Киберсигурност

Последен ъпдейт на 26 ноември 2024 в 14:57 ч.

Mалките фирми и стартъпите са изправени пред някои допълнителни предизвикателства, когато става въпрос за киберсигурност. Те не разполагат с необходимия размер или бюджет, за да имат пълноценен специализиран екип по сигурността. В голяма част от случаите за нея отговаря един човек, който няма време да направи всичко нужно. Затова обикновено проблемите се решават само при възникване на необходимост. 

Но когато възникне подобна необходимост, вече е твърде късно. Установено е заразяване, открит е пробив или ransomware вече е криптирал критичните данни. 

Малките организации също така често не се смятат за мишена, но всъщност не е необходимо да сте такава, за да бъдете пробити или заразени.  

Ето осем съвета за заздравяване на киберсигурността на малките фирми и стартъпите, които ще им спестят много потенциални главоболия:  

1. Обучете екипа си

Всеки екип трябва да знае какво се очаква от него и какво да не прави. Направете киберсигурността важен въпрос за всички нива във вашата организация.  

Също така обаче определете лице, което да носи пряка отговорност. Разбира се, трябва да му осигурите времето и инструментите за изпълнение на тази задача. 

Обучението на всички служители трябва да бъде непрестанен процес. Научете ги да разпознават опитите за фишинг и какво могат и не могат да правят на хардуера, предоставен от фирмата.

2. Познавайте оборудването си

Важно е да сте наясно с вашето мрежово оборудване, крайни точки и устройства. Не само за да знаете какво трябва да бъде защитено, но и къде може да има слаби места. 

Обърнете специално внимание на устройствата, които се използват за работа от разстояние. Дайте ясно да се разбере, че смесването на работата и удоволствието на едно и също устройство крие рискове за сигурността. 

Редовно одитирайте средата си, особено ако сте бързо развиващ се малък бизнес. 

3. Инсталирайте пачове и актуализации възможно най-бързо

След като сте установили хардуера и софтуера във вашата среда, трябва да управлявате ефективно пачовете и уязвимостите. Ако нямата специализиран софтуер за това или не можете да възложите задачата на външен изпълнител, следете известните експлоатирани уязвимости. Сайтовете за киберсигурност като FreedomOnline са добър вариант за това. 

4. Подсигурете влизането в служебните платформи

Въведете строга политика за защита на важните ви активи със силни пароли и многофакторна автентификация (MFA). Използването на мениджъри за пароли също е добра идея. 

Критичните файлове и документи трябва да бъдат криптирани или съхранявани в папки, защитени с парола. 

5. Използвайте firewall и VPN

Firewall софтуерите защитават входната точка към мрежата, докато VPN създава криптиран тунел между различните мрежи. И двете защитават вашите ресурси. 

Сегментирайте мрежата си. По този начин тя се разделя на подмрежи, което позволява всеки сегмент да бъде защитен с различен набор от протоколи.

6. Защитете системите си

Уверете се, че всички ваши устройства са защитени с решения за киберсигурност. Логовете трябва да са лесни за обработка и разбираеми, независимо дали се достъпват от вашите собствени служители или тези на доставчика. 

7. Помислете за безопасността на веригата си за доставки

Фирмите трябва да разберат какво е нивото на защита на техните доставчици или други лица с достъп до ресурсите им. Ransomware е заразен, така че ако доставчиците станат жертва, вероятно и вие ще последвате тяхната съдба. Атаките по веригата на доставки могат да дойдат от най-доверения ви партньор и да бъдат катастрофални.  

Установете стандарти за нивата на достъп до активите ви на различните доставчици според техните специфики. 

8. Стратегия за реакция при инциденти

Когато възникне проблем със сигурността въпреки всичките ви усилия, трябва да имате готов план за овладяване и справяне с последствията. 

Уверете се, че разполагате с резервни копия на данните си, които са възможно най-актуални и лесни за внедряване. Създавайте резервни копия в среда, която не може да бъде ударена от същата атака, таргетирала основните ви системи. 

 

Докладът 2023 Threat Horizons на Google Cloud установява, че 86% от пробивите в киберсигурността  включват откраднати идентификационни данни. Впоследствие голяма част от тях се продават в dark web и се превръщат в инструмент за още и още киберпрестъпления. 

Тази статистика още веднъж напомня за ролята, която играят паролите, за високите нива на киберсигурност на потребители и организации. Те трябва да са възможно най-сигурни и трудни за пробиване.  

