Топ новини

Mалките фирми и стартъпите са изправени пред някои допълнителни предизвикателства, когато става въпрос за киберсигурност. Те не разполагат с необходимия размер или бюджет, за да имат пълноценен специализиран екип по сигурността. В голяма част от случаите за нея отговаря един човек, който няма време да направи всичко нужно. Затова обикновено проблемите се решават само при възникване на необходимост. 

Но когато възникне подобна необходимост, вече е твърде късно. Установено е заразяване, открит е пробив или ransomware вече е криптирал критичните данни. 

Малките организации също така често не се смятат за мишена, но всъщност не е необходимо да сте такава, за да бъдете пробити или заразени.  

Ето осем съвета за заздравяване на киберсигурността на малките фирми и стартъпите, които ще им спестят много потенциални главоболия:  

1. Обучете екипа си

Всеки екип трябва да знае какво се очаква от него и какво да не прави. Направете киберсигурността важен въпрос за всички нива във вашата организация.  

Също така обаче определете лице, което да носи пряка отговорност. Разбира се, трябва да му осигурите времето и инструментите за изпълнение на тази задача. 

Обучението на всички служители трябва да бъде непрестанен процес. Научете ги да разпознават опитите за фишинг и какво могат и не могат да правят на хардуера, предоставен от фирмата.

2. Познавайте оборудването си

Важно е да сте наясно с вашето мрежово оборудване, крайни точки и устройства. Не само за да знаете какво трябва да бъде защитено, но и къде може да има слаби места. 

Обърнете специално внимание на устройствата, които се използват за работа от разстояние. Дайте ясно да се разбере, че смесването на работата и удоволствието на едно и също устройство крие рискове за сигурността. 

Редовно одитирайте средата си, особено ако сте бързо развиващ се малък бизнес. 

3. Инсталирайте пачове и актуализации възможно най-бързо

След като сте установили хардуера и софтуера във вашата среда, трябва да управлявате ефективно пачовете и уязвимостите. Ако нямата специализиран софтуер за това или не можете да възложите задачата на външен изпълнител, следете известните експлоатирани уязвимости. Сайтовете за киберсигурност като FreedomOnline са добър вариант за това. 

4. Подсигурете влизането в служебните платформи

Въведете строга политика за защита на важните ви активи със силни пароли и многофакторна автентификация (MFA). Използването на мениджъри за пароли също е добра идея. 

Критичните файлове и документи трябва да бъдат криптирани или съхранявани в папки, защитени с парола. 

5. Използвайте firewall и VPN

Firewall софтуерите защитават входната точка към мрежата, докато VPN създава криптиран тунел между различните мрежи. И двете защитават вашите ресурси. 

Сегментирайте мрежата си. По този начин тя се разделя на подмрежи, което позволява всеки сегмент да бъде защитен с различен набор от протоколи.

6. Защитете системите си

Уверете се, че всички ваши устройства са защитени с решения за киберсигурност. Логовете трябва да са лесни за обработка и разбираеми, независимо дали се достъпват от вашите собствени служители или тези на доставчика. 

7. Помислете за безопасността на веригата си за доставки

Фирмите трябва да разберат какво е нивото на защита на техните доставчици или други лица с достъп до ресурсите им. Ransomware е заразен, така че ако доставчиците станат жертва, вероятно и вие ще последвате тяхната съдба. Атаките по веригата на доставки могат да дойдат от най-доверения ви партньор и да бъдат катастрофални.  

Установете стандарти за нивата на достъп до активите ви на различните доставчици според техните специфики. 

8. Стратегия за реакция при инциденти

Когато възникне проблем със сигурността въпреки всичките ви усилия, трябва да имате готов план за овладяване и справяне с последствията. 

Уверете се, че разполагате с резервни копия на данните си, които са възможно най-актуални и лесни за внедряване. Създавайте резервни копия в среда, която не може да бъде ударена от същата атака, таргетирала основните ви системи. 

