Топ новини

  • Мощнa защита и „ахилесова пета“: Различните лица на AI в киберсигурността

    Изкуственият интелект (AI) бързо се превръща от помощен инструмент в автономен участник на полето на киберсигурността, променяйки го из основи, акцентират от анализаторската платформа AI Cyber Insights в своя доклад „AI in Cybersecurity – Q2 2024 Insights”. Но използването на технологията трябва винаги да бъде обвързано с разбирането, че тя все още е в началните си етапи на развитие и идва със своите проблеми на растежа. 

    AI дава огромен потенциал за надграждане на инструментите и стратегиите за информационна сигурност в няколко области: 

    • подобрява процеса на Threat Modeling – проиграване на хипотетични сценарии и тестове за идентифициране на уязвимости, подпомагане на оценката на риска и предлагане на коригиращи действия; 
    • подкрепя SOAR (Security orchestration, automation and response) технологиите, които координират, изпълняват и автоматизират задачите между различни потребители и инструменти в рамките на една платформа; 
    • автоматизира сканирането на уязвимости, приоритизира рисковете и прави препоръки за стратегии за отстраняване на грешки. По този начин AI повишава ефективността на процесите за управление на уязвимостите; 
    • анализира моделите и езика на комуникация, за да идентифицира опити за социално инженерство – често използвана тактика в кибератаките, като повишава значително възможностите за откриване на фишинг имейли. 

    Но AI може да бъде използван и от злонамерени участници – както за създаване на по-сложни и по-унищожителни киберзаплахи, така и за експлоатация на пробойни в самата технология.  

    Пример за това е AI червеят (worm) Morris II, създаден от изследователи по сигурността, за да демонстрира уязвимостите на водещи GenAI платформи като ChatGPT и Gemini. Той краде чувствителни данни и разпространява зловреден софтуер в мрежите. Ако подобен инструмент бъде създаден от киберпрестъпници, би представлявал значителен риск за крайните потребители и бизнесите. 

    Според компанията за киберсигурност Wiz критични уязвимости може да има и в платформите от типа AI-като-услуга (AI-as-a-service). Replicate, например, може да бъде много полезна, тъй като събира различни големи езикови модели (LLM) с отворен код, но има и един важен недостатък – потенциално излага на риск чувствителни данни на изградените на нея AI модели.  

    Самите LLM също имат присъщи уязвимости, известни като Prompt Injection Vulnerability. Те могат да бъдат екплоатирани: 

    • директно (jailbreaking) – злонамереният потребител успява да презапише или разкрие основните системни команди и да манипулира поведението на модела; 
    • индиректно – LLM приема входни данни, контролирани от нападател, от външни източници като интернет страници или файлове. 

    Успешното експлоатиране на Prompt Injection Vulnerability може да доведе както до изтичане на поверителна информация, така и до манипулиране на критични за бизнеса процеси. 

    Изводът от тези примери е, че изкуственият интелект е мощно оръжие за защита, но също така може лесно да се превърне в „ахилесова пета“ за организациите. Затова не бързайте, запленени от конкурентните предимства, които обещава той. Интеграцията на инструменти и услуги, базирани на AI, трябва винаги да бъде основана на внимателно проучване на силните и слабите страни на всяка една платформа поотделно. Независимо дали става дума за киберсигурност или други бизнес процеси.    

  • Да ограничиш щетите при кибератака: Анатомията на един план за реагиране при инциденти

    Финансовите загуби на компаниите при инциденти с киберсигурността растат с всяка изминала година. А много от тях никога не успяват да се възстановят. 

    Често – и щетите, и възможността за възстановяване – зависят от наличието на план за реакция при инциденти. Това не е просто документ с етикет: „Отвори в случай на спешност!“. Той трябва да е основна част от стратегията за киберсигурност за всеки един бизнес и да се развива заедно с него и променящата се палитра от заплахи в киберпространството.  

    Ето и основните компоненти на една подобна рамка: 

    • Подготовка – ключов етап, в който правите оценка на текущата си позиция по отношение на сигурността, идентифицирате потенциалните заплахи и определяте ролите и отговорностите. Той включва и обучението на вашия екип.
    • Откриване – в случай на инцидент, първата стъпка е да разпознаете, че нещо не е наред. Това включва наблюдение на системите за необичайна активност и наличие на протоколи, които да определят дали става въпрос само за дребен проблем или за нещо по-сериозно. 
    • Ограничаване – след като веднъж сте хванали нарушителя, трябва да можете да предотвратите по-нататъшни щети, като го изолирате в една определена част от системата и отрежете достъпа му до по-широката инфраструктура.  
    • Елиминиране на заплахатаследващата стъпка е да елиминирате заплахата. Това може да означава премахване на зловреден софтуер, изключване на компрометираните системи или дори отнемане на достъпа на определени потребители. Целта е да се гарантира, че заплахата е напълно неутрализирана. 
    • Възстановяване – когато заплахата е елиминирана, фокусът се премества върху възстановяването на нормалното функциониране. Това може да включва възстановяване на данни от резервни копия, закърпване на уязвимости или възстановяване на системи. Използването на софтуери за одит на съответствието може да помогне за постигането на тези цели. Най-важното тук е да се гарантира, че всичко е сигурно, преди да се възобнови нормалната работа.
    • Научени уроци – може би най-важната част от плана е това, което се случва, след като атаката е отбита и системите са възстановени. Задълбоченият преглед на инцидента може да предостави ценни сведения за това какво се е объркало и как да се предотврати повторното му възникване.  

