Топ новини

  • Криптовалутите стават основна цел за хакерите! 10 стъпки, с които да защитите портфейла си

    Bitcoin е в подем. За пръв път в историята си криптовалута №1 надхвърли 100 000 USD в началото на декември, след като нарасна с над 30% от нощта на изборите в САЩ. Но това важи с пълна сила и за измамите и зловредния софтуер, предназначени да откраднат криптовалутите ви.

    Последният Threat Report на ESET разкрива, че засичането на т.нар. Cryptostealer е скочило с 56% от първото до второто полугодие на 2024 г. Атаките са насочени както срещу Windows и Android, така и срещу macOS.

    Това е отражение на нарастващата роля, която криптовалутите играят в световните финанси. Децентрализираният им характер, бързината и необратимостта на трансакциите и възможността за прехвърляне по целия свят ги правят още по популярна цел за киберпрестъпниците.

    Затова и рисковете на това поле се задълбочават през 2024.

    Криптозаплахи, от които трябва да се пазите

    Когато става въпрос за кражба на криптовалути, трябва да внимавате не само за фишинг и зловреден софтуер. Измамниците са разработили редица измами, целящи да изпразнят вашите криптопортфейли.

    Според доклад на Chainalysis от август например pig butchering атаките са се превърнали в едно от най-разпространените средства за кражба на криптовалути.

    ESET Threat Report дава допълнителна яснота за заплахите през 2024. Ето няколко основни заключения:

    • Атаките с Password Stealing Ware (PSW) в MacOS са се увеличили със 127%. Те са насочени към кражба на идентификационни данни, свързани с портфейли за криптовалути. Това отчасти се дължи на продавания в Telegram по модела Malware-as-a-Service Atomic Stealer. Нападателите разпространяват този зловреден софтуер чрез злонамерени реклами в Google.
    • PSW заплахите стоят и зад ръста на криптокрадците, насочени към Windows. Там обаче в основата стои друг зловреден инструмент – Lumma Stealer.
    • Много банкови „троянски коне“ за Android вече съдържат функционалност на Cryptostealer наред с традиционните си функции. Този клас заплахи срещу криптопортфейлите е нараснал с 20% през второто полугодие на 2024 г.
    • Повишена активност има и около друг Malware-as-a-Service инструмент – Vidar Infostealer. Той е предназначен за събиране на идентификационни данни, съхранявани в браузъра, и такива от криптопортфейли. Разпространява се чрез зловредни реклами във Facebook, групи в Telegram и форуми в Dark Web.
    • Геймърите са таргетирани чрез Cryptostealer и Infostealer, скрити в кракнати игри. Те включват Red Line Stealer и Lumma Stealer.
    • Фишинг сайтовете, свързани с криптовалути, представляват 8% от всички наблюдавани през първото полугодие на 2024 г. от ESET. Това поставя тази група в Топ 5 за периода.

    Как да се защитите

    Всичко това упражнява допълнителен натиск върху потребителите. Съществуват различни мерки, които можете да предприемете, за да намалите заплахата за вашите криптопортфейли.

    Ето 10 важни стъпки:

    1. Не поставяйте всичките си средства на едно място. Разпределете риска и обмислете използването на хардуерни портфейли, които не са свързани с интернет и следователно са по-добре изолирани от цифрови заплахи.
    2. Избирайте внимателно доставчиците си на портфейли въз основа на отзиви. Не забравяйте да държите свързаните с интернет хранилища защитени с MFA.
    3. Включете 2FA за всяко криптоприложение, което използвате.
    4. Не използвайте публични Wi-Fi мрежи, когато сте навън. Ако се наложи да го направите, в никакъв случай не осъществявайте достъп до криптоакаунтите си.
    5. Винаги поддържайте устройствата и лаптопите/компютрите си с актуални пачове и софтуер за сигурност.
    6. Използвайте VPN услуга от реномиран доставчик за допълнително ниво на сигурност, за да се предпазите от фишинг, зловреден софтуер и други заплахи.
    7. Изтегляйте софтуер само от надеждни източници и официални уебсайтове, като преди това проверявате потребителските отзиви и рейтингите на разработчиците.
    8. Периодично премахвайте неизползваните разширения/софтуер.
    9. Редовно проверявайте за евентуални необичайни действия в криптосметките си.
    10. Бъдете нащрек за измами.
  • Основни киберзаплахи, които ще продължат да се развиват през 2025 (Част 2)

    В първата част на този материал разгледахме пет киберзаплахи, които ще продължат да се развиват и през тази година. За съжаление, това далеч не е всичко.

