Малък и среден бизнес

През 2024 национални държави и APT групи направиха значителни инвестиции в инфраструктура и автоматизация, за да засилят познатите методи за кибератаки. Единственият начин на организациите да се защитят в тази среда на нарастващи рискове е проактивният подход към киберсигурността.

Ето три основни стъпки, с които можете да изпреварите нападателите:

Подгответе се за нови киберзаплахи

• Опознайте цялата повърхност, която може да бъде атакувана, включително всички потенциални входни точки;
• Прилагайте проактивни мерки за сигурност, които затварят всякакви пропуски и осигуряват постоянна защита;
• Подготовката за нови киберзаплахи включва редовно актуализиране на защитните механизми и обучение на служителите за разпознаване на потенциални атаки.

Разширете Zero Trust подхода до всички свои ресурси

• Zero Trust подходът изисква проверка на всяка заявка за достъп, независимо от това дали идва от вътрешната мрежа или от външни източници;
• Прилагайте MFA за всички акаунти. Това е ключова стъпка за осигуряване на допълнителен слой защита.
• Контролът върху достъпа трябва да обхваща не само служителите, но и партньорите, клиентите и AI идентичностите, взаимодействащи с ресурсите на вашия бизнес.

Използвайте генеративен AI за подобряване на сигурността

• Генеративният AI може да бъде използван за откриване на заплахи в реално време и автоматизиране на отговорите на инциденти;
• Технологията помага за проактивна защита срещу нови и непознати опасности, като анализира големи обеми данни и идентифицира аномалии;
• Внедряването на AI решения за сигурност повишава ефективността на защитните механизми и намалява времето за реакция при инциденти.

Приемането на проактивен подход към киберсигурността е от съществено значение за организациите през 2025 г. и след това. Опознаването на вашите системи, разширяването на Zero Trust контролите и използването на генеративен AI ще направят защитата ви значително по-ефективна.

 

Активна хакерска кампания, свързана с Русия, краде акаунти в Microsoft 365 чрез device code phishing.

Целите са в правителствения и неправителствения сектор, IT услугите и технологиите, отбраната, телекомуникациите, здравеопазването и енергетиката. Кампанията засяга организации в Европа, Северна Америка, Африка и Близкия изток.

Според Microsoft зад нея стои групата Storm-237.

Устройствата, които нямат поддръжка на клавиатура или браузър, като например смарт телевизори и някои IoT, разчитат удостоверяване чрез код. Групата злоупотребява с това, като подвежда потребителите да въвеждат генерирани от нея кодове на легитимни страници за влизане.

За да се защитите:

• наложете стриктни политики за достъп в Microsoft Entra ID, за да се ограничи използването му до доверени устройства или мрежи;
• използвайте регистрационните дневници на Microsoft Entra ID, за да идентифицирате бързо голям брой опити за удостоверяване за кратък период от време.

Едва 14% от лидерите по киберсигурност ефективно подсигуряват данните на организацията си, като същевременно позволяват те да се използват за постигане на бизнес цели.

За 35% от респондентите в скорошно проучване на Gartner защитата на данните е категоричен приоритет. За 21% използването им за постигане на бизнес цели е на първо място. Но само един на всеки седем (14%) може да направи и двете ефективно.

Това разминаване излага организациите на заплахи, регулаторни санкции и оперативна неефективност. Затова Gartner дава 5 препоръки към мениджърите по киберсигурността как да постигнат хармония между високите нива на защита на данните и ефективните бизнес процеси:

1. Създайте добре установен процес за съвместно разработване на политики и стандарти за сигурност на данните. В него трябва да участват както звената за управление на риска и киберсигурността, така и тези с бизнес функции.
2. Съгласувайте усилията, свързани със сигурността и използваемостта на данните. Мениджърите по киберсигурност трябва да си партнират с лидерите на останалите отдели, за да идентифицирате припокриванията.
3. Очертайте неподлежащи на обсъждане изисквания за сигурност, на които трябва да отговарят бизнес групите.
4. Определете предпазни огради на високо ниво около решения, свързани с GenAI. Позволете на бизнес групите да експериментират в рамките на ясно зададени параметри.
5. Работете постоянно съвместно с екипите за управление и анализи на данни. Това ще ви позволи да сте наясно с техните проблеми и изисквания, когато залагате мерките за сигурност.