    Тази рамка е разработена от SANS Institute, американска компания за информационна сигурност с повече от век история, но тя не е единствена. Например, National Institute of Standards and Technology (NIST), който е част от Министерството на търговията на САЩ, определя четири основни стъпки – подготовка; откриване и анализ; ограничаване, елиминиране на заплахата и възстановяване; дейност след инцидента: 

    Двете рамки са идентични, но има една съществена разлика. В стъпка три NIST смята, че ограничаването, елиминирането на заплахата и възстановяването се припокриват – т.е. не трябва да чакате да ограничите всички заплахи, преди да започнете да ги елиминирате. 

    В професионалната общност има спор коя от двете основни рамки е по-добра, но всъщност това е въпрос на предпочитания, както и на ресурсите на вашата организация. Най-важното е да не се забравя, че създаването на план за реагиране при инциденти не е единичен акт, а непрекъснат процес, съобразен с постоянно променящата се среда на заплахите. 

    А стриктното спазване на стандартизирани практики, като рамките на NIST и SANS Institute, гарантира наистина сигурни процеси при възникване на инциденти. 

  • От имейла до облака: 5 основни вектора на кибератака и как да ги защитим

    Дигиталната трансформация на бизнесите през последното десетилетие и тенденции като дистанционната работа разшириха неимоверно възможностите за кибератаки. Това напълно се потвърждава от глобално проучване на Trend Micro – 73% от ИТ и бизнес лидерите са загрижени за разнообразието от системи, които могат да се превърнат във входни точки за хакерите към техните критични данни и ресурси. 

    Kомпанията за киберсигурност анализира основните вектори на атаки и дава съвети как да бъде намален киберрискът, свързан с тях.

    Електронна поща

    Електронната поща остава един от най-често срещаните първоначални вектори на атака за киберпрестъпниците. Aтаките, базирани на този подход, ще стават все по-трудни за откриване, тъй като генеративния изкуствен интелект (GenAI) позволява на хакерите да създават изключително реалистични фишинг имейли. И то на различни езици. 

    Мерките за защита включват: 

    • Имейл портал, използващ изкуствен интелект, машинно обучение и поведенчески анализ; 
    • Cloud Application Security Broker (CASB), анализиращ входящите имейли чрез сканиране на връзки, прикачени файлове и съобщения; 
    • Secure Web Gateway (SWG), осигуряващ допълнителна защита при кликване върху злонамерена връзка; 
    • oбучение на потребителите. 

    Уеб приложения

    Атаките с кръстосани скриптове (Cross-site scripting – XSS) се възползват от грешки в кодирането на уеб страници или уеб приложения, за да крадат входни данни на потребителите. Пример за това е XSS уязвимост в Ivory Search, плъгин за търсене на WordPress, който остави 60 000 уебсайта отворени за инжектиране на зловреден код 

    Мерките за защита включват: 

    • запечатване на всички уязвимости; 
    • сканиране за злонамерени скриптове; 
    • деактивиране на всички портове, които не са необходими на уеб сървърите. 

    Уязвимости в софтуерите

    Уязвимостите могат да нарушат бизнес операциите, като причинят прекъсване или срив в системите. Шведската верига за хранителни стоки Coop например затваря 800 магазина, след като става жертва на zero-day уязвимост в продукта Virtual System Administrator (VSA) на доставчика Kaseya. 

    Мерките за защита включват: 

    • определяне и инсталация на най-подходящите пачове и следене на известните уязвимости; 
    • създаване на план за реакция и постоянно наблюдение на мрежите за подозрителна активност; 
    • използване на виртуални пачове за защита на уязвимите системи, ако доставчика на софтуера не е пуснал такива.

    Устройства

    Преминаването към дистанционна работа разкри опасностите, свързани с VPN – първоначален вектор на атака, който осигурява достъп до цялата мрежа. В същото време колкото повече устройства имат достъп до системите на една организация, толкова по-голям е киберрискът. 

    Мерките за защита включват: 

    • преминаване от VPN към Zero Trust Network Access (ZTNA) технология, която ограничава киберриска по цялата атакуема повърхност, като част от по-широка Zero Trust стратегия.

