Киберсигурност

Google засилва мерките си за сигурност на Gmail с усъвършенствания си инструмент за изкуствен интелект – Gemini AI. Интеграцията има за цел да подобри възможностите на платформата за засичане на спам и зловреден софтуер. 

С внедряването на Gemini AI Gmail ще забавя леко доставката на имейли, съдържащи прикачени файлове. Те ще бъдат сканирани в защитена виртуална среда, преди да достигнат до пощенските кутии на потребителите.  

В допълнение към процеса на сканиране потребителите на Gmail ще имат достъп до функции за персонализиране, които подобряват възможностите им за филтриране на електронна поща.  

Gemini AI автоматично ще пренасочва подозрителните имейли към папката за спам, предлагайки допълнително ниво на защита срещу злонамерени атаки. Трябва да имате предвид обаче, че AI понякога може да интерпретира погрешно легитимни имейли. Важни съобщения, като банкови извлечения или напомняния за вноски по кредитни карти могат по невнимание да бъдат маркирани като спам въз основа на техните теми. Прехвърлянето им в основната поща ще изисква намесата на потребителя. 

 

Според ново проучване на CybSafe и National Cybersecurity Alliance (NCA) повече от 1/3 (38%) от служителите споделят чувствителна служебна информация с AI инструменти без разрешението на работодателя си.  

Това поведение е особено силно изразено сред по-младите поколения – около половината (46%) от анкетираните представители на поколението Z и 43% от милениалите признават, че го правят. 

Проучването също така установява, че 52% от респодентите разкриват, че все още не са преминали никакво обучение за безопасно използване на AI. 

Въпреки фрапиращия процент на служителите, които споделят критична информация с AI модели, 2/3 от анкетираните (65%) изразяват загриженост относно киберпрестъпленията, свързани с AI. Повече от половината (52%) смятат, че технологията ще затрудни откриването на измами, а 55% – че тя ще влоши сигурността в интернет. 

Тази статистика е изключително притеснителна, тъй като въвеждането на служебни данни в AI чатбот без подходящи мерки за сигурност може да доведе до сериозни рискове: 

• изтичане на критична информация; 
• злоупотреба с данни; 
• нарушаване на регламенти като GDPR; 
• употребата им за фишинг атаки и социално инженерство. 

Затова компаниите трябва да провеждат постоянни обучения по киберсигурност за служителите си и да въведат ясни процеси и строги правила за работа със служебни данни.  

 

Разработчиците в почти всички организации (83%) използват AI за генериране на код, което притеснява лидерите в областта на киберсигурността. 

Това е един от основните изводи от новото проучване на доставчикът на услуги за управление на машинна идентичност Venafi – Organizations Struggle to Secure AI-Generated and Open Source Code. То показва, че макар 72% от CISO да смятат, че нямат друг избор, освен да позволят използването на AI, 92% от тях имат опасения, свързани с това. 63% дори са обмисляли да забранят използването на технологията в кодирането заради рисковете за сигурността.   

Тъй като развитието на AI и особено на GenAI е изключително бързо, 66% от CISO смятат, че не могат да бъдат в крак с него. Още по-голям брой (78%) са убедени, че генерираният от AI код ще доведе организацията им до проблеми със сигурността. 59% са изключително притеснени.   

Първите три опасения, които най-често се посочват от участниците в проучването, са:   

• разработчиците ще станат прекалено зависими от AI, което ще доведе до понижаване на стандартите;
• кодът, написан с AI, няма да бъде ефективно проверяван за качество;   
• AI ще използва остарели библиотеки с отворен код, които не са добре поддържани.  

Google обяви набор от нови функции за своя браузър Chrome. Актуализациите имат за цел да защитят потребителите от онлайн заплахи, като същевременно предлагат по-голям контрол върху личните данни. 

Подобрената версия на Chrome въвежда усъвършенствана проверка за безопасност и опростено управление на известията.  

В центъра на новите актуализации за сигурност на Chrome е обновената функционалност Safety Check, която вече работи автоматично във фонов режим. Тя отменя разрешенията на сайтове, идентифицирани от Google Safe Browsing като измамни, и маркира потенциално вредни известия.  