Новооткрита уязвимост позволява заобикаляне на механизма за удостоверяване в определени версии на приложението SonicOS SSLVPN. Тя засяга firewall-a на операционната система. През нея отдалечен нападател може да отвлече активни SSL VPN сесии и да получи неоторизиран достъп до мрежата на жертвата.

Доставчикът предупреди, че уязвимостта може да се използва активно от киберпрестъпници. Администраторите трябва да надградят фърмуера на защитните си стени на SonicOS, за да се справят с проблема.

Той засяга SonicOS версии 7.1.x (до 7.1.1-7058), 7.1.2-7019 и 8.0.0-8035, работещи в множество модели защитни стени от Gen 6 и Gen 7, както и устройства от серия SOHO.

Пачовете са публикувани в SonicOS версии 8.0.0-8037 и по-нови, 7.0.1-5165 и по-нови, 7.1.3-7015 и по-нови, и 6.5.5.1-6n и по-нови.

 

Секторът на финансовите услуги в Европа трябва да започне да планира прехода си към квантово-безопасна криптография. Рискът от атаки от типа store now, decrypt later (SNDL) нараства, предупреди Европол.

Очаква се след време квантовите компютри да могат да разбият системите с асиметрично криптиране. Понастоящем това е начинът за защита на глобалните финансови транзакции, процесите на удостоверяване и цифровите договори.

Тези машини все още се смятат за отдалечени поне на десетилетие. SNDL атаките обаче скъсяват този график, ако хакерите вече крадат чувствителни данни с цел да ги декриптират по-късно.

Възможно е също така, с вливането на повече средства в областта, научните пробиви да ускорят появата на т. нар. „криптографски значими квантови компютри“ (CRQC).

Европол прави няколко препоръки в своя „Призив за действие“:

• Финансовите институции и създателите на политики трябва да дадат приоритет на прехода към квантово-безопасна криптография;
• Трябва да се подобри координацията между различните заинтересовани страни, включително съгласуване на пътните карти, целите и стратегиите за изпълнение;
• Доброволна рамка, създадена между регулаторните органи и частния сектор, ще бъде достатъчна за стимулиране на инициативи и стандартизация в областта на квантово-сигурната криптография;
• Необходима е ориентирана към бъдещето рамка за управление на криптографията;
• От съществено значение е и повече трансгранично сътрудничество и обмен на знания между органите от публичния и частния сектор.

Финансовите услуги остават популярна цел за участниците в заплахите. Доклад на Contrast Security от миналата седмица разкри, че 64% от банките са преживели атаки през предходната година, като повече от половината (54%) твърдят, че данните им са били унищожени.

Докато чакат появата на CRQC, организациите трябва да използват най-новите стандарти за криптиране заедно с традиционните за известно време, за да изгладят прехода.

54% от глобалните финансови институции са били подложени на кибератаки, при които са били унищожени данни, през миналата година.

Според Modern Bank Heists Report 2025 на Contrast Security това представлява увеличение от 12,5% на т.нар. destructive attacks спрямо 2023. Унищожаването на данни обаче не е насочено само към саботажи и прекъсване на услугите. То се прави и за да се прикрият следи.

Деструктивните варианти на злонамерен софтуер целят да унищожат, нарушат или влошат работата на системите на жертвите. За целта те предприемат действия като криптиране на файлове, изтриване на данни, унищожаване на твърди дискове, прекратяване на връзки или изпълнение на злонамерен код.

Останалите заключения в доклада сочат, че:

• 64% от анкетираните признават, че тяхната институция е била обект на киберинциденти през изминалата година;
• облачните среди и API са двата най-често срещани вектора на атаки;
• за 71% от респондентите Zero day заплахите са най-голямата грижа по отношение на защитата на приложенията и API.