Ето на какви условия трябва да отговарят, според американските National Institute of Standards and Technology (NIST) и Cybersecurity & Infrastructure Security Agency (CISA):

Уверете се, че всичките ви пароли са достатъчно силни

Според NIST една парола е силна, когато е достатъчно дълга – минимум 15 символа. 64 символа е разумната максимална дължина. Тази поредица трябва да е случайна, със смесица от главни и малки букви, цифри и символи. Също така паролата не трябва да включва части от вашето име или името на услугата, която отключва. 

Експертите от NIST твърдят, че последните анализи на разбити бази данни с пароли показват, че наличието на по-дълга парола е много по-важно от опитите тя да бъде сложна.

Използвайте мениджър на пароли

Средностатистическият потребител има десетки пароли. Никой обаче не може да запомни дори шепа дълги, случайни и уникални такива. Нито пък се налага! Просто инсталирайте мениджър на пароли на всяко устройство. 

Тези софтуери незабавно създават наистина случайни пароли, запазват ги в криптирана база данни и синхронизират всичко на няколко устройства. 

И най-важното – те знаят кои домейни са свързани със запазения набор от идентификационни данни и няма да ги въведат в такъв, който не е оторизиран. 

Никога не използвайте повторно парола

Естествен човешки инстинкт е да имате любим набор от идентификационни данни, които да използвате многократно в различни сайтове. Това улеснява запомнянето, но също така гарантира, че нарушаването на сигурността в един сайт ще даде на нападателите достъп и до други ваши профили. 

Имайте предвид, че просто добавяне на възклицателен знак или число в края на старата парола не се счита за създаване на нова.  

Променете паролите по подразбиране

Един от най-обичайните начини за проникване в домашна или бизнес мрежа е през уязвимости в интерфейса за управление на някое устройство. Това може да бъде Wi-Fi рутер с неговата парола по подразбиране, която често е проста. IP-базираните камери и умните звънци за врати, които се инсталират като част от системата за домашна сигурност, също са възможни входни точки. 

Ако имате подобни свързани устройства в дома си, задължително заменете паролите по подразбиране с по-сигурни. 

Използвайте многофакторно удостоверяване, когато е възможно

Без значение колко силни са паролите ви и колко внимателно се опитвате да ги защитите от компрометиране, това се случва.  

Затова най-ефективната защита е да се гарантира, че никой не може да влезе в акаунтите ви от ново устройство, освен ако не може да предостави втора форма на идентификация. Затова използвайте многофакторно удостоверяване навсякъде, където това е възможно. Особено в услуги с висока стойност като електронна поща, социални медии и банкови сметки. 

Не променяйте паролите си, освен ако не се налага

Експертите са обединени, че постоянната смяна на паролите не е необходима. Всъщност организациите, които изискват от потребителите да променят паролата си без причина, правят мрежите си по-малко сигурни. Тази принуда кара хората в един момент да започнат да избират слаби, лесни за отгатване пароли. Ако сте си свършили добре работата по избора на силна и уникална парола, не е необходимо да я променяте при нормални обстоятелства. 

Свързаната с руските служби група Midnight Blizzard е стартирала нова spear phishing кампания срещу над 100 организации в Европа, Австралия и други региони.  

Тя е базирана на изключително целенасочени имейли и социално инженерство. Те идват от адреси на легитимни организации като Microsoft и AWS, които са били събрани по време на предишни атаки. Някои от тях са свързани със Zero-trust концепцията за киберсигурност.  

Имейлите, разкрити от Microsoft, са съдържали конфигурационен файл на Remote Desktop Protocol (RDP), подписан със сертификат LetsEncrypt. Зловредният прикачен файл съдържа няколко чувствителни настройки, които при активация водят до значително разкриване на информация.  

След като целевата система е компрометирана, тя се свързва с контролиран от нападателя сървър и картографира ресурсите на локалното устройство на таргетирания потребител. Информацията, изпратена към сървъра, може да идва от всички твърди дискове, клипборда, принтерите, свързаните периферни устройства, аудиото, както и функциите и средствата за удостоверяване на операционната система, включително смарт карти.  

За да ограничите риска да станете жертва на тази нова spear-phishing кампания: 

• използвайте Windows Firewall за ограничаване на опитите за изходяща RDP връзка към външни или обществени мрежи; 
• приложете многофакторно удостоверяване (MFA), но избягвайте методите, базирани на телефонно обаждане; 
• използвайте методи за удостоверяване, устойчиви на фишинг, като например FIDO Tokens или Microsoft Authenticator; 
• инвестирайте в усъвършенствани антифишинг решения, които наблюдават входящите имейли и посещаваните уебсайтове.  