 

Откраднати служебни мейли на 306 евродепутати, 44% от всички членове на ЕП, циркулират за продажба из dark web. От тях 161 са придружени и от пароли. А за част от тях се продават още дати на раждане, домашни адреси и акаунти в социални медии – все информация, която може да бъде използвана при последващи фишинг атаки и измами.

Ако си мислите, че е защото са депутати – не е. Просто тази обществена категория е част от проучване на Proton и Constella Intelligence, цитирано от WeLiveSecurity. Иначе такава, а и доста по-чувствителна информация (данни за кредитни карти, снимки, потребителски имена и пароли и т.н.),  циркулира като стока в Dark Web.

Как става така, че близо половината евродепутати са жертви?  

Отговорът е по-прост и по-тревожен, отколкото си мислите. Много от засегнатите политици са регистрирали онлайн акаунти в различни сайтове със служебните си мейли (не го правете и вие). Впоследствие тези услуги са хакнати, базите данни с потребителите им – източени и пуснати за продажба в Dark Web.

Нещо важно: подобен проблем може и се случва на всеки – дори когато прави всичко правилно. И то се случва често. 

Вижте дали ваши акаунти не са компрометирани в различни профили. 

Dark web процъфтява

Dark web не е незаконен и не се обитава само от киберпрестъпници. Този термин просто описва части от интернет, които не се индексират от традиционните търсачки. Това е място, където потребителите могат да се сърфират анонимно с помощта на браузъра Tor. 

Въпреки това е вярно и твърдението, че днешната икономика на киберпрестъпността е изградена върху процъфтяващия dark web. Именно в тази част на интернет се помещават огромната част от нелегалните тържища на крадени данни. Причината: киберпрестъпниците разчитат на привидната анонимност, която получават.

Сайтовете в dark web подпомагат престъпна икономика на стойност трилиони долари. Те позволяват на престъпниците да купуват и продават откраднати данни, инструменти за хакерство, ръководства  за хакове, зловредни инструменти под наем и т.н.

Въпреки успешните акции от страна на правоприлагащите органи, тези пазари успяват да се адаптират. Нови платформи постоянно запълват празнините, оставени от вече ликвидираните. 

Как моите данни могат да се озовават в dark web?

Най-просто казано:

• Проблеми със сигурността на сайтове и магазини, които сте ползвали. 

• Фишинг атаки. Легитимно изглеждащ имейл, директно съобщение, текст или WhatsApp комуникация съдържа връзка, която може да инсталира зловреден софтуер за кражба на информация или да ви подведе да въведете лични или входни данни; 

• Credential stuffing. Компрометиранe чрез brute force атака, при която хакерите отгатват паролата ви или използват предварително нарушени входни данни в други сайтове. След като влязат в акаунта ви, те крадат личната информация, съхранявана там, за да я продадат или използват. 

• Чрез зловреден софтуер за кражба на информация, който може да бъде скрит в легитимно изглеждащи приложения и файлове за изтегляне (например пиратски филми/игри), прикачени фишинг файлове, злонамерени реклами и др. 

Какви са последиците

Както и да се сдобият хакерите с вашите данни, след като бъдат споделени в dark web, те могат да се озоват в ръцете на други зловредни групи. В зависимост от техния вид, те могат да бъдат използвани за: 

• кражба на пари от онлайн банкирането ви;
• пазаруване с кредитните ви карти;
• изготвяне на по-убедителни фишинг съобщения срещу вас; 
• кражба на имейл акаунти или профили в социалните мрежи, за да се изпраща спам със злонамерени връзки към приятелите и контактите ви; 
• измами с лични данни – откриване на нови кредитни линии на ваше име, изготвяне на фалшиви данъчни декларации и т.н. 

Как да проверя дали не съм жертва?

