Най-интересното

Когато става дума за кибератаки, никой не е застрахован. Дори най-големите експерти по киберсигурност.

Последният пример за това дойде миналата седмица. Създателят на Have I Been Pwned Трой Хънт разкри, че е станал жертва на една от най-старите измами в онлайн света – фишинг. Чрез автоматизирана атака, маскирана като известие от доставчика на бюлетини Mailchimp, измамниците са откраднали около 16 000 записа на настоящи и предишни абонати на блога му. Те включват имейл адреси, статуси на абонамент и IP адреси, както и данни за географската ширина и дължина.

Добрата новина е, че Хънт все пак незабавно е успял да разкрие атаката. Той описва случая 34 минути след като е станал жертва.

Какво се случва?

На 25 март Хънт получава фишинг имейл от името на Mailchimp. През платформата той изпраща по електронната поща новите материали от блога си на абонираните читатели. В имейла се твърди, че Mailchimp временно прекъсва услугата му, защото  е получила оплаквания за спам.

Фишинг имейлът е бил с убедителен дизайн и е заплашвал с последствия, ако получателят му не предприеме действия. Но, както казва Хънт, „преди това съм получавал милиарди подобни фишинг имейли, които съм идентифицирал рано“. Този път обаче хакерите успяват.

Едно от нещата, които карат Хънт да се замисли, е, че когато се опитва да влезе в профила си в Mailchimp през фишинг имейла, мениджърът му за пароли не попълва автоматично данните за профила му. Това не е червен флаг за пробив, но е хубаво да се има предвид.

След като осъзнава грешката си, Хънт веднага сменя паролата си и свързва с Mailchimp, за да помогне за изтриването на API ключа на измамника. След това той проверява дали уебсайтът, към който е бил насочен при фишинг атаката, е бил изключен.

Не на последно място, Хънт добавя информацията за пробива в списъка си в сайта Have I Been Pwned (HIBP). Платформата помага на хората да разберат дали са били жертва на нарушение на сигурността на данните.

„Когато разговарям с компании, които са нарушили сигурността на данните, моето послание е кристално ясно: бъдете прозрачни и експедитивни в докладването на инцидента и дайте приоритет на комуникацията с клиентите си“, казва Хънт. „Ако направя нещо по-малко от това, ще бъде лицемерно, включително и по отношение на начина, по който след това обработвам данните от нарушението, а именно добавянето им към HIBP“.

Бъдете внимателни за всякакви опити за фишинг, използващи данните от Have I Been Pwned като примамка.

Нов доклад на Specops установява, че от един милиард компрометираните пароли почти 1/4 отговарят на стандартните изисквания за сложност. И въпреки това престъпниците са успели да ги пробият. От тях 230 милиона са отговаряли на всички изисквания, включително повече от осем знака, една главна буква, специален символ и число.

Има и още много доказателства за уязвимостта на паролите. Според Data Breach Investigations Report 2024 (DBIR) на Verizon откраднатите креденшъли са основният фактор, водещ до нарушения на сигурността на организациите.

Затова не е изненада, че през последните години се появяват все повече алтернативни методи за удостоверяване на автентичността на потребителите.

Ето 7 от тях:

1. Биометрично удостоверяване

Биометричното удостоверяване използва физическите аспекти на дадено лице, за да потвърди самоличността му – пръстови отпечатъци, лицево разпознаване, сканиране на ириса и др. Този метод има очевидни предимства.

Пръстовите отпечатъци например са уникални за даден човек, така че не могат лесно да бъдат имитирани или възпроизведени. Освен това технологията е лесна за използване, като се избягва необходимостта от въвеждане на данни, които лесно могат да бъдат забравени.

Но и този метод не е неуязвим. Deepfake технологията може да се използва за създаване на фалшиви версии на лицето или други биометрични данни. А ако една подобна система бъде компрометирана, не можете просто да възстановите биометричните данни, както бихте направили с парола.