Изпълнението на изискванията за съответствие с NIS2 е принудило много организации да пренасочат средства от други области на бизнеса. Според проучване на компанията за киберсигурност Veeam това важи за 95% от засегнатите фирми.

Като цяло 80% от IT бюджетите в Европа вече се разпределят за киберсигурност и съответствие с директивата.

Повече от 1/3 (34%) от предприятията, базирани в региона на ЕМЕА, са пренасочили средства от бюджетите си за управление на риска. 30% са прибегнали до тези за по-широкообхватно набиране на персонал, 29% – за управление на кризи, а 25% – са използвали резервите за спешни случаи.

Докладът установява също така, че 20% от IT ръководителите определят бюджета като значително предизвикателство за постигане на съответствие. 68% от фирмите са успели да си подсигурят необходимото финансиране.

NIS2 предвижда сериозни санкции при неспазване на изискванията, включително индивидуална отговорност на ръководители. Това спомага за отпускането на допълнителни средства.

Стъпките, които правят организациите за постигане на съответствие с NIS2, най-често включват:

• провеждане на IT одити (29%);
• преглед на процесите и най-добрите практики в областта на киберсигурността (29%)
• разработване на нови политики и процедури (28%);
• инвестиране в нови технологии (28%);
• увеличаване на бюджетните средства за киберсигурност (28%).

 

 

Две уязвимости в софтуерa за vGPU на NVIDIA могат да доведат до сериозни пробиви в сигурността. Те засягат всички поддържани хипервайзори и системите с Windows и Linux. 

Първата уязвимост е свързана с драйвера на графичното ядро на vGPU Manager. Тя позволява на атакуващия да се възползва от неправилно валидиране на входните данни. Това потенциално може да доведе до отдалечено изпълнение на код, увеличаване на привилегиите, подправяне на данни, отказ на услуга и разкриване на критична информация.  

Втората уязвимост е открита във Virtual GPU Manager. Тя дава възможност на потенциалния нападател да получи достъп до глобални ресурси, което крие риск от разкриване на информация и увеличаване на привилегиите.  

NVIDIA пусна актуализации, които отстраняват въпросните уязвимости. Съветваме ви възможно най-бързо да изтеглите и инсталирате тези пачове. 

 

Все повече организации осъзнават, че принтерите и копирните машини могат да бъдат слабо място в тяхната киберзащита. Особено в контекста на хибридната работа.  

Проучването Global Print Security Landscape 2024 на Quocirca установява, че през 2024 г. 67% от респондентите са преживели инцидент, свързан със сигурността на копирните машини. През миналата година този процент е бил 61.  

Малките и средните организации са най-застрашени: 

• 3/4 (74%) от тях съобщават за инцидент, свързан със загуба на данни заради принтери;  
• 33% идентифицират личните принтери на служителите като основен риск за сигурността;
• много от тях нямат специализиран IT персонал за управление на принтерната сигурност. 

Списъкът с основните уязвимости е дълъг и разнообразен. На първо място, преминаването към облачни и хибридни решения за печат създава по-сложна и трудна за контролиране среда.  

В същото време много организации използват остарели принтерни системи. Те не получават редовни актуализации за сигурност, нямат вградени съвременни защити и често работят с фабрични настройки. Използването на фабрични настройки означава, че една открита уязвимост може да засегне множество устройства от същия модел. 

Не на последно място, принтерите рядко са включени в системите за мониторинг на сигурността. 

Как да се защитим 

Всичко изброено по-горе ясно показва, че защитата на принтерната инфраструктура е от изключително значение за всяка компания, независимо от нейния размер.  

Затова ви съветваме: 

• криптирайте всички комуникации между устройствата и сървърите; 
• използвайте защитени протоколи като IPSec или SSL/TLS;
• редовно обновявайте сертификатите за сигурност; 
• въведете стриктен контрол на достъпа и силни пароли за всички устройства; 
• имплементирайте многофакторно удостоверяване (комбинация от PIN код, карта за достъп и/или биометрични данни);  
• създайте и поддържайте политика за управление на достъпа;  
• актуализирайте фърмуера на всички устройства веднага след излизане на нова версия и провеждайте месечни проверки за нови уязвимости; 
• ангажирайте външни експерти за годишен одит; 
• поддържайте актуален регистър на всички устройства и техните конфигурации. 