    Облак

    Дигиталната трансформация ускори приемането на облачните технологии, което донесе със себе си нови рискове за киберсигурността. Според доклада Trend Micro 2024 Midyear Cybersecurity Threat Report неподсигуреният достъп до облачни приложения е на първо място сред петте най-рискови събития през първата половина на годината.  

    Мерките за защита включват: 

    • използване на облачна платформа за сигурност, която поддържа среди с много и хибридни облаци. Тя трябва да може да автоматизира възможно най-много неща – от сканирането на инфраструктурата-катокод (IaC), контейнерите и работните натоварвания в облака до задаването на ясни политики за сигурност и извършването на проверки за съответствие. 

     

  • Защитете API услугите си, защото вече те са основна мишена на хакерите. Вижте как

    Съвременният интернет е невъзможен без съществуването на API – интерфейси, посредством който различни приложения могат да комуникират помежду си.

    От една страна, това е огромен позитив: коренно противоположни системи могат да работят заедно, От друга: това е огромно предизвикателство за сигурността, те са навсякъде, често са зле защитени и съдържат огромни количества данни и огромна част от бизнесите дори не не само не знаят колко API-та поддържат и дали те изобщо имат някаква форма на защита. Това ги прави една от любимите мишени на хакерите.

    Защо да защитя API-тата си

    Интерфейсите дават директен достъп до четене и писане на огромно количество чувствителна информация. На практика тяхното предназначение изисква да имат достъп до сърцето на една организация и цялата информация за нея.

    Затова, за един бизнес, който поддържа подобни услуги, това означава, че през тях хакер може да:

    • да открадне на чувствителна информация като се сдобие с нерегламентиран достъп (който понякога дори не изисква автентникация)
    • извърши неоторизирани трансакции и да промени критични данни
    • да спре достъпа до услуги, като претовари на сървърите, на които работят те
    • да инжектира зловреден код
    • да получи неоторизиран достъп до други вътрешни системи
    • да нанесе репутационни щети, правни последици и глоби

    Само един пример: през януари 2024 г. от социалната медия Spoutible бяха източени лични данни на над 200 хил. потребителя именно заради липсата на защита на една от основните ѝ API услуги.

    Как да защитите API-тата си

    След всичко изброено по-горе, основният въпрос е какво да направите, за да защитите API услугите, които поддържате? По-лесно е, от колкото си мислите.

    Ето няколко практически съвета:

    • Организирайте. Изгответе списък с API услуги, които поддържате. За целта можете да използвате автоматизирани инструменти за откриване, но по-добре е да съберете списъка от разработчиците, с които работите и да опишете кое API каква автентникация изисква и достъп до какви данни и какви операции по тях позволява
    • Възприемете подход на нулево доверие (zerto-trust) и третирайте всяка заявка към API като потенциално злонамерена, независимо от произхода ѝ.
    • Въведете силна автентификация и оторизация за всяка API услуга. Без изключения.
    • Задайте разумни ограничения на броя заявките към API, които могат да се осъществяват за единица време. Например, има ли нужда API услуга за потребителска информация да позволява повече от 60 заявки в час?
    • въведете надеждна система за създаване на версии за вашите API услуги, за да можете, когато бъдат открити уязвимости (а такива ще бъдат открити), да деактивирате по-старите итерации.
    • обучавайте своите разработчици, тъй като повечето уязвимости в API произтичат от липсата на осведоменост за сигурността.
    • внедрете инструменти за мониторинг и поведенчески анализ и редовно penetration тестове.

    И не забравяйте – киберсигурността изисква постоянство и многопластов подход, така че всички тези стъпки трябва да вървят ръка за ръка.

     

  • CrowdStirke: ами, ако наистина беше хак?

    Последен ъпдейт на 23 юли 2024 в 13:37 ч.

    Петък, 19 юли, най-вероятно ще остане в историята като Blue Screen Day – шега за едни, безсънна нощ за други, но най-вече: (нещо, което трябва да бъде) урок за всички. Защото в случа става въпрос за техническа грешка, довела до принудителното спиране на около 9 млн. машинни или около 1% от всички Windows компютри по света според официалната телеметрия на Microsoft и CrowdStrike (редактирано на 23 юли, 13:36: променихме първоначално циркулиращата цифра от 1 млрд. устройства, бел. авт.) – а като последствие, спирането на работата на летища, болници, транспортни компании – списъкът е безкраен.

    Тук няма да разсъждаваме върху това до колко съвременната икономика е зависима от информационните технологии (безкрайно). Нито пък ще коментираме има ли смисъл сървъри да работят под Windows 10 (видяхме много коментари по темата).

    Ще погледнем под един малко по-различен ъгъл: ами, ако това беше истинска хакерска атака?

    Какво всъщност се случи и до какво доведе?