2. Поведенческа биометрия

Подобно на биометричната автентификация, поведенческата биометрия разчита на характеристики, които са уникални за дадено лице. Само че този път това е начинът, по който взаимодействате с въпросното приложение или уебсайт – например как движите мишката или пишете на клавиатурата.

Ползите са очевидни – потребителят не трябва да прави нищо специално, което прави този метод изключително удобен. Освен това се намалява опасността от споделяне на удостоверения, тъй като не можете лесно да споделите ритъма си на писане.

Но той може да се окаже скъп за интеграция и има потенциални опасения относно поверителността на данните в случай на пробив.

3. Blockchain за сигурно съхранение на пароли

Blockchain технологията може да осигури изключително сигурен метод за защита на данните. Тя осигурява защитен метод за разпространение на данни в децентрализирана мрежа. Въпреки това остават въпроси относно възможните разходи за съхраняване на пароли в Blockchain мрежи като Bitcoin или Ethereum.

4. Zero-knowledge proof (ZKP) технология

ZKP доказва истинността на математическо твърдение, без да разкрива допълнителна информация, „която може да е била полезна при намирането му“, отбелязва NIST. Това е криптографски метод, който доказва, че знаете паролата си, без да е необходимо действително да въвеждате данните си. С други думи, можете да докажете кой сте, без да се налага да споделяте лична информация.

Но и този метод има своите предизвикателства. Те включват ресурсните изисквания за обработка на заявките и потенциални проблеми, свързани със сложността.

5. Passphrases

Друга алтернатива на традиционните пароли е използването на Passphrases. За разлика от стандартните пароли, те се състоят от няколко свързани думи. Това създава по-дълъг, но по-лесно запомнящ се метод за удостоверяване.

Например, парола като „PurpleBananaSunsetDancer!“ се запомня по-лесно от произволен низ от букви и цифри, като същевременно осигурява силна защита благодарение на дължината си.

Passphrases са особено ефективни срещу Brute force атаки, тъй като дължината им увеличава експоненциално броя на възможните комбинации. Те обаче продължават да разчитат на входни данни, генерирани от потребителя. Това означава, че могат да бъдат уязвими, ако се използват общи фрази или предсказуеми модели на думи.

6. Passkey

Passkey е устойчива на фишинг алтернатива на паролите, която набира популярност през последните няколко години. Тя използва криптография с публични ключове за удостоверяване на потребителите. Обикновено ключът е свързан с устройство, например телефон или компютър, и може да бъде отключен с помощта на биометрични данни или ПИН код.

Passkey е устойчива на credential stuffing и фишинг атаки. Частният ключ, използван за удостоверяване, се съхранява на сигурно място в устройствата на потребителите и никога не се споделя с уебсайтове и не се предава по интернет. В резултат на това няма креденшъли, които могат да бъдат откраднати при фишинг атаки или пробиви в данните.

Технологията вече се поддържа широко от всички основни платформи, включително Google, Apple и Microsoft.

7. Security keys

Security keys са физически устройства, обикновено USB, NFC или Bluetooth, които най-често се използват за MFA. След като въведат парола, потребителите активират ключа за сигурност или въвеждат ПИН код, за да потвърдят самоличността си.

Security keys са устойчиви на атаки, тъй като изискват не само достъп до физическото устройство, но и до биометричните данни и ПИН.

Най-доброто от двата свята

Много от тези подходи са на разположение от известно време. Въпреки това паролите остават в основата на онлайн сигурността.

Това е така, защото:

• концепцията е утвърдена от десетилетия и е лесна за разбиране от всички;
• можете лесно да промените паролата си, ако се налага;
• паролите са или верни, или грешни – нищо повече, нищо по-малко;

Оптималният подход не е да избирате между пароли и някоя друга форма на автентификация. Вместо това трябва да се възползвате от предимствата на новите технологии, като същевременно запазите удобствата на сегашните.

