Малък и среден бизнес

87% специалисти по сигурността в ново проучване казват, че организацията им се е сблъскала с кибератака, задвижвана от AI, през 2024. Oткриването им все още е предизвикателство – едва 26% от тях изразяват висока увереност в способностите си.

91% от респондентите в SoSafe 2025 Cybercrime Trends очакват значителен ръст на този тип заплахи през следващите три години.

Global Cybersecurity Outlook 2025 пък посочва 223% увеличение на търговията с deepfake инструменти във Dark Web между Q1/2023 г. и Q1/2024.

Сред най-често споменаваните проблеми, които AI може да създаде в ръцете на нападателите, са техниките за замаскиране на атаките (51%). Друг такъв е, че технологията дава възможност за многоканални атаки. Те съчетават електронна поща, SMS, социални медии и платформи за сътрудничество.

AI, разбира се, може да се използва и за защита на бизнесите. Но технологиите са толкова силни, колкото хората, които ги използват. Информираността за киберсигурността е от решаващо значение. Без информирани служители, които могат да разпознават и да реагират на заплахите, дори и най-добрата технология не може да се справи.

Хакерите вече не просто търсят пропуски в традиционната мрежова сигурност. Те активно използват инструментите, на които организациите разчитат за ежедневните си операции.

Това превърна технологиите за отдалечена помощ, които са от съществено значение за IT поддръжката и непрекъсваемостта на бизнеса, в основна мишена. Високите нива на сигурност на платформите за дистанционна помощ вече не въпрос на избор. Те са основно изискване за поддържане на оперативната устойчивост.

Zero Trust идва на помощ

Твърде дълго време сигурността на платформите за отдалечена помощ не се проектираше в тяхната архитектура. Нарастването на броя на сложните киберзаплахи обаче изисква фундаментална промяна в подхода.

Организациите трябва да го преосмислят през призмата на Zero Trust. Те трябва да са сигурни, че всяка сесия, потребител и устройство се проверяват, отговарят на изискванията и се наблюдават, преди да получат достъп.

Това изисква структурирана стратегия, основана на:

• Идентичност и контрол на достъпа – гарантиране, че само проверени, отговарящи на изискванията потребители и устройства могат да инициират или получават отдалечена помощ.
• Сигурност на крайните точки и съответствие – налагане на базови нива на сигурност и стриктно контролиран достъп до всички управлявани устройства.
• Вградена сигурност в отдалечената помощ – вграждане на сигурността в самата основа на инструментите за отдалечена помощ, като се елиминират пропуските, от които могат да се възползват нападателите.

Сигурността на идентичността е крайъгълен камък на всяка сигурна стратегия за отдалечена помощ. Компрометираната самоличност често е първата стъпка в кибератаката. Организациите трябва да наложат:

• Изрична проверка на самоличността – използване на MFA и базиран на риска достъп, за да се гарантира, че само оторизирани потребители получават такъв.
• Достъп с най-малки привилегии – гарантиране, че отдалечената помощ се предоставя само за необходимата продължителност и с минимални привилегии.
• Оценка на риска в реално време – непрекъснато оценяване на заявките за достъп за аномалии или подозрителна дейност.

Като преместват периметъра на сигурността към идентичността, организациите създават среда, в която доверието се печели в реално време, а не се предполага.

Служебните акаунти в Active Directory (AD) са честа мишена за хакери и киберпрестъпници, тъй като разполагат с привилегирован достъп до множество системи. Един компрометиран служебен акаунт може да отвори вратата към цялата корпоративна мрежа и да доведе до сериозно нарушение на сигурността.

Те се делят на три основни типа:

• Локални потребителски акаунти: Те съществуват и действат единствено в рамките на отделна машина. В тази категория попадат системните акаунти, акаунтите за локални услуги и мрежови акаунти. Важна тяхна характеристика е, че нямат достъп до ресурси отвъд границите на локалната машина.
• Домейн потребителски акаунти: Те получават достъп въз основа на членството си в групи и могат да оперират в рамките на целия домейн. Техните права и привилегии могат да бъдат управлявани централизирано.
• Управлявани служеби акаунти (MSA): Специализирани акаунти, които са създадени с конкретна цел – обслужване на определена системна функция или приложение. За разлика от стандартните потребителски акаунти, MSA не могат да се използват за интерактивно влизане в системата. Важно тяхно предимство е автоматичното управление на паролите. Операционната система сама се грижи за периодичната им смяна, което премахва административната тежест и риска от използване на остарели или компрометирани пароли.
• Групово управлявани служебни акаунти (gMSA): Подобни на MSAs, но предназначени за множество сървъри или услуги. Те включват допълнителни функции за сигурност като автоматично управление на паролитe. Предлагат по-високо ниво на защита и гъвкавост.