    На 19 юли в 04:09 UTC, CrowdStrike пуска рутинна актуализация на конфигурацията на сензора за системи с Windows. Тази актуализация, която обикновено е част от текущите защитни механизми на платформата EDR Falcon, неочаквано предизвиква логическа грешка, водеща до системен срив и син екран (BSOD) на засегнатите системи.

    Проблемът е бил идентифициран и отстранен до 05:27 UTC същия ден, но не преди да засегне значителен брой машини – работни станции, сървъри и дори банкомати.

    Част от щетите, причинени от това:

    • транспортен хаос (забавени полети и влакове, напред-назад за десетки пътници – видяхме и чухме разкази на хора, които са качвани и сваляни от самолета по над 20 пъти, докато екипажът проверява и записва на листче списъка с пътници)
    • спрели болници
    • проблеми в телекомуникациите и банкирането (включително и в България)

    Какви уроци е хубаво да научим?

    Като човек, който следи темата от години, най-много ме гложди един казус: че след всичките мемета, оплаквания, шеги, нападки и какво ли не – не видях никъде никой да зададе въпроса: супер, икономиката е скачен съд с информационните технологии. И да, в случая става въпрос за човешка грешка. Но какво ще стане, ако това е истинска атака? Готови ли сме да се справим с последиците от един такъв масов удар, който поне според скромните ми познания, далеч не е толкова невъзможен?

    Един прост пример. Редица уеб приложения разчитат на CDN-и (мрежи са дистрибутирано съхранение на статични ресурси като JavaScript библиотеки). Преди по-малко от месец един такъв CDN се оказа, че сервира зловреден код под носа на редица разработчици. Какво пречи по подобен начин да се окаже, че на редица машини по света някой успее да достави зловреден код, който да доведе до подобен BSOD ад, който обаче не спира с изтриването на един сбъркан файл.

    Какво ще стане, ако светът спре за повече от ден?

    Затова, за мен е хубаво да научим урока си и да помислим дали организациите, в които работим и, които управляваме, са готови за реакция в такава ситуация.

    И, ако не са, да поработим по темата да се подготвим, защото иначе – както е казал Яворов – „когато гръм удари, как ехото заглъхва“ – само че в случай на глобален проблем, за който решението не може да бъде открито за по-малко от час и половина, ехото може да заглъхва по-дълго, от колкото искаме. Или да не заглъхне ехото, а нашите уши.

    Затова, с едно изречение: използвайте ситуацията и проверете политиките си за реакция при инцидент. А, ако още нямате такива: сега е моментът да ги създадете и започнете да развивате. Дори и да добавите в тях ситуацията, в която да създадете процедури и протоколи за offline работа.

  • Новият закон за киберсигурност: най-важното, което да знаете за транспонирате нa директивата NIS2 в българското законодателство

    По-високи глоби за фирми и управляващи, по-точни и ясни дефиниции и по-широк обхват на засегнатите дружества. Това, в едно изречение, представляват промените в Закона за киберсигурност, чиято основна функция е транспонирането на изискванията на Директива за мрежова и информационна сигурност (NIS 2) в законодателната ни рамка.

    Освен това, тези изменения бележат повратна точка в подхода на страната към дигиталната защита и отразяват нарастващото значение на киберсигурността в съвременния свят и поставят България в съответствие с най-новите европейски стандарти. Въпреки че имплементацията на тези изменения ще представлява значително предизвикателство за много организации, дългосрочните ползи за националната сигурност, икономическата стабилност и доверието на гражданите са неоспорими.

    Ето и по-детайлен анализ на предстоящите за обсъждане текстове.

    1. Разширен обхват и нови концепции

    Едно от най-значимите изменения е разширяването на обхвата на закона. Въвежда се ясно разграничение между “съществени” и “важни” субекти, което позволява по-нюансиран подход към регулацията. Най-общо, като съществени се класират:

    • средни предприятия (предприятия, които имат по-малко от 250 души персонал и които с годишен оборот до 50 млн. EUR)
    • доставчици на квалифицирани удостоверителни услуги и регистри на имена на домейни от първо ниво
    • административни органи и др.

