за минимизирането им – известни. Все повече технологии използват облачни структури. А знанието и последователността се изплащат.

Проучването е в контекста на извънредната ситуация, наложена от COVID-19. В тази обстановка множество компании бяха принудени да разрешат достъп до корпоративната си мрежа на лични устройства на служители. В много компании това е станало без наличие на разработени политики за отдалечена работа. Често не е била осигурена нужната защита и контрол над информацията.

Средният брой на служителите в една компания, които работят от дома, се е увеличил от 24% преди появата на COVID-19 до 50% към август 2020 г.

Основната цел на изследването е да покаже как пандемията е повлияла: бюджетите за ИТ сигурност, персонала, киберрисковете и приоритетите при внедряване на нови решения за киберсигурност. Ето какви са основните наблюдения:

COVID-19 е създал първоначален хаос сред екипите за ИТ сигурност

Трите най-големи предизвикателства пред специалистите са: увеличен обем заплахи и инциденти със сигурността, недостатъчен капацитет за осигуряване на отдалечен достъп (VPN) и увеличени рискове поради неконтролирани устройства.

53% от екипите не са разполагали с достатъчно персонал още преди началото на пандемията. Към момента ситуацията не се е подобрила.

Увеличават се бюджетите за киберсигурност

54% от анкетираните са увеличили оперативните си бюджети за киберсигурност в средата на годината със средно 5%. 64% от организациите планират нарастване от около 7% на разходите за сигурност през 2021 г.

Повишило се е търсенето на решения за киберсигурност, базирани в облака

75% от анкетираните са изразили предпочитание към решенията за киберсигурност, разположени в облачни платформи. Това се дължи на факта, че отдалечената работа и наличието на по-малко ИТ персонал, възпрепятства поддържането на локални решения за сигурност. Трите най-търсени облачни услуги през пандемията са Secure Web Gateway (SWG), Next-generation Firewall (NGFW) и Secure Email Gateway (SEG).

Намалели са разходите за ИТ персонал, ангажиран с киберсигурността

2/3 от компаниите са били принудени временно да намалят разходите: 36% чрез замразяване наемането на нов персонал, 32% – с намаляване на отработените часове и 25% – като прекъснат работа. Само 17% от анкетираните организации са били принудени да съкращават ИТ персонал.

Отчетена е ползата от обучение и сертифициране

78% от специалистите, притежаващи професионални сертификати за киберсигурност, смятат, че това ги е направило по-добре подготвени за справяне с предизвикателства, предизвикани от пандемията. Очаква се компаниите да увеличат бюджетите си за обучение по киберсигурност средно с 6% през 2021 г.

Увеличил се е рискът, който внася работата с трети страни

В резултат на това 43% от компаниите са увеличили инвестициите си в технологии за управление на риска, свързан с трети страни (Third-party Risk Management – TPRM). 77% от тях търсят решения, които да им помогнат за автоматизирането на процеси по менажирането му.

Повишава се сигурността на притежаваните от служителите устройства

59% от компаниите предоставят антивирусен (AV) софтуер за личните устройства на служителите. 52% инвестират в решения за управление на мобилни устройства (MDM). 48% внедряват решения за контрол на достъпа до мрежата (NAC).

ИТ специалистите, ангажирани със сигурността на компанията, се радват да работят от вкъщи

81% от всички анкетирани са щастливи да работят от вкъщи. 48% биха продължили да работят дистанционно на непълно работно време. 33% биха работили от дома на пълен работен ден и след като пандемията бъде преодоляна.