Aтаките с т.нар. EDR Killers стават все по-разнообразни. Те са предназначени да блокират инструментите за киберсигурност и да позволят безпроблемното изпълнение на ransomware. Това поставя още едно предизвикателство пред бизнеса в киберпространството.

Още повече, че този тип зловредни софтуери рязко увеличават своята популярност. Според Picus Red Report 2024 тяхното използване е скочило със зашеметяващите 333% през миналата година.

Опростените версии на EDR Killers са под формата на скриптове, които се опитват директно да прекратят списъка с процеси. По-сложните отиват отвъд това и използват техниката, известна като Bring Your Own Vulnerable Driver (BYOVD). Те злоупотребяват с легитимни, но уязвими (обикновено по-стари) драйвери, за да получат достъп до ядрото на целевата операционна система.

Тези инструменти все пак могат да бъдат спрени. Точните мерки за превенция и надеждните решения за киберсигурност от опитен доставчик са важна част от това.

Как да се защитим от EDR Killers

Защитата срещу EDR Killers не е лесна задача. Тя изисква подход, насочен преди всичко към превенцията. Освен това организациите се нуждаят от многопластова стратегия, способна да открива зловреден софтуер на няколко етапа от атаката.

Ето няколко компонента на вашата защита, с които трябва да разполагате, според ESET:

• Висококачественият EDR е задължително условие: EDR Killers са усъвършенствани инструменти за атака. Затова решенията за киберсигурност, внедрени в целевата крайна точка, също трябва да са от най-високо ниво. Те трябва да разполагат с възможности за откриване на зловреден код, злоупотребяващ с уязвими драйвери, още преди изпълнението му.
• Нужна е и защита от подправяне: Тя не позволява на неоторизирани потребители да деактивират или променят компонентите или възможностите на дадено решение за сигурност.
• Блокиране на уязвими драйвери: Това може да се постигне чрез строги политики по отношение на потенциално опасни приложения. За да избегнете смущения в работата на системата, трябва да започнете с режим „Detect but don’t clean”. След това добавете изключения, ако е необходимо, и накрая преминете към режим „Detect and clean”.
• Управление на уязвимостите и пачовете: Нападателите могат да се опитат да злоупотребят с уязвим драйвер, който вече е наличен на компрометираната машина, вместо да разчитат на BYOVD. Ето защо наличието на правилно управление на пачовете е друг ефективен метод за защита.
• Засилване на контрола на приложенията: Подобрете защитата си чрез контрол на приложенията. Например чрез Windows Defender Application Control (WDAC), където можете да създадете политика, която позволява зареждането само на избрани драйвери.
• Ограничаване на достъпа до настройките за сигурност на крайните точки: Използването на силна парола за блокиране на тези настройки добавя още едно ниво на защита.

Имайте предвид, че криптирането на файлове и последващото изнудване обикновено са последните етапи на атаката с ransomware. Преди това мрежата е била пробита и нападателят е успял да получи администраторски привилегии. Задачата на защитниците е да открият атаката на ранен етап, за да предотвратят изцяло възможността тя да стигне до финалните си акорди.

Mрежите за киберпрестъпления стават все по-свързани с национални държави и засилват атаките си с помощта на изкуствен интелект.

Това твърди Европол в новия си доклад „2025 EU Serious and Organised Crime Threat Assessment“ – EU-SOCTA. В него се описват подробно заплахите срещу държавите и организациите в ЕС, идващи от организираната престъпност, включително в киберпространството.

Правоприлагащата агенция изтъква няколко тенденции, които поставят сериозни предизвикателства пред индустрията за киберсигурност.

„Хибридни зловредни актьори“ и престъпници формират сенчести съюзи

Една от тези тенденции е появата на т.нар. от Европол „хибридни зловредни актьори“. Те използват мрежи за киберпрестъпления за постигане на политически цели срещу други държави. Според доклада това излага ЕС на риск от дестабилизация.

В същото време технологичен напредък – особено в областта на AI – променя начина, по който се организират, изпълняват и прикриват престъпленията.