Не забравяйте и самите служители. Те трябва да са обучени как да работят чувствителни документи и да разпознават подозрително поведение на устройствата. Процедурите за докладване на инциденти и безопасно използване на отдалечен печат също са част от задължителните мерки за защита на вашата организация. 

Хакерите са взели на въоръжение инструмента EDRSilencer, който принципно се използва от Red Teams екипите за тестване на сигурността в организациите. Той е способен да се намесва в работата на EDR софтуерите, използвайки платформата за филтриране на трафика в Windows (WFP).  

EDR наблюдават крайни точки като компютри или сървъри за признаци на злонамерена активност. От своя страна EDRSilencer е проектиран да блокира мрежовата комуникация на техните процеси. Ефектът от това действие е значителен, тъй като по този начин се нарушава основната функционалност на EDR системите. Блокирайки комуникацията им, EDRSilencer създава „сляпа зона“ в защитата на организацията. 

За да противодействате на заплахи като тази, препоръчваме прилагането на комплексен подход. Той включва следните ключови стратегии: 

Внедряване на многослойни контроли за сигурност 

• Изолиране на критичните системи и чувствителните данни, за да се ограничи възможността за странично движение на атакуващите в мрежата. 
• Използване на множество нива на контрол за сигурност, включително защитни стени, системи за откриване на нарушения, антивирусен софтуер и EDR решения. Този подход създава резервираност и повишава общата устойчивост на системата. 

Подобряване на сигурността на крайните точки  

• Внедряване на решения за сигурност, които използват поведенчески анализ и откриване на аномалии. Това позволява идентифициране на необичайни дейности, които биха могли да заобиколят традиционните EDR системи.
• Ограничаване на изпълнението само до одобрени приложения, което значително намалява риска от изпълнение на злонамерен софтуер.

Провеждане на непрекъснато наблюдение и активно търсене на заплахи  

• Проактивното търсене на индикатори за компрометиране (IoCs) и APTs в мрежата позволява ранно откриване и предотвратяване на сложни атаки.

Прилагане на строги контроли за достъп  

• Осигуряване на минимално необходимото ниво на достъп за потребители и приложения, за да изпълняват своите функции. Това ограничава потенциалния обхват на щетите при успешна атака. 

 

 

 

 

Българският национален отбор по киберсигурност се класира на 23-то място при второто си участие в European Cybersecurity Challenge (ECSC).

Състезанието с ранг на европейско първенство по киберсигурност се проведе в Торино, Италия, между 8 и 11 октомври. Тази година участваха 31 отбора, като за първи път в него се включиха и гости извън ЕС в лицето на Австралия, Канада, Коста Рика, Косово, Сингапур и САЩ.

„Състезанието беше супер във всеки един аспект. Завършихме на 23-то място, което изобщо не беше според очакванията на всички. Цяла година се готвихме всеки уикенд за това състезание и настройката в мен и в играчите беше да постигнем по-добро класиране от миналото. Втория ден направихме няколко грешки, които ни костваха много точки. Анализирахме защо, но няма връщане назад. Добрата новина е, че всички са супер мотивирани да почнат да се готвят за догодина още от сега“, коментира пред Freedom Online Петър Анастасов, треньор на  Българския Национален Отбор по Киберсигурност..

„Участието в European Cybersecurity Challenge 2024 беше изключително вълнуващо и вдъхновяващо за нас. Отборът е силно мотивиран да постигне още по-големи успехи догодина“, добави и Евгени Събев, член на отбора.

Прочетете повече за каузата на Българския Национален Отбор по Киберсигурност.

На първо място в European Cybersecurity Challenge 2024 се класира Германия, следвана от домакините от Италия и Полша. Топ 5 допълват Дания (4) и Австрия (5).

Но не класирането е най-важното в European Cybersecurity Challenge 2024. Организираният от ENISA форум цели да вдъхнови и подкрепи европейските тийнейджъри да се развиват на полето на киберсигурността и да повиши осведомеността по темата в Европа. А второто поредно участие на българския национален отбор поставя страната ни не само на европейската, но и на световната карта на киберсигурността.

За да бъдат възможно най-добре защитени в киберпространството, потребителите трябва да се грижат за дигиталното си здраве, както за физическото – залагайки на превенцията. Това разбиране обаче не е достатъчно широко припознато и човекът остава най-голямата заплаха за киберсигурността и в ерата на изкуствения интелект.  

Върху това акцентира по време на форума Tech of Tomorrow Константин Веселинов, управител на CENTIO #Cybersecurity. 

По думите му хакерите използват всеки един момент, за да интегрират в инструментариума си най-новите технологии, а немалка част от бизнес ръководителите все още се затрудняват да се ориентират в реалностите на киберпространството. 