На настолни компютри Safety Check ще предупреждава потребителите за потенциално рискови разширения на Chrome и ще ги насочва към обобщаващ панел, където могат лесно да ги управляват или премахват. 

На устройствата Pixel, а скоро и на повече устройства с Android, потребителите вече ще могат да използват бутона „Отписване“ директно в секцията за известия, за да спрат да получават съобщения от определени сайтове. 

  

Хакерите все по-често експлоатират QR кодовете на зарядните станции за електромобили, в комбинация с фишинг тактики, за да крадат пари или да разпространяват зловреден софтуер. 

Известни като куишинг (quishing), този тип кампании се реализират чрез поставяне на фалшиви стикери с QR кодове върху легитимните такива. Когато потребителите ги сканират със смартфоните си, те се пренасочват към злонамерени уебсайтове, имитиращи автентични портали за плащане. 

Освен финансовите загуби, несъзнателното изтегляне на зловреден софтуер може да компрометира личните данни на потребителите и да предостави на хакерите достъп до други техни акаунти. Настоящите quishing атаки са насочени предимно към мобилни устройства, но бъдещите итерации ще могат потенциално да засегнат и самите автомобили. 

За да се предпазите: 

• преди да сканирате QR кодове, огледайте зарядните станции за следи от манипулации; 
• използвайте само официални приложения за зареждане от реномирани доставчици; 
• не въвеждайте информация за плащане в непознати уебсайтове; 
• поддържайте актуализирани операционната система и софтуера за сигурност на мобилното си устройство; 
• докладвайте за всяка подозрителна дейност на оператора на зарядната станция и на властите. 

 

Изкуственият интелект (AI) бързо се превръща от помощен инструмент в автономен участник на полето на киберсигурността, променяйки го из основи, акцентират от анализаторската платформа AI Cyber Insights в своя доклад „AI in Cybersecurity – Q2 2024 Insights”. Но използването на технологията трябва винаги да бъде обвързано с разбирането, че тя все още е в началните си етапи на развитие и идва със своите проблеми на растежа. 

AI дава огромен потенциал за надграждане на инструментите и стратегиите за информационна сигурност в няколко области: 

• подобрява процеса на Threat Modeling – проиграване на хипотетични сценарии и тестове за идентифициране на уязвимости, подпомагане на оценката на риска и предлагане на коригиращи действия; 
• подкрепя SOAR (Security orchestration, automation and response) технологиите, които координират, изпълняват и автоматизират задачите между различни потребители и инструменти в рамките на една платформа; 
• автоматизира сканирането на уязвимости, приоритизира рисковете и прави препоръки за стратегии за отстраняване на грешки. По този начин AI повишава ефективността на процесите за управление на уязвимостите; 
• анализира моделите и езика на комуникация, за да идентифицира опити за социално инженерство – често използвана тактика в кибератаките, като повишава значително възможностите за откриване на фишинг имейли. 

Но AI може да бъде използван и от злонамерени участници – както за създаване на по-сложни и по-унищожителни киберзаплахи, така и за експлоатация на пробойни в самата технология.  

Пример за това е AI червеят (worm) Morris II, създаден от изследователи по сигурността, за да демонстрира уязвимостите на водещи GenAI платформи като ChatGPT и Gemini. Той краде чувствителни данни и разпространява зловреден софтуер в мрежите. Ако подобен инструмент бъде създаден от киберпрестъпници, би представлявал значителен риск за крайните потребители и бизнесите. 

Според компанията за киберсигурност Wiz критични уязвимости може да има и в платформите от типа AI-като-услуга (AI-as-a-service). Replicate, например, може да бъде много полезна, тъй като събира различни големи езикови модели (LLM) с отворен код, но има и един важен недостатък – потенциално излага на риск чувствителни данни на изградените на нея AI модели.  