Ако сте регистрирани в услуга за защита на самоличността или за наблюдение на dark web, тя трябва да алармира за всички лични или други данни, които открива там. Технологичните компании, включително Google и Mozilla, също ще ви предупредят, когато дадена запазена парола е била компрометирана при нарушение на сигурността. 

Като алтернатива можете да посетите проактивно сайт като HaveIBeenPwned. Подобни платформи съставят големи списъци с нарушени имейл адреси и пароли. 

Какво да направя, ако данните ми са били откраднати?

Ако откриете, че данните ви са били разкрити и се търгуват в dark web: 

• променете всичките си пароли, особено засегнатите, със силни, уникални идентификационни данни; 
• използвайте мениджър на пароли, за да съхранявате запаметените си пароли и фрази; 
• включете двуфакторна автентификация (2FA) за всички акаунти, които я предлагат; 
• уведомете компетентните органи (правоприлагащи органи, платформа на социална медия и др.) 
• уверете се, че на всички ваши компютри и устройства е инсталиран софтуер за сигурност от надежден доставчик; 
• замразете банковите си сметки (ако е приложимо) и поискайте нови карти. Наблюдавайте ги за всякакви необичайни трансакции; 
• обърнете внимание на други необичайни действия в акаунтите си, като например невъзможност за влизане, промени в настройките за сигурност, съобщения/актуализации от акаунти, които не разпознавате, или влизания от странни места и в странно време. 

За да минимизирате възможността въобще да станете жертва: 

• бъдете изключително предпазливи при споделянето на информация онлайн; 
• преразгледайте настройките за сигурност на профилите си в социалните мрежи; 
• никога не отговаряйте на неочаквани имейли, съобщения или обаждания, които ви приканват да предприемате някакви действия, без да сте обмислили добре; 
• използвайте силни и уникални пароли за всички акаунти и активирайте многофакторна автентификация за допълнителна защита; 
• инвестирайте в услуга за наблюдение на dark web, която ще ви предупреди за новооткрити лични данни в нея. 

Днес, 17 октомври, изтича срокът за превръщане на Директива NIS2 в национално законодателство. Oганите на държавите членки вече могат да подвеждат под лична отговорност ръководителите на организациите, ако след киберинцидент се докаже груба небрежност.

Директивата категоризира критичните сектори като „съществени“ и „важни“ въз основа на размера и значението им за националната и европейска икономика. Всяко нарушение на нейните изисквания може да струва на „съществените“ организации до 10 милиона евро или 2% от световните годишни приходи. Максималната санкция за тези, определение като „важни“, е до 7 милиона евро или 1,4% от световните годишни приходи.

NIS2 задължава правоприлагащите агенции в държавите членки на ЕС да извършват проверки на сигурността, да издават предупреждения за нарушения и да докладват за инциденти в рамките на 24 часа. От националните екипи за спешно реагиране в областта на киберсигурността се изисква да споделят информация за киберзаплахи, уязвимости и пробиви.

Срокът за транспониране на директивата беше определен преди година от ЕП с цел страните членки да имат общи, пропорционални на рисковете и заплахите мерки за киберсигурност. Но приемането на нужното законодателство върви на различни скорости. Страните „отличници“ са  едва 6 – Белгия, Гърция, Унгария, Хърватска, Литва и Латвия.

България този път е в една група с европейските лидери Франция, Германия и Италия, но не като добър пример. Страната ни изостава с приемането на необходимата правна рамка. Въпреки че публичното обсъждане на новия ни Закон за киберсигурност приключи още в началото на август, той все още не е попаднал в дневния ред на парламента.

Очаква се към този закон да се появи и нова версия на Наредба за минимални изисквания за мрежова и информационна сигурност. В нея трябва да бъдат заложени конкретните мерки, които всяка организация в обхвата на NIS2 трябва да въведе.

Ясна перспектива кога ще се случи това няма, но липсата на национално законодателство не е основание да се избегнат евентуални санкции.