    Част от новите концепции в закона са въвеждането на дефиниция за:

    • “Значителен инцидент”: инцидент, причиняващ сериозно оперативно смущение или значителни финансови загуби
    • “Киберзаплаха”: потенциална причина за инцидент, който може да навреди на мрежи и информационни системи
    • Ситуация близка до инцидент”: събитие, което е могло да засегне отрицателно сигурността на системите, но е било предотвратено

    2. По-големи задължени и по-сериозни санкции

    Законът въвежда по-строги и детайлни изисквания за управление на риска в областта на киберсигурността. Като задължителни са посочени редица мерки за управление на риска, сред които:

    • Политики за анализ на риска и сигурност на информационните системи
    • Действия при инцидент
    • Непрекъснатост на стопанската дейност и управление на кризи
    • Сигурност на веригата за доставка
    • Основни киберхигиенни практики и обучение
    • Използване на многофакторни решения за удостоверяване на автентичността

    Срокът за уведомяване при значителен инцидент е определен на 24 часа, а за инцидент – на 72 часа. Въведено е изискване и за окончателен доклад до един месец след инцидента, включващ подробно описание, вид на заплахата, приложени мерки и трансгранично въздействие

    Санкциите, от друга страна, са увеличени значително:

    • За съществени субекти: от 200 хил. лв. до 2% от общия световен годишен оборот, но не по-малко от 20 млн. лв.
    • За важни субекти: от 100 хил. лв.  до 1.4% от общия световен годишен оборот, но не по-малко от 14 млн. лв.
    • За управители или членове на управителни органи: от 1000 лв. до 100 хил. лв.
    • Периодични санкции: 5 хил. лв. на ден за продължаващо неизпълнение (чл. 30а)

    3. Засилен контрол и надзор

    Новите разпоредби значително разширяват правомощията на контролните органи (чл. 27ж):

    За съществени субекти:

    • Планови и извънпланови проверки, на място или дистанционни
    • Редовни и целеви одити на сигурността
    • Извънпланови одити при значителен инцидент
    • Проверки за сигурност, основани на оценка на риска
    • Достъп до данни, документи и информация

    За важни субекти:

    • Проверки на място и последващ дистанционен надзор
    • Целеви одити на сигурността
    • Проверки за сигурност, основани на оценка на риска
    • Достъп до информация и документация

    4. Разширени отговорности на компетентните органи

    Законът преразпределя и разширява отговорностите на ключови институции:

    Министър на електронното управление (чл. 6, чл. 12):

    • Създава и поддържа регистър на субектите
    • Координира национална стратегия за киберсигурност
    • Провежда политики за киберсигурност по веригата за доставки, криптиране, управление на уязвимости и др.

    Национални компетентни органи (чл. 16):

    • Извършват проверки и налагат санкции
    • Координират обмена на информация
    • Изготвят ежегодна оценка на риска за прилежащия им сектор

    СЕРИКС (Секторни екипи за реагиране при инциденти с компютърната сигурност) (чл. 18):
    – Предоставят оперативна подкрепа при инциденти
    – Извършват наблюдение и анализ на киберзаплахи
    – Осигуряват ранно предупреждение и динамичен анализ на рисковете

    Сред другите акценти въвеждането на детайлен секторен подход за определени вертикали като енергетика, транспорт, банки здравеопазване, управление на услуги в областта на ИКТ, пощенски и куриерски услуги и др.

    Предстои да видим как тези амбициозни промени ще се реализират на практика и как ще оформят дигиталното бъдеще на България. Едно е сигурно — страната прави решителна крачка към изграждането на по-сигурно и устойчиво цифрово общество, готово да посрещне предизвикателствата на 21-ви век.

     

  • Месечен обзор на новините в киберсигурността: юни 2024 г.

    Съвсем накратко, събрахме за вас най-значимите новини от сферата на киберсигурността за юни 2024 г.:

    1. Болници на NHS бяха засегнати от голяма кибератака
    Рансъмуер атака срещу Synnovis, доставчик на услуги в сектора за изследване на патологии, причини огромни смущения в болниците на NHS в Лондон. Атаката доведе до отмяната на над 200 спешни процедури и 3 хил. нехирургични прегледа, включително критични диагнози за рак. Инцидентът беше утежнен от недостиг на кръв тип О, което накара ръководителите на NHS да призоват за дарения.

    2. Критична уязвимост в PHP
    Беше открита нова уязвимост за отдалечено изпълнение на код (CVE-2024-4577) в PHP, засягаща множество версии, включително PHP 5, 7 и 8. Уязвимостта позволява произволно изпълнение на код и заобикаля съществуващите защити. PHP публикува корекции и потребителите се съветват задължигтелно да актуализират до най-новата версия.

    3. Арестуван ключов доставчик на рансъмуер услуги
    Украинската киберполиция арестува 28-годишен мъж от Киев, ключова фигура в разработването на криптори за рансомуер групите Conti и LockBit. Арестът беше част от международна операция, наречена „Операция Endgame“ и се очаква да окаже значително влияние върху тези печално известни рансyмуер групи.

    4. Пробив в данните на Ticketmaster
    Ticketmaster потвърди неоторизирана активност в своята база данни, след като хакери твърдяха, че са откраднали лични данни на 560 млн. клиенти. Хакерската група ShinyHunters поиска откуп от 500 хил. USD и по-късно предложи данните за продажба.