Унищожаването на данни не е единственият проблем, свързан с киберсигурността на финансовия сектор. Около 2/3 от анкетираните заявяват, че нападателите се опитват да откраднат непублична пазарна информация. След това тя се продава с цел борсови манипулации.

Други 48% са регистрирали увеличаване на броя на случаите на превземане на клиентски сметки. 43% пък са претърпели атака от типа island hopping. При нея хакерите използват неоторизиран достъп до банката жертва, за да атакуват нейни клиенти и партньори.

За да се защитят, финансовите институции трябва да:

• наблюдават постоянo API за поведенчески аномалии;
• внедрят ADR, за да блокират атаките в самото начало и улавят уязвимостите в приложенията и API.

 

Netgear обяви, че е отстранила две критични уязвимости, засягащи няколко модела от нейните Wi-Fi рутери. Компанията призова потребителите да актуализират устройствата си до най-новия фърмуер възможно най-скоро.

Пропуските в сигурността засягат множество WiFi 6 точки за достъп (WAX206, WAX214v2 и WAX220) и моделите Nighthawk Pro Gaming рутери (XR1000, XR1000v2, XR500). Потенциални нападатели биха могли да ги използват за отдалечено изпълнение на код при атаки с ниска сложност, които не изискват взаимодействие с потребителя.

Ето списък с всички уязвими модели и версиите на фърмуера с пачове за сигурност:

Vulnerable Netgear router	Patched firmware version
XR1000	Firmware version 1.0.0.74
XR1000v2	Firmware version 1.1.0.22
XR500	Firmware version 2.3.2.134
WAX206	Firmware version 1.0.5.3
WAX220	Firmware version 1.0.5.3
WAX214v2	Firmware version 1.0.2.5

 

За да изтеглите и инсталирате най-новата версия на фърмуера за вашия рутер Netgear:

• посетете сайта за поддръжка на NETGEAR;
• започнете да въвеждате номера на модела си в полето за търсене, след което го изберете от падащото меню веднага щом то се появи;
• ако не виждате падащо меню, уверете се, че сте въвели правилно номера на модела си, или изберете продуктова категория, за да потърсите;
• щракнете върху Downloads.
• в раздела Current Versions изберете първата възможност, чието заглавие започва с Firmware Version;
• изберете Release Notes;
• следвайте инструкциите, за да изтеглите и инсталирате новия фърмуер.

Хакерите все по-често използват облачни платформи като Amazon Web Services (AWS) и Microsoft Azure, за да организират мащабни кибератаки.

Тези платформи, които приемат критична инфраструктура за бизнеси от цял свят, се компрометират чрез различни сложни методи.

Те включват:

• Infrastructure laundering: При него атакуващите използват откраднати или измамни акаунти, за да наемат IP адреси от AWS и Azure. Това дава възможност за провеждане на фишинг кампании, инвестиционни измами и операции по пране на пари.
• Кражба на API ключове: След като хакерите успеят да откраднат легитимни API ключове, те се изпозлват за заобикаляне на контрола за сигурност на организациите и генериране на вредно съдържание чрез официални услуги.
• Неправилни конфигурации на облака: Неправилно конфигурираните ресурси в облака продължават да бъдат значителна уязвимост. Нападателите използват публично достъпни бази данни или слаби политики за сигурност, за да получат достъп до чувствителна информация.
• Advanced Exploitation Techniques: Използвайки командата RunShellScript на Azure или публичните AMI (Amazon Machine Images) на AWS, нападателите получават отдалечен достъп до виртуални машини и извличат чувствителни метаданни или пълномощни.

За да се противопоставят на тези заплахи, организациите трябва да приемат надеждни мерки за сигурност в облака. Това включва:

• внедряване на усъвършенствани инструменти за наблюдение като GuardDuty за AWS или Microsoft Defender за Azure за откриване на подозрителни дейности в реално време;
• засилване на сигурността на API чрез редовна ротация на ключовете и ограничаване на използването им въз основа на IP или времеви периоди;
• редовни одити на конфигурацията на облачните ресурси за откриване на грешки и уязвимости;
• прилагане на Zero trust архитектура с MFA и политики за достъп с най-малки привилегии за допълнителна защита на средата.