 

Общо 293 312 сигнала за онлайн злоупотреби над деца е обработил от януари насам подкрепяният от CENTIO #Cybersecurity „Национален център за безопасен интернет“. Това е пет пъти повече от цялата 2023 г.

Сред сигналите на Горещата линия са такива за разпространение на снимки и видеа със сексуално съдържание с деца, сексуално изнудване и експлоатация. 99% са за престъпления спрямо момичета и 1% – спрямо момчета. Най-потърпевши са деца на възраст 10-14 години.

Националният център отчита увеличение и в обажданията от родители, деца и тийнеджъри на Консултативната линия 124 123. Повечето от тях (58%) са от родители и възрастни, а 42% – от тийнеджъри и деца. Най-честите запитвания са за съвет при откраднати профили, онлайн тормоз и хакване на други приложения в телефона.

Мeстата в интернет, където най-често възниква проблем, са социалните мрежи – 72% и приложения за чат комуникация – 17%. Онлайн престъпниците стават все по-изобретателни и все по-често подмамват децата и през платформите за онлайн игри – 10%.

Българският национален отбор по киберсигурност се класира на 23-то място при второто си участие в European Cybersecurity Challenge (ECSC).

Състезанието с ранг на европейско първенство по киберсигурност се проведе в Торино, Италия, между 8 и 11 октомври. Тази година участваха 31 отбора, като за първи път в него се включиха и гости извън ЕС в лицето на Австралия, Канада, Коста Рика, Косово, Сингапур и САЩ.

„Състезанието беше супер във всеки един аспект. Завършихме на 23-то място, което изобщо не беше според очакванията на всички. Цяла година се готвихме всеки уикенд за това състезание и настройката в мен и в играчите беше да постигнем по-добро класиране от миналото. Втория ден направихме няколко грешки, които ни костваха много точки. Анализирахме защо, но няма връщане назад. Добрата новина е, че всички са супер мотивирани да почнат да се готвят за догодина още от сега“, коментира пред Freedom Online Петър Анастасов, треньор на  Българския Национален Отбор по Киберсигурност..

„Участието в European Cybersecurity Challenge 2024 беше изключително вълнуващо и вдъхновяващо за нас. Отборът е силно мотивиран да постигне още по-големи успехи догодина“, добави и Евгени Събев, член на отбора.

Прочетете повече за каузата на Българския Национален Отбор по Киберсигурност.

На първо място в European Cybersecurity Challenge 2024 се класира Германия, следвана от домакините от Италия и Полша. Топ 5 допълват Дания (4) и Австрия (5).

Но не класирането е най-важното в European Cybersecurity Challenge 2024. Организираният от ENISA форум цели да вдъхнови и подкрепи европейските тийнейджъри да се развиват на полето на киберсигурността и да повиши осведомеността по темата в Европа. А второто поредно участие на българския национален отбор поставя страната ни не само на европейската, но и на световната карта на киберсигурността.

За да бъдат възможно най-добре защитени в киберпространството, потребителите трябва да се грижат за дигиталното си здраве, както за физическото – залагайки на превенцията. Това разбиране обаче не е достатъчно широко припознато и човекът остава най-голямата заплаха за киберсигурността и в ерата на изкуствения интелект.  

Върху това акцентира по време на форума Tech of Tomorrow Константин Веселинов, управител на CENTIO #Cybersecurity. 

По думите му хакерите използват всеки един момент, за да интегрират в инструментариума си най-новите технологии, а немалка част от бизнес ръководителите все още се затрудняват да се ориентират в реалностите на киберпространството. 

„Много често, когато говорим с наши клиенти, те ни казват: Нас не ни касае, на нас досега не ние се е случвало. А аз питам: Откъде знаете, че дори в момента не сте пробити? Така че най-голямата опасност не е изкуственият интелект, а липсата на естествен“, категоричен беше той. „Хората, които взимат решенията, често не са технически подготвени. Тук идва и конфликта между ръководителите и техническите екипи, които пък не са търговци и не могат да обяснят добре защо е нужно да се инвестира в киберсигурност“.  