    Ето още 5 опасности в киберпространството, които ще продължат да набират скорост през следващите 12 месеца.

    Уязвимости на IoT устройствата

    IoT (Internet of Things) устройствата дават възможност за процъфтяване на нови заплахи. Независимо дали става въпрос за слаби пароли по подразбиране, липса на криптиране или несигурен фърмуер – те са лесни цели за хакерите.

    Тяхното превземане може да доведе до кражба на данни и пробиви в мрежата. Впоследствие те могат да бъдат използвани и за DDoS атаки.

    Фактът, че обемът на свързаните устройства постоянно расте, засилва заплахата. В същото време обезопасяването им е истинско предизвикателство. Те са разнообразни и често имат ограничена изчислителна мощност, което не позволява наличието на функции за сигурност.

    Организациите ще се нуждаят от защита на инфраструктурата си извън традиционните IT среди.

    Криптографски слабости

    Криптографските слабости продължават да представляват значителна заплаха. Този вид уязвимости подкопават основите на сигурната комуникация и защитата на данните. Те обикновено се проявяват по два начина: недостатъци в алгоритмите за криптиране или в начина, по който са реализирани.

    Нарастващата заплаха се усложнява от факта, че с напредването на изчислителните възможности сегашният доскоро сигурен криптографски стандарт става все по-уязвим.

    Тук решението е свързано с редовно актуализиране на криптографските библиотеки и прилагането на силни протоколи за криптиране. По този начин организациите ще намалят значително рисковете от man in the middle атаки и изтичане на чувствителна информация.

    Пропуски в сигурността на API

    Все повече организации разчитат на API за свързване на системите. Те обаче са изложени на риск, когато имат уязвимости в дизайна или в начина на функциониране. Атакуващите могат да пробият системите чрез неоторизиран достъп, което им позволява да манипулират определени действия.

    Пропуските в сигурността на API служат като отправна точка за пробиви в данните. Те могат да доведат до загуба на чувствителна информация, неразрешени трансакции, увреждане на репутацията и значителни финансови загуби.

    Заплахата ескалира, тъй като API става все по-разпространени, увеличавайки броя на потенциалните повърхности за атаки. За да намалите тези рискове, от съществено значение е да защитите крайните си точки, да приложите надеждни механизми за удостоверяване и редовно да актуализирате и одитирате достъпа до API.

    Уязвимости на 5G мрежата

    5G мрежите се разгръщат бързо. Киберпрестъпниците също започват да осъзнават и използват техните уязвимости. Те все по-често се насочват към 5G инфраструктурата, а това отваря вратата за още по-мащабни DDoS атаки, неоторизиран достъп до данни и прекъсване на критични услуги.

    Глобалното разпространение на 5G води до увеличаване на броя на свързаните устройства. Това засилва риска от атаки, особено като се има предвид зависимостта им от облачни инфраструктури.

    Еволюция на ransomware

    Ransomware се превърнаха в едни от най-разрушителните и скъпоструващи кибератаки, главно заради бързата си еволюция.

    Една от най-забележителните кампании от този вид беше извършена срещу тръбопровода Colonial Pipeline. Тя спря цялата му дейност, което доведе до недостиг на гориво и обявяване на извънредно положение в четири щата на Източното крайбрежие на САЩ.

    Тъй като тези атаки стават все по-целенасочени и агресивни, е от решаващо значение бизнесите да започнат да прилагат надеждни стратегии за защита. Те трябва да включват:

    • създаване на защитени резервни копия на критичните данни;
    • укрепване на цялостните планове за реагиране при инциденти;
    • непрекъснато обучение на служителите да разпознават и избягват опитите за фишинг, които могат да послужат като входна точка за ransomware атака.
  • Основни киберзаплахи, които ще продължат да се развиват през 2025 (Част 1)

    2024 г. ни демонстрира от всичко по много по отношение на киберрисковете. Различни типове атаки, експлойти и, разбира се, множество уязвимости поставиха на изпитание всички индустрии. За поредна година хакерите показаха, че не са се отказали от целта си да стават все по-изобретателни.