„Някои държави предоставят убежище на престъпниците в замяна на техните услуги, като им позволяват да действат свободно, без да се страхуват от съдебно преследване“, се казва в EU-SOCTA. „Това също така позволява на тези държави да отричат прякото си участие. Те възлагат определени престъпления като кибератаки, кампании за дезинформация или дори пране на пари на престъпни мрежи“.

Освен това аутсорсингът на атаки към престъпни мрежи със съществуваща инфраструктура е по-рентабилен подход за „хибридни зловредни актьори“. Престъпните мрежи, от своя страна, получават достъп до „най-съвременни инструменти“. Те могат да се използват извън подкрепяните от национални държави атаки, което се превръща в сериозна заплаха за организациите.

Злоупотреба с GenAI, LLM и Deepfake

Друга тенденция, която Европол изтъква, е засилването на престъпната дейност чрез нововъзникващи технологии, по-специално AI. Агенцията подчертава, че генеративният изкуствен интелект (GenAI) е понижил бариерата за навлизане в киберпрестъпността. Той позволява на хакерите да създават по-ефективни фишинг имейли и да автоматизират мащабни атаки.

„Системите, управлявани от изкуствен интелект – LLM, GenAI и др., стават все по-усъвършенствани и удобни за ползване. Престъпните мрежи все повече използват техните възможности в широк спектър от престъпления“, се посочва в доклада.

Киберпрестъпниците използват AI и за създаване на изключително убедителни deepfake за различни атаки и измами. С помощта на изключително реалистични синтетични медии, те са в състояние да заблуждават жертвите, да се представят за висшестоящи лица и да дискредитират или изнудват целите.

„Добавянето на гласови клонинги и видеофайлове, задвижвани от AI, засилва заплахата. Te дават възможност за нови форми на измама, изнудване и кражба на самоличност“, предупреждават от Европол.

Fileless malware е усъвършенстван тип зловреден софтуер, който компрометира системите, без да съхранява постоянни изпълними файлове в тях. Това е в рязък контраст с традиционния malware. Той разчита на файлове, които лесно могат да бъдат открити от антивирусни решения, базирани на сигнатури.

Освен това Fileless malware умело използва легитимни системни инструменти като PowerShell, Windows Management Instrumentation (WMI) или дори вградени скриптове (например VBA макроси). Той работи изцяло в оперативната памет, оставяйки значително по-малка следа. Това го прави почти неуловим за конвенционалните методи за откриване и подобрява способността му да заобикаля периметровите защити.

Заразяването най-често става чрез техники за социално инженерство, като фишинг имейли с прикачени файлове и връзки. Когато те се активират, задействат изпълнението на скриптове в рамките на доверени процеси.

Стратегии за откриване на Fileless malware

Противодействието на Fileless malware изисква преминаване от конвенционални мерки за сигурност към по-динамични, ориентирани към поведението стратегии. Екипите по сигурността трябва да използват сложни инструменти и техники за ефективното му идентифициране и неутрализиране.

Ето няколко такива, специално проектирани за справяне с неговите отличителни характеристики:

1. Мониторинг на поведението на процесите в реално време и откриване на аномалии: Сканиранията, базирани на сигнатури, не работят. Интегрирайте решения, които наблюдават поведението на процесите в реално време. Внедряването на EDR системи може да подчертае необичайни дейности. Това включва неочаквани команди, стартирани от PowerShell, или необичайни мрежови връзки, които се отклоняват от стандартните системни модели.
2. Задълбочен анализ на паметта: Тъй като Fileless malware работи предимно в паметта, анализът на RAM е от решаващо значение. Анализът в реално време може да разкрие скрит злонамерен код или подозрителни process injection, които остават невидими на диска. Специализираните инструменти могат да помогнат за изолиране и изследване на тези скрити в паметта заплахи.
3. Управление и наблюдение на доверени инструменти: Ограничете използването на често експлоатирани системни инструменти като PowerShell. Това може да се направи чрез политики като списъци на разрешени приложения или контрол на изпълнението на скриптове. Активирайте подробно регистриране за среди, в които тези инструменти са от съществено значение. По този начин можете да одитирате тяхната активност и да откриете потенциални злоупотреби на ранен етап.
4. Анализ на мрежовия трафик: Fileless malware често се свързват с външни C2 сървъри (Command and Control Server). Чрез наблюдение на изходящия мрежов трафик за необичайни модели можете да откриете присъствието му, дори при липса на доказателства, базирани на файлове.
5. Обучение на потребителите и превенция на фишинг: Обучаването на потребителите да забелязват подозрителни връзки и прикачени файлове действа като решаваща първа линия на защита. Допълнете това с филтриране на имейли и sandbox тестване, за да прихванете заплахите преди да достигнат крайните точки.
6. Проактивно укрепване на системата: Минимизирайте повърхността на атака чрез деактивиране на ненужни функции (напр. макроси в Office документи) и приложете принципа на най-малката привилегия. Редовно актуализирайте системите, за да елиминирате уязвимости, които злонамереният софтуер може да експлоатира.

Спам имейлите ежедневно запълват пощенските ни кутии. Много хора ги изтриват, без да се замислят, приемайки, че това е най-добрият начин да се отърват от тях. Експертите по киберсигурност обаче съветват да не се прави това. Вместо да изтривате спам съобщенията веднага, трябва да ги маркирате като нежелани. Това може да подобри способността на вашия доставчик на електронна поща да ги филтрира в бъдеще.

Повечето услуги за електронна поща – Gmail, Outlook, Yahoo и т.н. – използват автоматични филтри за спам, за да отделят важните от нежеланите имейли. Тези филтри обаче разчитат на обратна връзка от потребителите, за да подобрят точността си. Ако просто изтривате спам имейли, без да ги маркирате като нежелани, системата не се учи от това и може да не филтрира подобни съобщения в бъдеще.

Ето как можете да помогнете за подобряване на филтъра за спам на вашата електронна поща:

• маркирайте ръчно нежеланите съобщения като спам, ако се появят във входящата ви поща. Това научава софтуера да разпознава подобни имейли и да ги блокира;
• ако вместо в папката за спам някое съобщение попадне във входящата ви поща, изберете го и го преместете там. Това помага да обучите системата да разпознава подобни заплахи.

Като следвате тези стъпки, не само намалявате спама във входящата си поща, но и допринасяте за подобряване на системата за филтриране за други потребители.

Не се „отписвайте“ от подозрителни имейли

Много спам имейли включват опция за „отписване“, което може да изглежда като лесен начин да спрете да ги получавате. Щракването върху този бутон обаче може да бъде рисковано.

Киберпрестъпниците изпращат милиони имейли на случайни адреси с надеждата да открият активни потребители. Когато щракнете върху „Отписване“, вие потвърждавате, че вашият имейл адрес е валиден и се следи активно. Вместо да спрат, спамърите могат да ви изпратят още повече нежелани имейли. В някои случаи щракването върху връзката може да ви насочи към злонамерени уебсайтове или дори да инсталира вреден софтуер на вашето устройство.

За да сте в безопасност, избягвайте да кликвате върху „отписване“ на имейли от непознати източници. Вместо това ги маркирайте като спам и ги преместете в папката за нежелани съобщения.

Как да се предпазите от спам

Спам имейлите не са само досадни, те могат да бъдат и опасни. Едни съдържат връзки към зловредни уебсайтове, други прикачени файлове, които инсталират зловреден софтуер на вашето устройство.