Служебните акаунти притежават разширен достъп до системи и ресурси и компрометирането им може да доведе до контрол върху мрежата. Те дават достъп до чувствителни данни и могат да бъдат използвани за странично движение в мрежата.

Затова те трябва да бъдат максимално защитени. Ето пет основни практики за постигане на високи нива за сигурност:

1. Следвайте принципа на най-малките привилегии

Служебните акаунти трябва да разполагат само с необходимите разрешения за изпълнение на своите задачи. Това означава:

• прецизно определяйте нужните права за всеки акаунт;
• редовно преглеждайте и ограничавайте излишните привилегии;
• избягвайте добавянето на сервизни акаунти към административни групи;
• използвайте отделни акаунти за различни услуги вместо да споделяте един.

2. Прилагайте многофакторна автентикация (MFA)

Това включва:

• Внедряване на MFA за интерактивни влизания;
• Използване на решения, съвместими със служебни акаунти;
• Защита на административния достъп до управлението на служебните акаунти.

3. Премахвайте неизползваните служебни акаунти

Редовното почистване на неизползвани акаунти е критично за намаляване на възможната повърхност за атака:

• провеждайте редовни одити на всички служебни акаунти;
• идентифицирайте и деактивирайте остарели или ненужни акаунти;
• документирайте целта и собствеността на всеки служебен акаунт;
• установете процес за преглед и деактивиране на акаунти при промени в инфраструктурата.

4. Наблюдавайте активността на служебните акаунти

Мониторингът е ключов елемент за ранното откриване на потенциални заплахи:

• Използвайте вградени инструменти като Event Viewer и Security Log;
• Внедрете специализирани решения за мониторинг;
• Следете за необичайни модели на активност като достъп в нетипично време или от необичайни локации;
• Настройте системите да подават автоматични сигнали при подозрителна активност.

5. Прилагайте стриктни политики за пароли

Дори при автоматизирано управление на паролите в MSAs и gMSA, стриктните политики за пароли остават важни:

• Използвайте сложни и дълги пароли
• Редовно сменяйте комбинациите за стандартните служебни акаунти;
• Използвайте генератори на случайни пароли;
• Внедрете решения за сигурно съхранение на данни.

Защитата на служебните акаунти в Active Directory е от критично значение за цялостната киберсигурност на организацията. Не я пренебрегвайте!

Tри новооткрити критични уязвимости на VMware се използват активно от хакерите. Те позволяват на нападатели с привилегирован достъп до виртуални машини (VM):

• да увеличават привилегиите си;
• да изпълняват код на хипервайзори;
• да изнасят чувствителни данни от паметта.

Уязвимостите, открити от Microsoft Threat Intelligence Center (MSTIC), засягат продуктите VMware ESXi, Workstation, Fusion, Cloud Foundation и Telco Cloud Platform.

Broadcom вече е пуснала пачове за засегнатите продукти:

• ESXi 8.0/7.0: Пачове ESXi80U3d-24585383 и ESXi70U3s-24585291;
• Workstation 17.x: Версия 17.6.3;
• Fusion 13.x: Актуализация 13.6.3.

Организациите, използващи VMware Cloud Foundation или Telco Cloud Platform, трябва да приложат асинхронни пачове или да преминат към фиксирани версии на ESXi.

Съветваме ви:

• незабавно да актуализирате ESXi, Workstation и Fusion;
• да наблюдавате активността на виртуалните машини за необичайни модели за повишаване на привилегиите или достъп до паметта.

Виртуализацията е в основата на критичната инфраструктура. Проактивната защита е от първостепенно значение за сигурността на вашата организация.

 

Пролетта идва, а с нея е време и за четвъртото издание на Security BSides Sofia! Тази година уникалното събитие от обществото специалисти по киберсигурност за обществото специалисти по киберсигурност ще се проведе на 29 и 30 март в Interpred WTC Sofia.

Security BSides Sofia 2025 се отличава с изцяло техническата си насоченост. Всички презентатори са подбрани на база идеите, които искат да споделят. Те са част от събитието си не като представители на компаниите, за които работят, а като част от обществото.

„За разлика от много корпоративни конференции, Security BSides Sofia 2025 се отличава със своя комюнити характер и лесна достъпност. Нашето събитие е с отворен формат, който насърчава участието на всички присъстващи. Те могат да задават въпроси, като по този начин не се ограничават само до пасивното слушане“, акцентират организаторите на форума.