    Експертите са категорични, че тази притеснителна тенденция ще се запази и през 2025. Ето кои са 10-те киберзаплахи, които ще продължат да се развиват и през тази година.

    Zero day eксплойти

    Пробивите от типа Zero day и увеличаването на техния обем са особено тревожна тенденция. За тях по условие няма пачове. Освен че организациите не могат да се защитят, нападателите могат да компрометират системите незабелязано.

    Пример за това е Log4Shell – критична RCE уязвимост в Java Naming and Directory Interface (JNDI) на Log4j. През нея нападателите можеха лесно да поемат контрол над уязвимите системи – значителна заплаха, тъй като Log4j се използва в почти всяко Java приложение.

    Добрата новина е, че все по-широкото използване на изкуствен интелект от страна на защитниците се очаква да промени пейзажа. То ще автоматизира процеса на откриване на скрити софтуерни недостатъци.

    Все пак не трябва да забравяме, че нападателите също взимат на въоръжение технологията.

    Supply Chain атаки

    Supply Chain атака остава активна заплаха, която се задълбочава, тъй като организациите зависят все повече от услугите на външни изпълнители. Най-големият проблем при тях е, че въздействието им се разпространява каскадно върху множество заинтересовани страни: клиенти, доставчици и т.н.

    Най-известният пример на това поле е пробивът в SolarWinds. Той засегна системата за управление на мрежи SolarWinds Orion, използвана от над 30 000 организации – включително щатски и федерални агенции. В резултат на това backdoor malware  компрометира хиляди данни, мрежи и системи.

    Той даде възможност на нападателите да изпълняват API команди, без на практика да имат подобни права.

    Използване на инфраструктурата за дистанционна работа

    След 2020 г. и пандемията COVID-19 организациите се ориентираха към миодели за дистанционна и хибридна работа. Това обаче се превърна в сериозен проблем за киберсигурността.

    Нападателите се фокусираха върху уязвимости във VPN софтуерите, протоколите за отдалечени работни станции (RDP) и фишинг атаките през платформи като Zoom и Microsoft Teams.

    Инцидентите, при които бяха използвани VPN и RDP за получаване на нерегламентиран достъп до корпоративни системи и мрежи, са стотици. Отдалечените служители често работят от по-слабо защитени среди, което ги превърна в особено уязвим вектор за атаки срещу бизнесите.

    Според експертите инфраструктурата за отдалечена работа ще продължи да бъде основна цел за киберпрестъпниците през 2025 г.

    Системи за изкуствен интелект и машинно обучение

    С възхода на AI и все по-широкото му използване идват и все повече рискове той да бъде експлоатиран от хакерските групи. Атаките от типа data poisoning и model inversion излизат на преден план сред развиващите се рискове по отношение на машинното обучение (ML) и изкуствения интелект (AI).

    Тези технологии стават неразделна част от системите за проверка на самоличността. Така че подобни атаки, които имат потенциала да неутрализират техните защити, носят сериозни рискове за организациите.

    Неправилни облачни конфигурации

    Тъй като бизнесите продължават да прехвърлят операциите си към облака, той ще продължи да се затвърждава като водещ вектор за атака за хакерите. Причината – облачните инстанции често не са правилно конфигурирани.

    Сложността на тези среди ще продължава да се увеличава, което ще доведе до още повече грешки. А неправилните конфигурации могат да имат сериозни последици – нарушаване на сигурността на данните, неоторизиран достъп до критични системи, финансови загуби, увреждане на репутацията.

    За да предотвратят пробиви в облака през 2025 г., компаниите трябва да се съсредоточат върху три ключови области: видимост, контрол на достъпа и непрекъснато наблюдение.

    Очаквайте продължение!

  • BYOVD – новата заплаха, която използва легитимни драйвери за злонамерени цели

    Киберпрестъпниците все по-често експлоатират уязвимости в легитимни драйвери, за да заобиколят системите за сигурност. По този начин те могат да получат пълен контрол над компютрите на жертвите си.

    Драйверите са ключови софтуерни компоненти, които осигуряват комуникацията между операционната система и хардуерните устройства. Тъй като те са цифрово подписани от легитимни производители, операционната система им се доверява по подразбиране. Именно това доверие експлоатират киберпрестъпниците.