За да се защитите, следвайте тези прости стъпки:

• Бъдете нащрек: Ако имейлът изглежда подозрителен или изисква лична информация, бъдете предпазливи. Легитимните компании не искат поверителни данни чрез имейл.
• Не действайте прибързано: Измамниците често създават усещане за спешност, като ви притискат да действате бързо. Ако в имейл се твърди, че трябва да предприемете незабавни действия, помислете два пъти, преди да отговорите.
• Не кликвайте върху непознати връзки: Ако имейлът съдържа връзка, избягвайте да кликвате върху нея.
• Избягвайте да отваряте прикачени файлове от непознати изпращачи: Зловредният софтуер може да бъде скрит в прикачени файлове към имейли, включително PDF и ZIP файлове, както и Word документ. Отваряйте прикачени файлове само ако имате доверие на подателя.

Спам имейлите може да изглеждат безобидни, но начинът, по който се справяте с тях, може да повлияе на вашата онлайн сигурност. Вместо да ги изтривате веднага, маркирането им като спам помага на доставчиците на електронна поща да усъвършенстват филтрите си и да блокират подобни съобщения в бъдеще.

Близо 26 милиона устройства с Windows са били компрометирани чрез Infostealer от началото на 2023 до края на 2024. Действителният брой е още по-голям – 20 и 25 милиона през 2024 и между 18 и 22 милиона за 2023.

Само пробивите в Windows групата е довело до изтичане на повече от 2 милиона уникални данни за банкови карти, според ново изследване на Kaspersky. Всяка 14-та такава инфекция е довела до кражба на данни за банкови карти. А те са само част от информацията, която Infostealer са проектирани да крадат.

Организациите трябва проактивно да наблюдават пазарите в Dark Web и да откриват компрометирани акаунти, преди те да засегнат служителите или клиентите им. Но има и други мерки, които трябва да бъдат предприети, ако вече имате съмнения за пробив.

Корпоративни акаунти се делят на три категории:

1. В домейна на Active Directory или административни такива на корпоративни системи.
2. На служители на трети страни.
3. Клиентски.

Категория 1

• проверете за наличието на потребител с посоченото име за вход и стартирайте съществуващите в организацията процедури за разследване и реакция, ако то бъде потвърдено;
• направете антивирусно сканиране на всички потребителски устройства и корпоративни машини, които са засегнати. Трябва да се уверите, че сте премахнали всеки зловреден софтуер, който е открит по време на процеса;
• задължително променете паролата на всички компрометирани акаунти с дълги и сложни комбинации;
• анализирайте дневника за всякакви необичайни дейности, включително неуспешни влизания и опити за увеличаване на потребителските привилегии;
• активирайте MFA във всички корпоративни системи, където това все още не е неправено.

Категория 2

• проверете за наличието на потребител с посоченото име за вход. Той трябва да бъде информиране за пробития акаунт;
• той трябва да извърши пълно антивирусно сканиране на засегнатите устройства, потребителски и корпоративни, като премахне всеки открит зловреден софтуер.

Категория 3:

• проверете дали акаунтът съществува и определете дали принадлежи на клиент или на служител. Засегнатият потребител трябва да бъде информиран за компрометирането;
• задължителна сменете паролата с дълга и сложна комбинация;
• проверете дневниците за неоторизиран достъп или необичайна дейност;
• клиентът трябва да извърши антивирусна проверка на своите устройства и да активира MFA за засегнатото приложение.

Във всички случаи, с изключение на последния, съществуващите платформи за защита на крайни точки са в състояние да откриват, смекчават и премахват Infostealer.

Хакерите вече не просто търсят пропуски в традиционната мрежова сигурност. Те активно използват инструментите, на които организациите разчитат за ежедневните си операции.

Това превърна технологиите за отдалечена помощ, които са от съществено значение за IT поддръжката и непрекъсваемостта на бизнеса, в основна мишена. Високите нива на сигурност на платформите за дистанционна помощ вече не въпрос на избор. Те са основно изискване за поддържане на оперативната устойчивост.

Zero Trust идва на помощ

Твърде дълго време сигурността на платформите за отдалечена помощ не се проектираше в тяхната архитектура. Нарастването на броя на сложните киберзаплахи обаче изисква фундаментална промяна в подхода.