    5. Уязвимости във VLC Media Player
    VideoLAN разкри критични уязвимости както в десктоп, така и в мобилната iOS версия на VLC Media Player. Тези уязвимости биха могли да позволят отдалечено изпълнение на код и неоторизиран достъп до чуствителни данни. Потребителите се призовават да актуализират до последните версии (3.0.21 за настолни компютри и 3.5.9 за iOS).

    6. Мащабна кампания за кибершпионаж, насочена към системите FortiGate
    Разследване разкри широкомащабна кампания за кибершпионаж, експлоатираща уязвимости в системите FortiGate. Кампанията е компрометирала най-малко 20 хил. устройства в световен мащаб, включително тези на правителства и компании от отбранителната индустрия.

    7. Уязвимост за отдалечено изпълнение на код без кликване в Microsoft Outlook
    Открита беше и критична уязвимост за отдалечено изпълнение на код без кликване (CVE-2024-30103) в Microsoft Outlook. Този бъг позволява на нападателите да изпълняват произволен код чрез изпращане на специално създаден имейл, компрометирайки устройството върху който е стартиран клиента.

    8. Опит за изнудване на Life360
    Life360, компания за услуги за семейна безопасност, се сблъска с опит за криминално изнудване, включващ неоторизиран достъп до платформата за поддръжка на клиенти на Tile. Въпреки че чувствителни данни не са били компрометирани, засегната е клиентска информация, включително имена и имейл адреси.

    Тези инциденти подчертават продължаващата важност на стабилните мерки за киберсигурност, бързото отстраняване на уязвимости и бдителността в лицето на развиващите се заплахи. Организациите и физическите лица се напомнят да се информират за най-новите съвети за сигурност и да прилагат препоръчаните защитни мерки.

  • Осветяване на сенките: Значението на Threat Intelligence в областта на кибесигурността

    В сложния и често сенчест цифров свят, значението на Threat Intelligence (TI) в оформянето на стратегиите за киберсигурност не трябва да бъде подценявано. Като професионалисти в областта на киберсигурността, ние разбираме, че защитата на цифровите активи излиза отвъд разполагането на защитни технологии; тя изисква дълбоко, стратегическо разбиране на възникващите заплахи. Тази статия разглежда как задълбоченето кибер разузнаване (Threat Intelligence) служи не само като защитно средство, но и като проактивен инструмент, който подпомага организациите в борбата срещу кибер престъпниците.

    Какво представлява разузнаването на заплахи

    Разузнаването на заплахи е синтез от събиране на данни, анализ и действия към потенциални или съществуващи заплахи. Тази разузнавателна информация е от съществено значение за разбирането на поведението на нападателите, техниките, инструментите и процедурите им.

    Ефективният TI предоставя проактивен инструмент, като помага на организациите да предвидят и предотвратят потенциални зловредни действия срещу сигурността със стратегии, адаптирани специално за да контрират идентифицираните заплахи.

    Зловредния софтуер – Сърцето на тъмнината

    Анализът на зловредния софтуер е крайъгълен камък на разузнаването на заплахи. Всеки щам (версия) на зловреден софтуер носи в себе си ДНК на намеренията и способностите на своя създател. Чрез деконструкция на зловредния софтуер не само разкриваме механиката на неговата работа, но и набавяме знание за по-широкия контекст на заплахите на които сме подложени или ще бъдем подложени. Този анализ дава задълбочена информация и е важна част при разработването на ефективни противодействия и помага за покриване на уязвимости, за да предотвратящи бъдещи инфекции.

    Стратегии за ограничаване и ликвидиране на зловредния софтуер

    След разбирането на архитектурата на зловредния софтуер, професионалистите в областта на киберсигурността могат да разработят целенасочени стратегии за ограничаването и ликвидирането. Това включва използването на сандбокс среди заизучаване на поведението на зловредния софтуер, разработване на сигнатури за антивирусни системи и създаване на пачове за експлоатирани уязвимости. Освен това, непрекъснатото наблюдение и актуализиране на защитните системи са от съществено значение, тъй като нападателите развиват своите методологии

    Кибер шпионажа – Лошия Кибер Агент 007

    Кибер шпионажът представлява значителна заплаха, при която нападателите се стремят да проникнат в мрежи, за да откраднат данни, често с политическа, военна или икономическа цел. Разузнаването за заплахи играе решаваща роля в идентифицирането и намаляването на такива шпионски дейности. Чрез анализ на комуникационни модели, метаданни и аномалии в мрежата, експертите по киберсигурност могат да открият тайни операции, да ги припишат на техните източници и да въведат бариери за защита на чувствителна информация.

    Колаборативна защита чрез споделяне на разузнавателна информация

    Никоя организация не стои сама в борбата срещу кибер заплахите. Колаборативната защита чрез споделяне на разузнавателна информация усилва способността на отделните единици да се защитават срещу общи противници. Като участват в мрежи за разузнаване за заплахи, организациите могат да достъпят по-широк спектър от данни, получавайки прозрения, които иначе биха били недостъпни и подобрявайки колективните си защитни позиции.