    Как работят BYOVD атаките?

    При BYOVD атака, злонамерените актьори:

    1. Внедряват легитимен, но уязвим драйвер в целевата система.
    2. Експлоатират уязвимостите за получаване на привилегирован достъп.
    3. Използват получените права за:
    • деактивиране на защитния софтуер;
    • инсталиране на руткитове;
    • създаване на скрити точки за достъп;

    Първоначално използвани само от елитни хакерски групи като Turla и Equation Group, BYOVD атаките стават все по-достъпни. Проектът Living Off The Land Drivers (LOLDrivers) е идентифицирал над 700 уязвими драйвера, които могат да бъдат експлоатирани.

    С увеличаването на достъпността на BYOVD атаките, експертите очакват техният брой да продължи да расте. Затова организациите трябва да приемат комплексен подход към киберсигурността. Той включва както превантивни мерки, така и способност за бързо откриване и реагиране на заплахи.

    За да се защитите от BYOVD атаки, ви препоръчваме:

    • поддържайте списък с одобрени драйвери;
    • редовно обновявайте драйверите с най-новите версии;
    • използвайте системи за унифицирано управление на крайните точки (UEM);
    • внедрете решения за откриване и реагиране в крайните точки (EDR);
    • правете непрекъснат мониторинг на инсталираните драйвери;
    • провеждайте регулярни penetration тестове.

     

  • NIS2 влиза в сила и въвежда лична отговорност за ръководителите при инциденти с киберсигурността

    Днес, 17 октомври, изтича срокът за превръщане на Директива NIS2 в национално законодателство. Oганите на държавите членки вече могат да подвеждат под лична отговорност ръководителите на организациите, ако след киберинцидент се докаже груба небрежност.

    Директивата категоризира критичните сектори като „съществени“ и „важни“ въз основа на размера и значението им за националната и европейска икономика. Всяко нарушение на нейните изисквания може да струва на „съществените“ организации до 10 милиона евро или 2% от световните годишни приходи. Максималната санкция за тези, определение като „важни“, е до 7 милиона евро или 1,4% от световните годишни приходи.

    NIS2 задължава правоприлагащите агенции в държавите членки на ЕС да извършват проверки на сигурността, да издават предупреждения за нарушения и да докладват за инциденти в рамките на 24 часа. От националните екипи за спешно реагиране в областта на киберсигурността се изисква да споделят информация за киберзаплахи, уязвимости и пробиви.

    Срокът за транспониране на директивата беше определен преди година от ЕП с цел страните членки да имат общи, пропорционални на рисковете и заплахите мерки за киберсигурност. Но приемането на нужното законодателство върви на различни скорости. Страните „отличници“ са  едва 6 – Белгия, Гърция, Унгария, Хърватска, Литва и Латвия.

    България този път е в една група с европейските лидери Франция, Германия и Италия, но не като добър пример. Страната ни изостава с приемането на необходимата правна рамка. Въпреки че публичното обсъждане на новия ни Закон за киберсигурност приключи още в началото на август, той все още не е попаднал в дневния ред на парламента.

    Очаква се към този закон да се появи и нова версия на Наредба за минимални изисквания за мрежова и информационна сигурност. В нея трябва да бъдат заложени конкретните мерки, които всяка организация в обхвата на NIS2 трябва да въведе.

    Ясна перспектива кога ще се случи това няма, но липсата на национално законодателство не е основание да се избегнат евентуални санкции.

     

  • 293 312: Сигналите за онлайн злоупотреби над деца са скочили пет пъти спрямо 2023

    Общо 293 312 сигнала за онлайн злоупотреби над деца е обработил от януари насам подкрепяният от CENTIO #Cybersecurity „Национален център за безопасен интернет“. Това е пет пъти повече от цялата 2023 г.

    Сред сигналите на Горещата линия са такива за разпространение на снимки и видеа със сексуално съдържание с деца, сексуално изнудване и експлоатация. 99% са за престъпления спрямо момичета и 1% – спрямо момчета. Най-потърпевши са деца на възраст 10-14 години.

    Националният център отчита увеличение и в обажданията от родители, деца и тийнеджъри на Консултативната линия 124 123. Повечето от тях (58%) са от родители и възрастни, а 42% – от тийнеджъри и деца. Най-честите запитвания са за съвет при откраднати профили, онлайн тормоз и хакване на други приложения в телефона.