Самите LLM също имат присъщи уязвимости, известни като Prompt Injection Vulnerability. Те могат да бъдат екплоатирани: 

• директно (jailbreaking) – злонамереният потребител успява да презапише или разкрие основните системни команди и да манипулира поведението на модела; 
• индиректно – LLM приема входни данни, контролирани от нападател, от външни източници като интернет страници или файлове. 

Успешното експлоатиране на Prompt Injection Vulnerability може да доведе както до изтичане на поверителна информация, така и до манипулиране на критични за бизнеса процеси. 

Изводът от тези примери е, че изкуственият интелект е мощно оръжие за защита, но също така може лесно да се превърне в „ахилесова пета“ за организациите. Затова не бързайте, запленени от конкурентните предимства, които обещава той. Интеграцията на инструменти и услуги, базирани на AI, трябва винаги да бъде основана на внимателно проучване на силните и слабите страни на всяка една платформа поотделно. Независимо дали става дума за киберсигурност или други бизнес процеси.    

Финансовите загуби на компаниите при инциденти с киберсигурността растат с всяка изминала година. А много от тях никога не успяват да се възстановят. 

Често – и щетите, и възможността за възстановяване – зависят от наличието на план за реакция при инциденти. Това не е просто документ с етикет: „Отвори в случай на спешност!“. Той трябва да е основна част от стратегията за киберсигурност за всеки един бизнес и да се развива заедно с него и променящата се палитра от заплахи в киберпространството.  

Ето и основните компоненти на една подобна рамка: 

• Подготовка – ключов етап, в който правите оценка на текущата си позиция по отношение на сигурността, идентифицирате потенциалните заплахи и определяте ролите и отговорностите. Той включва и обучението на вашия екип.
• Откриване – в случай на инцидент, първата стъпка е да разпознаете, че нещо не е наред. Това включва наблюдение на системите за необичайна активност и наличие на протоколи, които да определят дали става въпрос само за дребен проблем или за нещо по-сериозно. 
• Ограничаване – след като веднъж сте хванали нарушителя, трябва да можете да предотвратите по-нататъшни щети, като го изолирате в една определена част от системата и отрежете достъпа му до по-широката инфраструктура.  
• Елиминиране на заплахата – следващата стъпка е да елиминирате заплахата. Това може да означава премахване на зловреден софтуер, изключване на компрометираните системи или дори отнемане на достъпа на определени потребители. Целта е да се гарантира, че заплахата е напълно неутрализирана. 
• Възстановяване – когато заплахата е елиминирана, фокусът се премества върху възстановяването на нормалното функциониране. Това може да включва възстановяване на данни от резервни копия, закърпване на уязвимости или възстановяване на системи. Използването на софтуери за одит на съответствието може да помогне за постигането на тези цели. Най-важното тук е да се гарантира, че всичко е сигурно, преди да се възобнови нормалната работа.
• Научени уроци – може би най-важната част от плана е това, което се случва, след като атаката е отбита и системите са възстановени. Задълбоченият преглед на инцидента може да предостави ценни сведения за това какво се е объркало и как да се предотврати повторното му възникване.  

Тази рамка е разработена от SANS Institute, американска компания за информационна сигурност с повече от век история, но тя не е единствена. Например, National Institute of Standards and Technology (NIST), който е част от Министерството на търговията на САЩ, определя четири основни стъпки – подготовка; откриване и анализ; ограничаване, елиминиране на заплахата и възстановяване; дейност след инцидента: 

Двете рамки са идентични, но има една съществена разлика. В стъпка три NIST смята, че ограничаването, елиминирането на заплахата и възстановяването се припокриват – т.е. не трябва да чакате да ограничите всички заплахи, преди да започнете да ги елиминирате. 

В професионалната общност има спор коя от двете основни рамки е по-добра, но всъщност това е въпрос на предпочитания, както и на ресурсите на вашата организация. Най-важното е да не се забравя, че създаването на план за реагиране при инциденти не е единичен акт, а непрекъснат процес, съобразен с постоянно променящата се среда на заплахите. 

А стриктното спазване на стандартизирани практики, като рамките на NIST и SANS Institute, гарантира наистина сигурни процеси при възникване на инциденти. 