И статистиката напълно потвърждава казаното от него – според Microsoft средното време, нужно на една компания да разбере, че е пробита, е 183 дни. А с развитието на AI нещата се усложняват. 

Ролята на изкуствения интелект 

Пример за това е случаят отпреди няколко месеца, когато служител на хонконгска компания преведе на нападатели 26 млн. долара. За да си гарантират успеха, те симулират не само телефонно обаждане, но и видеоконферентна връзка с участието на ръководители на компанията. Всичко това с помощта на изкуствен интелект. 

„Само няколко секунди са необходими на генеративните модели, за да възпроизведат говора на човек. С видеото още не са толкова добри, но скоро и това ще стане. В един момент те ще генерират по най-добрия начин и видео, и аудио“, предупреди Константин Веселинов. „В днешно време нещата стават много бързо и много ефективно. С AI могат да се генерират спам и фишинг атаки без никакъв проблем. Вече не е нужно да можете да пишете код, за да създадете вирус, той да бъде дистрибутиран до стотици хиляди и да вземете откуп от някакъв процент от тях“. 

В същото време в България 93% от компаниите са малки и се затрудняват да се възползват от преимуществата, които дава технологията, както го правят хакерите. За да се случи това, те трябва да наемат нови хора с нужната експертиза, което е натоварващо за тях. Затова компании като CENTIO #Cybersecurity използват AI, за да стилизират знанията и уменията на своите екипи, така че да предоставят по-добри услуги за малкия и средния бизнес. 

Човешкият фактор 

Този подход се налага и от огромния дефицит на специалисти – проблем, за който отдавна алармират представителите на индустрията за киберсигурност. И по всичко личи, че това ще остане предизвикателство поне в близкото бъдеще. 

„Понякога ни канят за гост-лектори в различни университети. Там виждаме, че много малък процент от хората имат някаква представа за какво говорим, а става дума за студенти 4 и 5 курс. Много от тях учат киберсигурност, само защото е модерно и се плаща добре“, акцентира управителят на CENTIO #Cybersecurity.  

По думите му „тук-таме има островчета на познание в нашата образователна система, но като цяло тя е твърде консервативна и не откликва адекватно на случващото се“. Това налага частният интерес – в лицето на различни образователни институции извън държавната система – да компенсира липсите, но и това не е достатъчно. 

Все пак Веселин Константинов вижда някаква светлина в тунела – Министерството на образованието обмисля да се въведе дисциплината „Киберсигурност“ в средното образование. А защо това е важно, той обобщи така: 

„Технологиите вървят напред, но в центъра на всичко е човекът. Те могат да бъдат използвани само от добре обучени хора. Хора, които знаят и могат“.   

Изкуственият интелект (AI) бързо се превръща от помощен инструмент в автономен участник на полето на киберсигурността, променяйки го из основи, акцентират от анализаторската платформа AI Cyber Insights в своя доклад „AI in Cybersecurity – Q2 2024 Insights”. Но използването на технологията трябва винаги да бъде обвързано с разбирането, че тя все още е в началните си етапи на развитие и идва със своите проблеми на растежа. 

AI дава огромен потенциал за надграждане на инструментите и стратегиите за информационна сигурност в няколко области: 

• подобрява процеса на Threat Modeling – проиграване на хипотетични сценарии и тестове за идентифициране на уязвимости, подпомагане на оценката на риска и предлагане на коригиращи действия; 
• подкрепя SOAR (Security orchestration, automation and response) технологиите, които координират, изпълняват и автоматизират задачите между различни потребители и инструменти в рамките на една платформа; 
• автоматизира сканирането на уязвимости, приоритизира рисковете и прави препоръки за стратегии за отстраняване на грешки. По този начин AI повишава ефективността на процесите за управление на уязвимостите; 
• анализира моделите и езика на комуникация, за да идентифицира опити за социално инженерство – често използвана тактика в кибератаките, като повишава значително възможностите за откриване на фишинг имейли. 