Неправилните конфигурации остават „ахилесова пета“ за киберсигурността на организациите – и рутерите са водещи в това отношение.

Според данни от скорошно проучване на Broadband Genie 86% от анкетираните никога не са променяли администраторската парола на рутера си. 52% никога не са променяли фабричните настройки.

Това поставя нападателите в перфектна позиция за компрометиране на корпоративните мрежи. Те няма смисъл да създават сложни фишинг кампании, след като ужким защитените устройства могат да бъдат достъпни с идентификационни данни „admin“ и „password“.

Нарастващи рискове, свързани с рутерите

Рутерите позволяват на множество устройства да използват една и съща интернет връзка. Те постигат тази цел, като насочват трафика – навън и навътре. Ако нападателите успеят да ги компрометират, те могат да контролират както това, което излиза, така и това, което влиза в мрежата ви.

Това води до дълъг списък с рискове:

• пренасочване на потребителите към злонамерени уебстраници;
• провеждане на Man-in-the-middle атаки за кражба на данни;
• провеждане на DDoS атаки като част от по-голяма ботнет мрежа;
• наблюдение на поведението на потребителите с помощта на IoT устройства.

Естеството на рутерните атаки ги прави трудни за откриване. При тях хакерите не се налага да заобиколят инструментите за сигурност. Те се възползват от пренебрегнати слаби места, за да получат директен достъп до тях, без да предизвикват реакция от системата.

Въпреки това сигурността на рутерите се влошава, вместо да се подобрява. Според изследване, цитирано от Security Inteligence, през 2022 48% от анкетираните са заявили, че не са коригирали настройките на рутера си, а 16 % никога не са променяли администраторската си парола. През 2024 над 50% от рутерите все още работят с фабрични настройки, а само 14% са сменили паролата си.

Ограничаване на риска

Изводът е, че много бизнеси инвестират в инструменти за сигурност, но не променят конфигурациите по подразбиране и не актуализират фърмуера на рутерите си. А това е все едно да заключите с пет ключалки вратите си, но да оставите прозорците широко отворени.

За да ограничите риска от кибератака през този вектор, редовно сменяйте паролите, актуализирайте фърмуера и се уверете, че рутерите ви не са оставени на фабрични настройки. Освен това:

• Създайте редовен график за актуализация. На всеки четири до шест месеца насрочвайте преглед на рутерите си. Включете този график в споделен календар и се уверете, че всички служители по сигурността знаят за него. Когато определеният ден настъпи, актуализирайте фърмуера, където е възможно, и променете данните за вход и парола.
• Заложете седмичен график за преглед на трафика на рутерите. Търсете странно поведение или неочаквани заявки за вход.
• Създайте план за реакция при инциденти. Нарастващият брой крайни точки означава, че е само въпрос на време нападателите да успеят да намерят незащитени рутери или да заобиколят съществуващите защити.

Киберпрестъпниците все по-често използват уязвимостите на правителствени уебсайтове, за да провеждат фишинг кампании. Злоупотребата с домейни от първо ниво .gov в множество държави е нарасналa сериозно между ноември 2022 до ноември 2024.

Според ново изследване на Cofense Intelligence правителствени домейни са участвали във фишинг кампании в над 20 държави. Седемте водещи в класацията страни са отговорни за 75% от злоупотребите. Бразилия е начело в списъка, следвана от Колумбия и САЩ.

За да се предпазят от подобни заплахи:

• правителствените агенции трябва да въведат по-строги мерки за киберсигурност;
• организациите трябва редовно да актуализират и поправят софтуерните уязвимости в своите системи;
• бизнесите и потребителите трябва да повишат осведомеността си и да наблегнат на обучението си, за да помогнат за намаляване на рисковете, свързани с фишинг атаки.

Не на последно място, всеки трябва да е изключително внимателен при получаване на неочаквани имейли по чувствителни теми. Дори те да идват от на пръв поглед официални податели от държавната администрация.