„Много често, когато говорим с наши клиенти, те ни казват: Нас не ни касае, на нас досега не ние се е случвало. А аз питам: Откъде знаете, че дори в момента не сте пробити? Така че най-голямата опасност не е изкуственият интелект, а липсата на естествен“, категоричен беше той. „Хората, които взимат решенията, често не са технически подготвени. Тук идва и конфликта между ръководителите и техническите екипи, които пък не са търговци и не могат да обяснят добре защо е нужно да се инвестира в киберсигурност“.  

И статистиката напълно потвърждава казаното от него – според Microsoft средното време, нужно на една компания да разбере, че е пробита, е 183 дни. А с развитието на AI нещата се усложняват. 

Ролята на изкуствения интелект 

Пример за това е случаят отпреди няколко месеца, когато служител на хонконгска компания преведе на нападатели 26 млн. долара. За да си гарантират успеха, те симулират не само телефонно обаждане, но и видеоконферентна връзка с участието на ръководители на компанията. Всичко това с помощта на изкуствен интелект. 

„Само няколко секунди са необходими на генеративните модели, за да възпроизведат говора на човек. С видеото още не са толкова добри, но скоро и това ще стане. В един момент те ще генерират по най-добрия начин и видео, и аудио“, предупреди Константин Веселинов. „В днешно време нещата стават много бързо и много ефективно. С AI могат да се генерират спам и фишинг атаки без никакъв проблем. Вече не е нужно да можете да пишете код, за да създадете вирус, той да бъде дистрибутиран до стотици хиляди и да вземете откуп от някакъв процент от тях“. 

В същото време в България 93% от компаниите са малки и се затрудняват да се възползват от преимуществата, които дава технологията, както го правят хакерите. За да се случи това, те трябва да наемат нови хора с нужната експертиза, което е натоварващо за тях. Затова компании като CENTIO #Cybersecurity използват AI, за да стилизират знанията и уменията на своите екипи, така че да предоставят по-добри услуги за малкия и средния бизнес. 

Човешкият фактор 

Този подход се налага и от огромния дефицит на специалисти – проблем, за който отдавна алармират представителите на индустрията за киберсигурност. И по всичко личи, че това ще остане предизвикателство поне в близкото бъдеще. 

„Понякога ни канят за гост-лектори в различни университети. Там виждаме, че много малък процент от хората имат някаква представа за какво говорим, а става дума за студенти 4 и 5 курс. Много от тях учат киберсигурност, само защото е модерно и се плаща добре“, акцентира управителят на CENTIO #Cybersecurity.  

По думите му „тук-таме има островчета на познание в нашата образователна система, но като цяло тя е твърде консервативна и не откликва адекватно на случващото се“. Това налага частният интерес – в лицето на различни образователни институции извън държавната система – да компенсира липсите, но и това не е достатъчно. 

Все пак Веселин Константинов вижда някаква светлина в тунела – Министерството на образованието обмисля да се въведе дисциплината „Киберсигурност“ в средното образование. А защо това е важно, той обобщи така: 

„Технологиите вървят напред, но в центъра на всичко е човекът. Те могат да бъдат използвани само от добре обучени хора. Хора, които знаят и могат“.   

Европейските екипи по ИТ сигурност са претоварени, недостатъчно финансирани и страдат от липса на достатъчно хора и недостиг на умения. Това са заключенията от проучване на Information Systems Audit and Control Association (ISACA) сред повече от над 1800 нейни членове от региона. 

То разкрива, че 61% от респондентите смятат, че екипът им е недостатъчно обезпечен откъм хора. 19% твърдят, че организацията им разполага с незаети позиции на най-ниско ниво, а 48% казват същото за по-високи длъжности.  

ISACA отчита и пропуски в уменията. Повече от половината (52%) от анкетираните твърдят, че сред днешните специалисти по киберсигурност най-много липсват меки умения.  

Не на последно място, организацията установява, че нивото на стрес сред специалистите по киберсигурност се повишава. Над 2/3 (68%) твърдят, че ролята им сега е по-стресираща в сравнение с преди пет години, а 79% – че това се дължи на все по-сложния пейзаж на заплахите. 41% казват, че се сблъскват с повече кибератаки, отколкото преди година, а 58% – че е вероятно организацията им да преживее такава през следващата година, в сравнение с 52% през 2023 г. 

Около 52% също така твърдят, че бюджетът за киберсигурност на тяхната организация е недостатъчен.