Но AI може да бъде използван и от злонамерени участници – както за създаване на по-сложни и по-унищожителни киберзаплахи, така и за експлоатация на пробойни в самата технология.  

Пример за това е AI червеят (worm) Morris II, създаден от изследователи по сигурността, за да демонстрира уязвимостите на водещи GenAI платформи като ChatGPT и Gemini. Той краде чувствителни данни и разпространява зловреден софтуер в мрежите. Ако подобен инструмент бъде създаден от киберпрестъпници, би представлявал значителен риск за крайните потребители и бизнесите. 

Според компанията за киберсигурност Wiz критични уязвимости може да има и в платформите от типа AI-като-услуга (AI-as-a-service). Replicate, например, може да бъде много полезна, тъй като събира различни големи езикови модели (LLM) с отворен код, но има и един важен недостатък – потенциално излага на риск чувствителни данни на изградените на нея AI модели.  

Самите LLM също имат присъщи уязвимости, известни като Prompt Injection Vulnerability. Те могат да бъдат екплоатирани: 

• директно (jailbreaking) – злонамереният потребител успява да презапише или разкрие основните системни команди и да манипулира поведението на модела; 
• индиректно – LLM приема входни данни, контролирани от нападател, от външни източници като интернет страници или файлове. 

Успешното експлоатиране на Prompt Injection Vulnerability може да доведе както до изтичане на поверителна информация, така и до манипулиране на критични за бизнеса процеси. 

Изводът от тези примери е, че изкуственият интелект е мощно оръжие за защита, но също така може лесно да се превърне в „ахилесова пета“ за организациите. Затова не бързайте, запленени от конкурентните предимства, които обещава той. Интеграцията на инструменти и услуги, базирани на AI, трябва винаги да бъде основана на внимателно проучване на силните и слабите страни на всяка една платформа поотделно. Независимо дали става дума за киберсигурност или други бизнес процеси.    

Финансовите загуби на компаниите при инциденти с киберсигурността растат с всяка изминала година. А много от тях никога не успяват да се възстановят. 

Често – и щетите, и възможността за възстановяване – зависят от наличието на план за реакция при инциденти. Това не е просто документ с етикет: „Отвори в случай на спешност!“. Той трябва да е основна част от стратегията за киберсигурност за всеки един бизнес и да се развива заедно с него и променящата се палитра от заплахи в киберпространството.  

Ето и основните компоненти на една подобна рамка: 

• Подготовка – ключов етап, в който правите оценка на текущата си позиция по отношение на сигурността, идентифицирате потенциалните заплахи и определяте ролите и отговорностите. Той включва и обучението на вашия екип.
• Откриване – в случай на инцидент, първата стъпка е да разпознаете, че нещо не е наред. Това включва наблюдение на системите за необичайна активност и наличие на протоколи, които да определят дали става въпрос само за дребен проблем или за нещо по-сериозно. 
• Ограничаване – след като веднъж сте хванали нарушителя, трябва да можете да предотвратите по-нататъшни щети, като го изолирате в една определена част от системата и отрежете достъпа му до по-широката инфраструктура.  
• Елиминиране на заплахата – следващата стъпка е да елиминирате заплахата. Това може да означава премахване на зловреден софтуер, изключване на компрометираните системи или дори отнемане на достъпа на определени потребители. Целта е да се гарантира, че заплахата е напълно неутрализирана. 
• Възстановяване – когато заплахата е елиминирана, фокусът се премества върху възстановяването на нормалното функциониране. Това може да включва възстановяване на данни от резервни копия, закърпване на уязвимости или възстановяване на системи. Използването на софтуери за одит на съответствието може да помогне за постигането на тези цели. Най-важното тук е да се гарантира, че всичко е сигурно, преди да се възобнови нормалната работа.
• Научени уроци – може би най-важната част от плана е това, което се случва, след като атаката е отбита и системите са възстановени. Задълбоченият преглед на инцидента може да предостави ценни сведения за това какво се е объркало и как да се предотврати повторното му възникване.  