Организациите трябва да го преосмислят през призмата на Zero Trust. Те трябва да са сигурни, че всяка сесия, потребител и устройство се проверяват, отговарят на изискванията и се наблюдават, преди да получат достъп.

Това изисква структурирана стратегия, основана на:

• Идентичност и контрол на достъпа – гарантиране, че само проверени, отговарящи на изискванията потребители и устройства могат да инициират или получават отдалечена помощ.
• Сигурност на крайните точки и съответствие – налагане на базови нива на сигурност и стриктно контролиран достъп до всички управлявани устройства.
• Вградена сигурност в отдалечената помощ – вграждане на сигурността в самата основа на инструментите за отдалечена помощ, като се елиминират пропуските, от които могат да се възползват нападателите.

Сигурността на идентичността е крайъгълен камък на всяка сигурна стратегия за отдалечена помощ. Компрометираната самоличност често е първата стъпка в кибератаката. Организациите трябва да наложат:

• Изрична проверка на самоличността – използване на MFA и базиран на риска достъп, за да се гарантира, че само оторизирани потребители получават такъв.
• Достъп с най-малки привилегии – гарантиране, че отдалечената помощ се предоставя само за необходимата продължителност и с минимални привилегии.
• Оценка на риска в реално време – непрекъснато оценяване на заявките за достъп за аномалии или подозрителна дейност.

Като преместват периметъра на сигурността към идентичността, организациите създават среда, в която доверието се печели в реално време, а не се предполага.

Служебните акаунти в Active Directory (AD) са честа мишена за хакери и киберпрестъпници, тъй като разполагат с привилегирован достъп до множество системи. Един компрометиран служебен акаунт може да отвори вратата към цялата корпоративна мрежа и да доведе до сериозно нарушение на сигурността.

Те се делят на три основни типа:

• Локални потребителски акаунти: Те съществуват и действат единствено в рамките на отделна машина. В тази категория попадат системните акаунти, акаунтите за локални услуги и мрежови акаунти. Важна тяхна характеристика е, че нямат достъп до ресурси отвъд границите на локалната машина.
• Домейн потребителски акаунти: Те получават достъп въз основа на членството си в групи и могат да оперират в рамките на целия домейн. Техните права и привилегии могат да бъдат управлявани централизирано.
• Управлявани служеби акаунти (MSA): Специализирани акаунти, които са създадени с конкретна цел – обслужване на определена системна функция или приложение. За разлика от стандартните потребителски акаунти, MSA не могат да се използват за интерактивно влизане в системата. Важно тяхно предимство е автоматичното управление на паролите. Операционната система сама се грижи за периодичната им смяна, което премахва административната тежест и риска от използване на остарели или компрометирани пароли.
• Групово управлявани служебни акаунти (gMSA): Подобни на MSAs, но предназначени за множество сървъри или услуги. Те включват допълнителни функции за сигурност като автоматично управление на паролитe. Предлагат по-високо ниво на защита и гъвкавост.

Служебните акаунти притежават разширен достъп до системи и ресурси и компрометирането им може да доведе до контрол върху мрежата. Те дават достъп до чувствителни данни и могат да бъдат използвани за странично движение в мрежата.

Затова те трябва да бъдат максимално защитени. Ето пет основни практики за постигане на високи нива за сигурност:

1. Следвайте принципа на най-малките привилегии

Служебните акаунти трябва да разполагат само с необходимите разрешения за изпълнение на своите задачи. Това означава:

• прецизно определяйте нужните права за всеки акаунт;
• редовно преглеждайте и ограничавайте излишните привилегии;
• избягвайте добавянето на сервизни акаунти към административни групи;
• използвайте отделни акаунти за различни услуги вместо да споделяте един.

2. Прилагайте многофакторна автентикация (MFA)

Това включва:

• Внедряване на MFA за интерактивни влизания;
• Използване на решения, съвместими със служебни акаунти;
• Защита на административния достъп до управлението на служебните акаунти.