    Мeстата в интернет, където най-често възниква проблем, са социалните мрежи – 72% и приложения за чат комуникация – 17%. Онлайн престъпниците стават все по-изобретателни и все по-често подмамват децата и през платформите за онлайн игри – 10%.

  • Националният отбор по киберсигурност се класира в средата на таблицата на ECSC 2024

    Българският национален отбор по киберсигурност се класира на 23-то място при второто си участие в European Cybersecurity Challenge (ECSC).

    Състезанието с ранг на европейско първенство по киберсигурност се проведе в Торино, Италия, между 8 и 11 октомври. Тази година участваха 31 отбора, като за първи път в него се включиха и гости извън ЕС в лицето на Австралия, Канада, Коста Рика, Косово, Сингапур и САЩ.

    „Състезанието беше супер във всеки един аспект. Завършихме на 23-то място, което изобщо не беше според очакванията на всички. Цяла година се готвихме всеки уикенд за това състезание и настройката в мен и в играчите беше да постигнем по-добро класиране от миналото. Втория ден направихме няколко грешки, които ни костваха много точки. Анализирахме защо, но няма връщане назад. Добрата новина е, че всички са супер мотивирани да почнат да се готвят за догодина още от сега“, коментира пред Freedom Online Петър Анастасов, треньор на  Българския Национален Отбор по Киберсигурност..

    „Участието в European Cybersecurity Challenge 2024 беше изключително вълнуващо и вдъхновяващо за нас. Отборът е силно мотивиран да постигне още по-големи успехи догодина“, добави и Евгени Събев, член на отбора.

    Прочетете повече за каузата на Българския Национален Отбор по Киберсигурност.

    На първо място в European Cybersecurity Challenge 2024 се класира Германия, следвана от домакините от Италия и Полша. Топ 5 допълват Дания (4) и Австрия (5).

    Но не класирането е най-важното в European Cybersecurity Challenge 2024. Организираният от ENISA форум цели да вдъхнови и подкрепи европейските тийнейджъри да се развиват на полето на киберсигурността и да повиши осведомеността по темата в Европа. А второто поредно участие на българския национален отбор поставя страната ни не само на европейската, но и на световната карта на киберсигурността.

  • Константин Веселинов, CENTIO: И в ерата на AI най-голямата уязвимост в киберсигурността остава човекът

    За да бъдат възможно най-добре защитени в киберпространството, потребителите трябва да се грижат за дигиталното си здраве, както за физическото – залагайки на превенцията. Това разбиране обаче не е достатъчно широко припознато и човекът остава най-голямата заплаха за киберсигурността и в ерата на изкуствения интелект.  

    Върху това акцентира по време на форума Tech of Tomorrow Константин Веселинов, управител на CENTIO #Cybersecurity. 

    По думите му хакерите използват всеки един момент, за да интегрират в инструментариума си най-новите технологии, а немалка част от бизнес ръководителите все още се затрудняват да се ориентират в реалностите на киберпространството. 

    „Много често, когато говорим с наши клиенти, те ни казват: Нас не ни касае, на нас досега не ние се е случвало. А аз питам: Откъде знаете, че дори в момента не сте пробити? Така че най-голямата опасност не е изкуственият интелект, а липсата на естествен“, категоричен беше той. „Хората, които взимат решенията, често не са технически подготвени. Тук идва и конфликта между ръководителите и техническите екипи, които пък не са търговци и не могат да обяснят добре защо е нужно да се инвестира в киберсигурност“.  

    И статистиката напълно потвърждава казаното от него – според Microsoft средното време, нужно на една компания да разбере, че е пробита, е 183 дни. А с развитието на AI нещата се усложняват. 

    Ролята на изкуствения интелект 

    Пример за това е случаят отпреди няколко месеца, когато служител на хонконгска компания преведе на нападатели 26 млн. долара. За да си гарантират успеха, те симулират не само телефонно обаждане, но и видеоконферентна връзка с участието на ръководители на компанията. Всичко това с помощта на изкуствен интелект. 