Тази рамка е разработена от SANS Institute, американска компания за информационна сигурност с повече от век история, но тя не е единствена. Например, National Institute of Standards and Technology (NIST), който е част от Министерството на търговията на САЩ, определя четири основни стъпки – подготовка; откриване и анализ; ограничаване, елиминиране на заплахата и възстановяване; дейност след инцидента: 

Двете рамки са идентични, но има една съществена разлика. В стъпка три NIST смята, че ограничаването, елиминирането на заплахата и възстановяването се припокриват – т.е. не трябва да чакате да ограничите всички заплахи, преди да започнете да ги елиминирате. 

В професионалната общност има спор коя от двете основни рамки е по-добра, но всъщност това е въпрос на предпочитания, както и на ресурсите на вашата организация. Най-важното е да не се забравя, че създаването на план за реагиране при инциденти не е единичен акт, а непрекъснат процес, съобразен с постоянно променящата се среда на заплахите. 

А стриктното спазване на стандартизирани практики, като рамките на NIST и SANS Institute, гарантира наистина сигурни процеси при възникване на инциденти. 

Дигиталната трансформация на бизнесите през последното десетилетие и тенденции като дистанционната работа разшириха неимоверно възможностите за кибератаки. Това напълно се потвърждава от глобално проучване на Trend Micro – 73% от ИТ и бизнес лидерите са загрижени за разнообразието от системи, които могат да се превърнат във входни точки за хакерите към техните критични данни и ресурси. 

Kомпанията за киберсигурност анализира основните вектори на атаки и дава съвети как да бъде намален киберрискът, свързан с тях.

Електронна поща

Електронната поща остава един от най-често срещаните първоначални вектори на атака за киберпрестъпниците. Aтаките, базирани на този подход, ще стават все по-трудни за откриване, тъй като генеративния изкуствен интелект (GenAI) позволява на хакерите да създават изключително реалистични фишинг имейли. И то на различни езици. 

Мерките за защита включват: 

• Имейл портал, използващ изкуствен интелект, машинно обучение и поведенчески анализ; 
• Cloud Application Security Broker (CASB), анализиращ входящите имейли чрез сканиране на връзки, прикачени файлове и съобщения; 
• Secure Web Gateway (SWG), осигуряващ допълнителна защита при кликване върху злонамерена връзка; 
• oбучение на потребителите. 

Уеб приложения

Атаките с кръстосани скриптове (Cross-site scripting – XSS) се възползват от грешки в кодирането на уеб страници или уеб приложения, за да крадат входни данни на потребителите. Пример за това е XSS уязвимост в Ivory Search, плъгин за търсене на WordPress, който остави 60 000 уебсайта отворени за инжектиране на зловреден код.  

Мерките за защита включват: 

• запечатване на всички уязвимости; 
• сканиране за злонамерени скриптове; 
• деактивиране на всички портове, които не са необходими на уеб сървърите. 

Уязвимости в софтуерите

Уязвимостите могат да нарушат бизнес операциите, като причинят прекъсване или срив в системите. Шведската верига за хранителни стоки Coop например затваря 800 магазина, след като става жертва на zero-day уязвимост в продукта Virtual System Administrator (VSA) на доставчика Kaseya. 

Мерките за защита включват: 

• определяне и инсталация на най-подходящите пачове и следене на известните уязвимости; 
• създаване на план за реакция и постоянно наблюдение на мрежите за подозрителна активност; 
• използване на виртуални пачове за защита на уязвимите системи, ако доставчика на софтуера не е пуснал такива.