    Пейзажът на кибер заплахите постоянно се променя, движен от технологични напредъци и развиващите се тактики на нападателите. Стратегиите за киберсигурност трябва да бъдат адаптивни и с оглед в бъдещето. Включването на новаторски технологии като изкуствения интелект и машинното обучение може значително да подобри аналитичната сила на разузнаването на заплахи, позволявайки проактивни действия срещу потенциални кибер атаки.

    Вместо заключение

    Разузнаването на заплахи е повече от просто компонент на киберсигурността; то е съществена рамка, която дава информация на всички аспекти на цифровата защита. Като професионалисти в областта на киберсигурността, ние трябва да настояваме за силна стратегия TI, която не само следи заплахите, но и се адаптира и развива с тях. Инвестирането във всеобхватни начини за разузнаване за заплахи не е просто оперативна необходимост; това е стратегически императив, който осигурява устойчивост и конкурентоспособност във все по-цифровия свят.

    Нека насърчаваме организациите да засилят своята позиция в областта на киберсигурността чрез иновативни решения за разузнаване за заплахи. Нека бъдем по-ангажирани към общностите по киберсигурност, споделяйки разузнавателна информация и използваме колективните знания за защита срещу неизвестното. Заедно можем да обърнем вълната срещу кибер заплахите и да осигурим нашето по-сигурно цифрово бъдеще.

  • Рекорден ransomware откуп от над 22 млн. USD за най-големият здравен застраховател в САЩ

    United Health Group (UHG) е здравноосигурителна компания с присъствие във всички 50 щата на САЩ, която има договори с над 1.6 млн. лекари и специалисти по здравни грижи, както и с 8 хил. болници и други лечебни заведения. В UHG работят 440 хил. души в цял свят и е най-голямата здравноосигурителна компания в света по приходи (324.2 млрд. USD през 2022 г.).

    Човек трудно би повярвал, че такъв конгломерат може да бъде лесно поставен на колене. Именно това се случва на 21 февруари 2024 г. На тази дата ransomware синдиката, известен като BlackCat успява да открадне и криптира данните на един от основните стълбове на UHG – Change Healthcare. Седмица след атакта от BlackCat/ALPHV официално се хвалят с постигнато от тях, а именно откраднати над 6TB данни съдържащи чувствителни данни:

    • здравни досиета
    • данни за здравни застраховки
    • дентални картони
    • данни за плащания
    • заявки за претенции към застрахователи
    • лични данни на пациенти (телефоннни нимера, адреси, номера на социални осигуровки – американският еквивалент на ЕГН, имейли и др.)
    • лични данни на действащи американски военни

    От този момент започва кошмара за много пациенти, медицински работници и здравни заведения в САЩ.

    В началото на март BlackCat синдиката извършва така нареченият exit scam, като се пенсионира след получено плащане от 22 млн. USD.

    На 23 април от UHG подвърждават, че са платили въпросните 22 млн. USD на престъпниците с цел да минимизират щетите за своите потребители и клиенти.

    Преди броени дни става и ясно как е била извършена атаката и какви са били обстоятелствата позволили да се случи това „бедствие“:

    • зараза със зловреден код от тип infostealer.
    • липса на защита за работните станции (Endpoint Protection);
    • липса на многофакторно удостоверяване (MFA);
    • вероятно недостатъчен проактивен мониторинг;

    Свидетелските показания на изпълнителният директор на UHG Andrew Witty показват, че всичко е започнало на 12 февруари 2024 г. когато престъпниците са използвали компрометирани идентификационни данни (credentials) за отдалечен достъп до портала Citrix на Change Healthcare – приложение, използвано за отдалечен достъп до настолни компютри.
    Порталът не е изисквал многофакторна автентикация (MFA) за достъп. След като престъпниците от BlackCat са получили достъп, те са се е придвижвали в системите по по-сложни начини и са ексфилтрирали данните. Девет дни по-късно е бил детониран криптовируса им.

    9 дни ? Звучи познато! Да, това е съвременната средна стойност на dwell-time.

    След публикуване на тези свиделски показания, Alon Gal, който е CTO на Hudson Rock, оповестява нещо много интересно:

    Stolen Change Healthcare Citrix Credentials

    Ето как знаем, че компютъра който е бил компрометирал не е имал адекватна проактивна защита (Endpoint Protection) и/или мониторинг (EDR). Казаното от Alon Gal също подчертава и ролята на навременният actionable threat intelligence.

    От статус портала на Change Healthcare (Optum) изглежда, че все още се справят с последиците от атаката:

  • Cisco ASA и FTD устройствата под обсада – ArcaneDoor атака

    Cisco и threat intelligence подразделението им (Talos) публикуваха информация относно 0day уязвимости в произвежданите от тях защитни стени от следващо поколение (NGFW) – ASA и FTD.