    „Само няколко секунди са необходими на генеративните модели, за да възпроизведат говора на човек. С видеото още не са толкова добри, но скоро и това ще стане. В един момент те ще генерират по най-добрия начин и видео, и аудио“, предупреди Константин Веселинов. „В днешно време нещата стават много бързо и много ефективно. С AI могат да се генерират спам и фишинг атаки без никакъв проблем. Вече не е нужно да можете да пишете код, за да създадете вирус, той да бъде дистрибутиран до стотици хиляди и да вземете откуп от някакъв процент от тях“. 

    В същото време в България 93% от компаниите са малки и се затрудняват да се възползват от преимуществата, които дава технологията, както го правят хакерите. За да се случи това, те трябва да наемат нови хора с нужната експертиза, което е натоварващо за тях. Затова компании като CENTIO #Cybersecurity използват AI, за да стилизират знанията и уменията на своите екипи, така че да предоставят по-добри услуги за малкия и средния бизнес. 

    Човешкият фактор 

    Този подход се налага и от огромния дефицит на специалисти – проблем, за който отдавна алармират представителите на индустрията за киберсигурност. И по всичко личи, че това ще остане предизвикателство поне в близкото бъдеще. 

    „Понякога ни канят за гост-лектори в различни университети. Там виждаме, че много малък процент от хората имат някаква представа за какво говорим, а става дума за студенти 4 и 5 курс. Много от тях учат киберсигурност, само защото е модерно и се плаща добре“, акцентира управителят на CENTIO #Cybersecurity.  

    По думите му „тук-таме има островчета на познание в нашата образователна система, но като цяло тя е твърде консервативна и не откликва адекватно на случващото се“. Това налага частният интерес – в лицето на различни образователни институции извън държавната система – да компенсира липсите, но и това не е достатъчно. 

    Все пак Веселин Константинов вижда някаква светлина в тунела – Министерството на образованието обмисля да се въведе дисциплината „Киберсигурност“ в средното образование. А защо това е важно, той обобщи така: 

    „Технологиите вървят напред, но в центъра на всичко е човекът. Те могат да бъдат използвани само от добре обучени хора. Хора, които знаят и могат“.   

  • Мощнa защита и „ахилесова пета“: Различните лица на AI в киберсигурността

    Изкуственият интелект (AI) бързо се превръща от помощен инструмент в автономен участник на полето на киберсигурността, променяйки го из основи, акцентират от анализаторската платформа AI Cyber Insights в своя доклад „AI in Cybersecurity – Q2 2024 Insights”. Но използването на технологията трябва винаги да бъде обвързано с разбирането, че тя все още е в началните си етапи на развитие и идва със своите проблеми на растежа. 

    AI дава огромен потенциал за надграждане на инструментите и стратегиите за информационна сигурност в няколко области: 

    • подобрява процеса на Threat Modeling – проиграване на хипотетични сценарии и тестове за идентифициране на уязвимости, подпомагане на оценката на риска и предлагане на коригиращи действия; 
    • подкрепя SOAR (Security orchestration, automation and response) технологиите, които координират, изпълняват и автоматизират задачите между различни потребители и инструменти в рамките на една платформа; 
    • автоматизира сканирането на уязвимости, приоритизира рисковете и прави препоръки за стратегии за отстраняване на грешки. По този начин AI повишава ефективността на процесите за управление на уязвимостите; 
    • анализира моделите и езика на комуникация, за да идентифицира опити за социално инженерство – често използвана тактика в кибератаките, като повишава значително възможностите за откриване на фишинг имейли. 

    Но AI може да бъде използван и от злонамерени участници – както за създаване на по-сложни и по-унищожителни киберзаплахи, така и за експлоатация на пробойни в самата технология.  

    Пример за това е AI червеят (worm) Morris II, създаден от изследователи по сигурността, за да демонстрира уязвимостите на водещи GenAI платформи като ChatGPT и Gemini. Той краде чувствителни данни и разпространява зловреден софтуер в мрежите. Ако подобен инструмент бъде създаден от киберпрестъпници, би представлявал значителен риск за крайните потребители и бизнесите. 

    Според компанията за киберсигурност Wiz критични уязвимости може да има и в платформите от типа AI-като-услуга (AI-as-a-service). Replicate, например, може да бъде много полезна, тъй като събира различни големи езикови модели (LLM) с отворен код, но има и един важен недостатък – потенциално излага на риск чувствителни данни на изградените на нея AI модели.  