Затова и фокусът на Security BSides Sofia 2025 пада върху практическото знание и реалните казуси, а не върху маркетингови презентации. Конференцията предлага пространство за дискусии по теми, които често остават извън обхвата на традиционните конференции.

„Искаме да съберем на едно място както  професионалисти, така и ентусиасти в областта на киберсигурността, за да споделят знания, опит и нови интересни решения. Идеята на формата е да създаде достъпна платформа за обмен на идеи, представяне на нови технологии и дискусии в сферата на информационната сигурност. Стремим се да изградим силна общност, която насърчава сътрудничеството и развитието на киберсигурността в България и региона“, добавят те.

Програмата на Security BSides Sofia 2025 е разделена на две части – лекционна (29 март) и практическа (30 март), в рамките на която ще се проведат workshop-и. В първият ден на форума на сцената ще излязат лектори от четири различни държави, половината от които българи. Те ще представят основните тенденции в киберсигурността от гледна точка на водещите съвременни технологии – AI, дронове, квантови изчисления и т.н.

Цялата програма на Security BSides Sofia 2025, както и билети за събитието, можете да намерите ТУК.

Партньори на четвъртото издание на форума са CENTIO#Cybersecurity, [UX2.DEV], Commerzbank, ESET и BASELINE Cybersecurity.

Медийни партньори: DEV.BG, DIR.BG, Digitalk, BTV, Kaldata.

 

Атаките през трети страни са се превърнали в основен фактор за финансови загуби от киберинциденти през 2024 г.

Те са в основата на 31% от всички застрахователни искове и 23% от материалните последствия през миналата година. Според компанията за управление на киберрискове Resilience това бележи значителна промяна спрямо 2023. Тя подчертава нарастващата уязвимост, създадена от взаимосвързаните системи и зависимостта от външни доставчици.

Атаките с ransomware, насочени към доставчици, съставляват 42% от исковете към трети страни през 2024. Загубите от тези инциденти нарастват четири пъти в сравнение с предходната година.

Като цяло ransomware запазва позицията си на водеща причина за материални щети за бизнеса през миналата година.

За да се защитят, организациите трябва да:

• спазват стратегията за съхранение на данни 3-2-1: 3 отделни копия на данните, съхранявани на 2 различни места, и 1 копие офлайн;
• са сигурни, че резервните копия работят правилно, което изисква постоянни проверки;
• поддържат всички свои софтуери, особено тези за защита и създаване на резервни копия, актуализирани;
• използват софтуери за киберсигурност;
• въведат стриктен контрол на достъпа до своите системи и хранилищата на резервни копия чрез инструменти за аветентикация и оторизация;
• провеждат постоянно обучения по киберсигурност на служителите си.

Ако сте предводител на армия как ще предпочетете да я изпратите в битка – „въоръжена“ с цялата налична информация за врага или на сляпо? Очевидно е, че първият вариант е по-добър.

Същото е и в киберсигурността. Затова всяка организация трябва да е наясно с основните начини, по които може да бъде пробита от хакерите.

Ето 9 от тях:

1. Социално инженерство: Повече от 90% от атаките започват със социално инженерство. При него нападателите се насочват към хората, а не към техническите системи. С помощта на различни фишинг техники те подмамват потребителите да кликнат върху злонамерени връзки, да споделят пароли или да изтеглят зловреден софтуер.
2. Софтуерни грешки: Слабостите на даден софтуер могат да бъдат използвани от хакерите, за да получат неоторизиран достъп до организацията ви или да поемат контрол над вашите системи. Подобни уязвимости често възникват в резултат на грешки в кодирането, лоши практики за сигурност или остарял софтуер.
3. Authentication attacks: Те са насочени към системи, които се използват за удостоверяване на самоличността на потребителите. Те използват компрометиране на потребителските данни или уязвимости в механизмите за удостоверяване.
4. Злонамерени инструкции/скриптове: Всеки език за програмиране, макроезик или език за автоматизация може да бъде използван за злонамерени цели. Например PowerShell, инструмент, който вече присъства на всички машини с Windows, може да бъде програмиран или инструктиран да прави лоши неща. При този подход нападателите доставят на жертвите зловреден скрипт, използвайки социално инженерство. Ако те кликнат върху него, той компрометира системата им.
5. Злоупотреба с данни: В този случай нападателите умишлено променят или повреждат данни по начин, който води до неправилно тълкуване или поведение на системата. Чрез използване на несъответствия в начина, по който се обработват или валидират данните, нападателите могат да предизвикат претоварване на буфера. Това може да доведе до неоторизиран достъп, срив на системата или други нарушения на сигурността.
6. Човешка грешка или неправилно конфигуриране: Често срещана грешка е даден потребител да иска да изпрати имейл с чувствителни данни на даден получател, а да го изпрати на друг. Това създава сериозна възможност за нарушения на сигурността. Друга често срещана човешка грешка е неправилното конфигуриране или предоставянето на прекалено широки разрешения.
7. Man in the middle атаки: При Man in the middle атаките, нападателите не само прихващат, но и манипулират предаваните данни. При тях информацията изглежда легитимна както за изпращача, така и за получателя. По този начин може да бъде открадната всевъзможна критична информация.
8. Brute force: Този тип атаки използват различни комбинации от входни данни, като например пароли или ключове за криптиране, докато намерят правилната. Слабите или кратките пароли са особено уязвими. Статистиките сочат, че хакерите се нуждаят от едва 37 секунди, за да разбият обикновена осемцифрена парола, използвайки brute force.
9. Вътрешни атаки: Вътрешни атаки се случват, когато доверени служители, бизнес партньори или изпълнители злоупотребяват с достъпа си до системи или данни за злонамерени цели. Това включва кражба на информация, саботаж на системите или умишлено извличане на чувствителни данни. Вътрешните атаки са особено опасни, защото извършителите вече имат достъп и откриването на злонамерените им действия може да бъде трудно.