    ArcaneDoor е кампания, която е най-новият пример за спонсорирани от държава хакерски операции, насочени към мрежови устройства за защита на периметъра. Този път жертви са клиентите на Cisco.

    Припомняме скорошните подобни проблеми с PaloAlto и Fortinet.

    Удобни цели

    Периферните мрежови устройства са идеалната точка за проникване, когато става дума за кампании с цел шпионаж, защото са критичен път за данните и врата към частните мрежи на организациите. Този тип устройства трябва да бъдат рутинно и своевременно проверявани; да използват актуални хардуерни и софтуерни версии и конфигурации; и да бъдат внимателно наблюдавани от гледна точка на сигурността.

    Придобиване на неоторизиран достъп в тези устройства позволява на атакуващият директно да проникне в организацията, да пренасочи или модифицира трафика и да наблюдава мрежовите комуникации. През последните две-три години наблюдаваме драматично и трайно увеличение на броя на атаките срещу NGFW, като засегнати са предимно доставчиците на телекомуникационни услуги и организациите от енергийния сектор – структури от критичната инфраструктура, които вероятно са стратегически цели от интерес за много чужди правителства.

    Работейки с жертви и партньорски организации, Cisco разкрива сложна верига от атаки, която е използвана за имплантиране на персонализиран зловреден софтуер и изпълнение на команди. Въпреки че не успяват да идентифицират първоначалния вектор на пробива, установяват две критични уязвимости (CVE-2024-20353 и CVE-2024-20359).

    Цели са и Microsoft Exchange сървъри

    Освен това мрежовата телеметрия и информацията от партньорите в областта на threat intelligence показват, че хакерите зад тази кампания се интересуват и от Microsoft Exchange сървъри и мрежови устройства на други производители. Независимо от доставчика на мрежово оборудване, сега е моментът да се уверите, че устройствата са надлежно обновени, изпращат логове към SIEM и е конфигурирана многофакторна автентикация (MFA). Допълнителни препоръки, специфични за Cisco, вижте тук.

    В рамките на продължаващото разследване е извършен и анализ на възможното приписване на тази дейност. Оценката се основава на виктимологията, значителното ниво на използваните умения по отношение на разработеният зловреден код и на способностите му да се “крие”, както и на идентифицирането и експлоатацията на 0day уязвимости. Поради тези причини с висока степен на увереност, се твърди, че тези действия са извършени от спонсорирана от държава хакерска група (state sponsored threat actor).

    По-рано този месец Cisco предупреди за мащабни brute-force атаки , насочени към VPN и SSH услуги на устройства на Cisco, CheckPoint, Fortinet, SonicWall и Ubiquiti по целия свят. През март също така споделиха насоки и добри практики за предотвратяване на атаките свързани с компрометирани акаунти (password-spraying), насочени към VPN услуги за отдалечен достъп (RAVPN), конфигурирани на устройства Cisco Secure Firewall.

    Как да действате

    Препоръките за противодействие на текущата кампания и ArcaneDoor атака са:

    • ASA устройствата да бъдат обновени до някоя от следните версии:
        • 9.16.4.57
        • 9.18.4.22
        • 9.20.2.10
    • FTD устройствата да бъдат надградени до v7.2.6
    • Да бъдат проактивно проверени следните Indicators of Compromise:
      • След актуализиране на устройството до софтуерна версия, която съдържа поправката за CVE-2024-20359, трябва да се направи преглед на съдържанието на disk0:. Ако след актуализацията в disk0: се появи нов файл (например „client_bundle_install.zip“ или друг необичаен .zip файл), това предполага, че е бил инсталиран backdoor на въпросното устройство. Имайте предвид, че тъй като актуализираният софтуер не е уязвим към CVE-2024-20359, опасността вече няма да е активена.
      • Освен това администраторите могат да използват командата show memory region | include lina, за да идентифицират друг indicator of compromise (IOC). Ако резултата от командата показва повече от една изпълнима област на паметта (области на паметта с разрешения r-xp, вижте примерите по-долу), особено ако една от тези области на паметта е точно 0x1000 байта, това е знак за потенциална намеса от страна на хакерите.


        Изходни данни от командата „show memory region“ за компрометирано устройство (горе) спрямо чисто устройство (долу). 

    Друга полезна информация и съвети относно ArcaneDoor атаката:
    https://www.cyber.gc.ca/en/news-events/cyber-activity-impacting-cisco-asa-vpns 

    https://cert.europa.eu/publications/security-advisories/2024-043/ 

    Опасността е активна от поне 2-3 месеца и според уважаваният cybersecurity експерт Kevin Beaumont (aka GossiTheDog), Cisco не са действали по възможно най-добрият начин спрямо своите клиенти:

Back to top button