    Самите LLM също имат присъщи уязвимости, известни като Prompt Injection Vulnerability. Те могат да бъдат екплоатирани: 

    • директно (jailbreaking) – злонамереният потребител успява да презапише или разкрие основните системни команди и да манипулира поведението на модела; 
    • индиректно – LLM приема входни данни, контролирани от нападател, от външни източници като интернет страници или файлове. 

    Успешното експлоатиране на Prompt Injection Vulnerability може да доведе както до изтичане на поверителна информация, така и до манипулиране на критични за бизнеса процеси. 

    Изводът от тези примери е, че изкуственият интелект е мощно оръжие за защита, но също така може лесно да се превърне в „ахилесова пета“ за организациите. Затова не бързайте, запленени от конкурентните предимства, които обещава той. Интеграцията на инструменти и услуги, базирани на AI, трябва винаги да бъде основана на внимателно проучване на силните и слабите страни на всяка една платформа поотделно. Независимо дали става дума за киберсигурност или други бизнес процеси.    

  • Да ограничиш щетите при кибератака: Анатомията на един план за реагиране при инциденти

    Финансовите загуби на компаниите при инциденти с киберсигурността растат с всяка изминала година. А много от тях никога не успяват да се възстановят. 

    Често – и щетите, и възможността за възстановяване – зависят от наличието на план за реакция при инциденти. Това не е просто документ с етикет: „Отвори в случай на спешност!“. Той трябва да е основна част от стратегията за киберсигурност за всеки един бизнес и да се развива заедно с него и променящата се палитра от заплахи в киберпространството.  

    Ето и основните компоненти на една подобна рамка: 

    • Подготовка – ключов етап, в който правите оценка на текущата си позиция по отношение на сигурността, идентифицирате потенциалните заплахи и определяте ролите и отговорностите. Той включва и обучението на вашия екип.
    • Откриване – в случай на инцидент, първата стъпка е да разпознаете, че нещо не е наред. Това включва наблюдение на системите за необичайна активност и наличие на протоколи, които да определят дали става въпрос само за дребен проблем или за нещо по-сериозно. 
    • Ограничаване – след като веднъж сте хванали нарушителя, трябва да можете да предотвратите по-нататъшни щети, като го изолирате в една определена част от системата и отрежете достъпа му до по-широката инфраструктура.  
    • Елиминиране на заплахатаследващата стъпка е да елиминирате заплахата. Това може да означава премахване на зловреден софтуер, изключване на компрометираните системи или дори отнемане на достъпа на определени потребители. Целта е да се гарантира, че заплахата е напълно неутрализирана. 
    • Възстановяване – когато заплахата е елиминирана, фокусът се премества върху възстановяването на нормалното функциониране. Това може да включва възстановяване на данни от резервни копия, закърпване на уязвимости или възстановяване на системи. Използването на софтуери за одит на съответствието може да помогне за постигането на тези цели. Най-важното тук е да се гарантира, че всичко е сигурно, преди да се възобнови нормалната работа.
    • Научени уроци – може би най-важната част от плана е това, което се случва, след като атаката е отбита и системите са възстановени. Задълбоченият преглед на инцидента може да предостави ценни сведения за това какво се е объркало и как да се предотврати повторното му възникване.  

    Тази рамка е разработена от SANS Institute, американска компания за информационна сигурност с повече от век история, но тя не е единствена. Например, National Institute of Standards and Technology (NIST), който е част от Министерството на търговията на САЩ, определя четири основни стъпки – подготовка; откриване и анализ; ограничаване, елиминиране на заплахата и възстановяване; дейност след инцидента: 

    Двете рамки са идентични, но има една съществена разлика. В стъпка три NIST смята, че ограничаването, елиминирането на заплахата и възстановяването се припокриват – т.е. не трябва да чакате да ограничите всички заплахи, преди да започнете да ги елиминирате. 

    В професионалната общност има спор коя от двете основни рамки е по-добра, но всъщност това е въпрос на предпочитания, както и на ресурсите на вашата организация. Най-важното е да не се забравя, че създаването на план за реагиране при инциденти не е единичен акт, а непрекъснат процес, съобразен с постоянно променящата се среда на заплахите. 

    А стриктното спазване на стандартизирани практики, като рамките на NIST и SANS Institute, гарантира наистина сигурни процеси при възникване на инциденти. 

Back to top button