Очаквайте продължението: „Как да се защитим от най-използваните методи за кибератака срещу бизнеса“.

50% от всички организации имат натрупани уязвимости с висока степен на сериозност, оставени отворени за повече от една година. Над 2/3 (70%) от тях идват от код на трети страни и веригата за доставка на софтуер.

В същото време средното време за отстраняване на уязвимостите в сигурността на софтуерите е нараснало до осем месеца и половина. Според доклада State of Software Security (SoSS) на Veracode това е ръст от 47% за последните пет години.

Ако се направи сравнение с преди 15 години, този скок е още по-умопомрачаващ – 327%. Това до голяма степен се дължи на по-голямото разчитане на код от трети страни и използването на такъв, генериран от AI.

Около 3/4 (74,2%) от всички организации имат някакъв дълг по отношение на сигурността, включително недостатъци с по-ниска степен на сериозност.

Други констатации в доклада включват:

• 56% от приложенията съдържат уязвимости в сигурността с висока степен на сериозност, а 80,3% – някакви недостатъци, били те и по-незначителни;
• 64% от приложенията имат уязвимости в кода на първата страна, докато 70% – в кода на трети страни.

Съветваме организациите да следят постоянно за новооткрити уязвимости и да прилагат пачове в първия възможен момент.

Китайски ботнет с над 130 000 компрометирани устройства атакува бизнес акаунти в Microsoft 365.

Password spraying кампанията е насочена към различни индустрии по цял свят и успява да заобиколи MFA. Тя използва откраднати чрез infostealer идентификационни данни.

Целта на хакерите е получаване на достъп до чувствителни данни, имейли и инструменти за съвместна работа. Те използват компрометираните акаунти и за вътрешни фишинг атаки в рамките на таргетираните организации.

За да не станете жертва на password spraying:

• въведете политики за достъп, базирани на геолокация;
• деактивирайте старите протоколи за удостоверяване като Basic Authentication;
• следете за изтичане на идентификационни данни в криминални форуми и бързо нулирайте компрометираните акаунти.

Последен ъпдейт на 2 март 2025 в 12:27 ч.

В продължение на години стратегиите за сигурност се фокусираха върху три основни области: мрежа, крайни точки и електронна поща. В същото време браузърът, в който се извършва по-голямата част от съвременната работа, е разположен между всички тях. Киберпрестъпниците се адаптираха към това, като насочиха атаките си към него.

Заплахите, базирани на браузъра, манипулират уеб приложенията в реално време, избягвайки засичането им от firewall и EDR решения. Затова екипите по сигурността трябва да преосмислят откриването и реакцията на това ниво.

Нов клас заплахи

Malware Reassembly

Традиционните модели за сигурност са проектирани да откриват и блокират зловреден софтуер, базиран на файлове. Нападателите обаче се отказаха от конвенционалните полезни товари в полза на зловреден софтуер, който динамично се сглобява в браузъра. Тези атаки са практически невидими за инструментите за защита на крайни точки и мрежи.

Хакерите използват JavaScript loader и HTML injection, за да модифицират уеб страници и да сглобяват зловреден код и файлове за изтегляне директно в раздела на браузъра.