Докладваните уязвимости са се увеличили с 43% през първото полугодие на 2024 г. в сравнение със същия период на 2023 г. За да си осигурят първоначален достъп, нападателите са се насочили предимно към пропуски във виртуални частни мрежи (VPN) и други периферни системи. 

Според нов доклад на компанията за киберсигурност Forescout през първите шест месеца на 2024 г. са докладвани общо 23 668 уязвимости, като средно на ден са се появявали по 111 нови. По-голямата част от тях са със средна (39%) или ниска (25%) оценка за сериозност (CVSS), а само 9% са с критична. 

Най-често засегнатите компании са Microsoft (17%), Google (8%), Apple (6%), D-Link (6%), Ivanti (6%), Android (5%) и Cisco (5%).  

Повечето участници в заплахите произхождат от Китай (65), Русия (36) и Иран (21).  

Атаките с ransomware също са се увеличили. През първото полугодие на 2024 г. броят им е нараснал с 6% в сравнение с първите шест месеца на 2023 г., достигайки 3085. Най-активната група на това поле е LockBit, отговорна за 15% от атаките, следвана от Play (6%), RansomHub (6%), Cactus (5%), Akira (5%), Hunters (5%) и BlackBasta (5%). 

Google вдига повече от два пъти максималното възнаграждение за откриване грешки в сигурността на Chrome, докладвани през нейнта Vulnerability Reward Program. Най-голямата награда – за заобикаляне на MiraclePtr (основна технология, подобряваща сигурността на браузъра) – скача от 100 115 USD на 250 128 USD. Сумите ще бъдат по-големи и за други открити грешки в браузъра и дейности по програмата. 

Google категоризира уязвимостите в зависимост от тяхното въздействие и потенциална вреда като такива със: 

• слабо въздействие (нисък потенциал за експлоатиране, слаб контрол от страна на нападателя, нисък риск/потенциал за вреди за потребителите);
• умерено въздействие (умерени предпоставки за експлоатиране, достатъчна степен на контрол от страна на нападателя);
• голямо въздействие (пряк път към експлоатиране, доказуема и значителна вреда за потребителя, възможност за дистанционно експлоатиране и ниски предварителни условия за такова). 

Откакто стартира своята програма през 2010 г., Google е изплатила над 50 млн. USD на изследователи по сигурността, които са докладвали за над 15 000 уязвимости. 

 

 

Балансираният подход – старт с вградени в облачните услуги инструменти и след това добавяне на решения от трети страни за запълване на евентуални пропуски – е най-добрият по отношение на киберсигурността в облака.  

До този извод стига в свой анализ, базиран на дискусия в Cloud Security Podcast, д-р Антон Чувакин, съветник по сигурността в Google Cloud.  

В търсене на отговор на дилемата – инструменти за сигурност, предоставени от доставчиците на облачни услуги (CSP), или независими решения от трети страни – той посочва предимствата на двата варианта. 

Аргументи в полза на независимите инструменти: 

• използването на независими инструменти може да осигури по-обективен поглед върху сигурността и да се избегне потенциален конфликт на интереси при CSP;  
• в контекста на мулти-облачните стратегии, те се възприемат като предлагащи по-унифициран подход към сигурността;
• според някои анализатори специализираните доставчици на решения за сигурност често се считат за по-гъвкави и иновативни. 

Предимства на вградените инструменти:  

• защитниците на този подход вярват, че CSP имат уникален поглед върху своята инфраструктура, което им позволява да създават по-ефективни инструменти за сигурност;
• вградените инструменти се считат за осигуряващи по-добра интеграция с други облачни услуги;
• CSP могат да осигурят защита на новите услуги още при тяхното пускане, което се счита за критично важно в бързо развиващата се облачна среда.

В крайна сметка изборът между вградени инструменти за облачна сигурност и решения от трети страни зависи до голяма степен от специфичните нужди на организациите. Те трябва да имат предвид фактори като използваните облачни платформи, модела на заплахи и регулаторните изисквания.