3. Премахвайте неизползваните служебни акаунти

Редовното почистване на неизползвани акаунти е критично за намаляване на възможната повърхност за атака:

• провеждайте редовни одити на всички служебни акаунти;
• идентифицирайте и деактивирайте остарели или ненужни акаунти;
• документирайте целта и собствеността на всеки служебен акаунт;
• установете процес за преглед и деактивиране на акаунти при промени в инфраструктурата.

4. Наблюдавайте активността на служебните акаунти

Мониторингът е ключов елемент за ранното откриване на потенциални заплахи:

• Използвайте вградени инструменти като Event Viewer и Security Log;
• Внедрете специализирани решения за мониторинг;
• Следете за необичайни модели на активност като достъп в нетипично време или от необичайни локации;
• Настройте системите да подават автоматични сигнали при подозрителна активност.

5. Прилагайте стриктни политики за пароли

Дори при автоматизирано управление на паролите в MSAs и gMSA, стриктните политики за пароли остават важни:

• Използвайте сложни и дълги пароли
• Редовно сменяйте комбинациите за стандартните служебни акаунти;
• Използвайте генератори на случайни пароли;
• Внедрете решения за сигурно съхранение на данни.

Защитата на служебните акаунти в Active Directory е от критично значение за цялостната киберсигурност на организацията. Не я пренебрегвайте!

Броят на Pass-the-Cookie (PTC) атаките се увеличава и подкопава статута MFA като достатъчен за защитата на потребителите и организациите инструмент. Чрез тях киберпрестъпниците „отвличат“ бисквитките на сесиите и получават достъп до чувствителни акаунти.

Този тип атаки са насочени основно към платформи като Microsoft 365, YouTube и финансовите услуги. Те ясно показват, че потребителите и организациите не трябва да разчита единствено на MFA за проверка на самоличността за критични профили .

Бисквитките съхраняват токени за удостоверяване и позволяват безпроблемен достъп без повторно въвеждане на входни данни. Хакерите крадат тези токени чрез зловредни софтуери като LummaC2 или Redline. Те често се разпространяван чрез фишинг кампании, маскирани като софтуерни актуализации или оферти за сътрудничество.

След като бъдат извлечени, бисквитките се използват от нападателите за достъп до акаунти, без да се изискват пароли или MFA.

Защо само MFA не е достатъчно

По подразбиране сесиите на Microsoft 365 например се запазват в предиод от 1 до 24 часа. Други платформи запазват бисквитки за неопределено време, ако потребителите изберат „Запомни това устройство“.

Атакуващите използват това, като ги крадат по време на активни сесии или използват infostealer, за да ги събират от заразени устройства. 72% от PTC атаките, открити от Obsidian Security, са насочени към SaaS приложения, включително такива за електронна поща и облачно съхранение.

Дори „устойчивите на фишинг“ методи за MFA, като например хардуерни ключове, са уязвими, ако потребителите имат достъп до акаунти на незащитени устройства.

Ограничаване на заплахата

Мерките за защита от Pass-the-Cookie атаките включват:

• Съкращаване на продължителността на сесиите: Наложете времеви ограничения (например 15 минути за високорискови приложения) и деактивирайте „постоянните“ бисквитки;
• Защита на бисквитките: Маркирайте „бисквитките“ като „Secure“ и „HttpOnly“, за да предотвратите ексфилтрирането на JavaScript;
• Ключове за достъп: Заменете паролите с FIDO2 (Fast IDentity Online 2) ключове. Те обвързват удостоверяването с конкретни устройства и премахват зависимостите от бисквитките;
• Ограничаване на достъпа до устройства: Използвайте MDM решения, за да блокирате достъпа на неоторизирани устройства;
• Обучение на потребителите: Обучете служителите си да избягват подозрителни връзки и задължително да излизат от сесиите, вместо директно да затварят браузърите.