Работейки в тази среда, подобни заплахи избягват традиционните механизми за откриване. Това позволява на киберпрестъпниците да превземат сесиите на потребителите, да крадат пълномощия и да компрометират чувствителни данни. Без видимост в реално време за това как уеб страниците и скриптовете работят в браузъра, организациите остават слепи за тези нови техники за атака.

Фишинг и Trusted Site Exploitation

Нападателите постоянно усъвършенстват техниките за фишинг, за да заобиколят автоматизираното откриване. Те използват сложни тактики в няколко стъпки, които включват:

• многократни пренасочвания, за да се избегнат механизмите за откриване и изолиране, базирани на URL;
• насочвани с JavaScript фишинг страници, които динамично генерират злонамерено съдържание при поискване;
• CAPTCHA и контрол на достъпа на базата на сесии, за да се блокират инструментите за сигурност от сканиране на измамни сайтове.

В изследване за сигурността на браузъра на Keep Aware се подчертава, че зашеметяващите 70% от многостъпковите фишинг кампании се представят за приложения на Microsoft – OneDrive или Office 365. Нападателите използват все по-често и надеждни платформи като Google Docs, Dropbox и AWS, за да хостват зловредно съдържание. Това значително затруднява откриването.

Традиционните механизми за защита са неефективни срещу тези тактики и екипите по сигурността се нуждаят от нови модели за откриване. Те трябва да работят в самия браузър, за да наблюдават структурата на страницата и да откриват промени – независимо от URL адреса.

Мъртвата зона в разширенията на браузъра

Разширенията се превърнаха от прости инструменти за продуктивност в дълбоко интегрирани приложения с достъп до почти всичко, което се случва в браузъра. Въпреки нарастващата им сложност, тяхната сигурност остава до голяма степен неконтролирана. Това създава огромна повърхност за атаки от страна на киберпрестъпниците:

• Infostealer и други злонамерени разширения могат да се маскират като легитимни инструменти, докато тихомълком изнасят данни;
• компрометираните акаунти в Chrome Web Store доведоха до масово разпространение на измамни разширения, заобикаляйки стандартните прегледи за сигурност;
• повторното активиране на разширенията и актуализациите на версиите могат да създадат непосредствени рискове за сигурността.

Всичко това подчертава спешната необходимост от мониторинг на разширенията в реално време и интеграцията на автоматизирани инструметни за откриване на заплахи.

Пропастта в сигурността: Защо традиционните инструменти не са достатъчни

Основното предизвикателство в сигурността на браузъра се крие в неговия уникален модел на данните – Document Object Model (DOM). Той управлява начина на визуализиране и манипулиране на уеб страниците, но до голяма степен остава пренебрегнат като вектор за атака.

Инструментите за мрежова сигурност и защита на крайните точки следят трафика и изпълнението на процесите. Браузърът обаче е активна среда, в която съдържанието и скриптовете се променят динамично.

Организациите трябва да възприемат модел за откриване на заплахи в браузъра, като наблюдават поведението на сесиите, моделите на въвеждане на удостоверения и високорисковите взаимодействия в реално време. Контролите трябва да работят отвъд филтрирането на URL адреси, за да включват откриване с отчитане на контекста.

Точно както EDR трансформира сигурността на крайните точки, BDR трябва да се превърне в основен компонент на корпоративната сигурност. Решенията от този клас позволяват телеметрия в реално време, анализ на изпълнението на JavaScript и на заплахи на ниво браузър.

Браузърът като източник на риск за цялата организация

Откриването на заплахите и реагирането са от решаващо значение за сигурността на ниво браузър. Организациите обаче трябва да вземат предвид и по-широките рискове, включително:

• чувствителна информация може да бъде копирана, качена или споделена в рамките на неподлежащи на наблюдение SaaS приложения;
• служителите рутинно използват несанкционирани инструменти и приложения с изкуствен интелект в браузъра, заобикаляйки IT контрола;
• те често споделят поверителни данни в AI чатботове и асистенти, без да разбират последиците за сигурността;
• компрометирани акаунти и злонамерени вътрешни лица могат да изнасят корпоративни данни директно в браузъра.

Тези предизвикателства подчертават нуждата от непрекъсната видимост и превенция на заплахите, които се простират отвъд мрежата, крайните точки и електронната поща. Екипите по сигурността трябва да преосмислят управлението на браузъра, сигурността на данните и контрола на риска от вътрешни лица като част от цялостна стратегия за сигурност на предприятието.

Браузърът вече не е просто инструмент за продуктивност – той е основната повърхност за атака, която нападателите използват, за да заобиколят традиционните защити. Така че не пренебрегвайте този вектор, а го защитете както останалата част от вашата IT инфраструктура.