Устройства

Преминаването към дистанционна работа разкри опасностите, свързани с VPN – първоначален вектор на атака, който осигурява достъп до цялата мрежа. В същото време колкото повече устройства имат достъп до системите на една организация, толкова по-голям е киберрискът. 

Мерките за защита включват: 

• преминаване от VPN към Zero Trust Network Access (ZTNA) технология, която ограничава киберриска по цялата атакуема повърхност, като част от по-широка Zero Trust стратегия.

Облак

Дигиталната трансформация ускори приемането на облачните технологии, което донесе със себе си нови рискове за киберсигурността. Според доклада Trend Micro 2024 Midyear Cybersecurity Threat Report неподсигуреният достъп до облачни приложения е на първо място сред петте най-рискови събития през първата половина на годината.  

Мерките за защита включват: 

• използване на облачна платформа за сигурност, която поддържа среди с много и хибридни облаци. Тя трябва да може да автоматизира възможно най-много неща – от сканирането на инфраструктурата-като–код (IaC), контейнерите и работните натоварвания в облака до задаването на ясни политики за сигурност и извършването на проверки за съответствие. 

 

Съвременният интернет е невъзможен без съществуването на API – интерфейси, посредством който различни приложения могат да комуникират помежду си.

От една страна, това е огромен позитив: коренно противоположни системи могат да работят заедно, От друга: това е огромно предизвикателство за сигурността, те са навсякъде, често са зле защитени и съдържат огромни количества данни и огромна част от бизнесите дори не не само не знаят колко API-та поддържат и дали те изобщо имат някаква форма на защита. Това ги прави една от любимите мишени на хакерите.

Защо да защитя API-тата си

Интерфейсите дават директен достъп до четене и писане на огромно количество чувствителна информация. На практика тяхното предназначение изисква да имат достъп до сърцето на една организация и цялата информация за нея.

Затова, за един бизнес, който поддържа подобни услуги, това означава, че през тях хакер може да:

• да открадне на чувствителна информация като се сдобие с нерегламентиран достъп (който понякога дори не изисква автентникация)
• извърши неоторизирани трансакции и да промени критични данни
• да спре достъпа до услуги, като претовари на сървърите, на които работят те
• да инжектира зловреден код
• да получи неоторизиран достъп до други вътрешни системи
• да нанесе репутационни щети, правни последици и глоби

Само един пример: през януари 2024 г. от социалната медия Spoutible бяха източени лични данни на над 200 хил. потребителя именно заради липсата на защита на една от основните ѝ API услуги.

Как да защитите API-тата си

След всичко изброено по-горе, основният въпрос е какво да направите, за да защитите API услугите, които поддържате? По-лесно е, от колкото си мислите.

Ето няколко практически съвета:

• Организирайте. Изгответе списък с API услуги, които поддържате. За целта можете да използвате автоматизирани инструменти за откриване, но по-добре е да съберете списъка от разработчиците, с които работите и да опишете кое API каква автентникация изисква и достъп до какви данни и какви операции по тях позволява
• Възприемете подход на нулево доверие (zerto-trust) и третирайте всяка заявка към API като потенциално злонамерена, независимо от произхода ѝ.
• Въведете силна автентификация и оторизация за всяка API услуга. Без изключения.
• Задайте разумни ограничения на броя заявките към API, които могат да се осъществяват за единица време. Например, има ли нужда API услуга за потребителска информация да позволява повече от 60 заявки в час?
• въведете надеждна система за създаване на версии за вашите API услуги, за да можете, когато бъдат открити уязвимости (а такива ще бъдат открити), да деактивирате по-старите итерации.
• обучавайте своите разработчици, тъй като повечето уязвимости в API произтичат от липсата на осведоменост за сигурността.
• внедрете инструменти за мониторинг и поведенчески анализ и редовно penetration тестове.

И не забравяйте – киберсигурността изисква постоянство и многопластов подход, така че всички тези стъпки трябва да вървят ръка за ръка.