Най-интересното

  • От Internet Archive до UnitedHealth: 6 знакови пробива през 2024

    Човек трябва да се учи от грешките си, а не да ги повтаря. Това важи с пълна сила и за бизнесите. Затова и големите инциденти на полето на киберсигурността не трябва да се забравят.

    В първите дни на 2025 ще обърнем поглед назад, за да си припомним някои от знаковите кибератаки и сривове от предходните 12 месеца.

    Пробивът на Internet Archive

    На 9 октомври Internet Archive беше засегнат от две различни атаки едновременно. При първата бяха откраднати данните на 33 милиона потребители на сайта. В същото време DDoS атака извади от строя платформата за дни.

    Въпреки че и двете бяха извършени в един и същ период, те бяха дело на различни групи.

    Лоши актуализации на CrowdStrike сринаха 8,5 милиона устройства с Wndows

    На 19 юли 2024 г. рано сутринта на компютрите с Windows беше разпространена дефектна актуализация на CrowdStrike Falcon. Това доведе до срив на драйвера на ядрото на софтуера за киберсигурност в операционната система.

    Тази грешка предизвика значителни глобални смущения, засягайки приблизително 8,5 милиона устройства.

    Дефектната актуализация предизвика поредица от сривове на системите, включително безкрайни цикли на рестартиране. Те засегнаха както устройствата с Windows, така и тези с Windows 365 Cloud. Смущенията спряха работата на финансови компании, авиопревозвачи, болници и др. по целия свят.

    Нещата се влошиха още повече, когато в играта се включиха киберпрестъпниците. Те започнаха да разпространяваха фалшиви инструменти за ремонт на CrowdStrike и ръководства, които прокарваха зловреден софтуер, включително новия infostealer Daolpu.

    Кражбата на данни от SnowFlake

    През май хакери започнаха да продават критична информация, за която твърдяха, че е открадната от клиенти на Snowflake. Разследването установи, че нападателите не са пробили защитите на облачната платформа, а са използвали компрометирани идентификационни данни, за да влязат в акаунтите на клиентите ѝ.

    През юли AT&T разкри, че по време на инцидента са били изложени на риск регистрите на обажданията на 109 млн. нейни клиенти.

    TicketMaster също беше засегната, след като бяха откраднати данните на 560 милиона души.

    Твърди се, че в рамките на тези атаки хакерите са измъкнали 2,5 млн. долара от засегнатите компании.

    Атаката с ransomware срещу UnitedHealth

    През февруари дъщерното дружество на UnitedHealth – Change Healthcare – претърпя масирана ransomware атака. Тя предизвика огромни смущения в здравната индустрия на САЩ.

    Атаката беше свързана с BlackCat. Групата е използвала откраднати пълномощия, за да пробие услугата за отдалечен достъп Citrix на компанията. Причината – тя не е имала активирана MFA.

    Хакерите откраднаха 6 TB данни и криптираха компютрите в мрежата. Това принуди компанията да изключи IT системите си, за да предотврати разпространението на атаката.

    UnitedHealth Group призна, че е платила искания откуп в размер на 22 млн. долара. През октомври компанията потвърди, че личните и здравните данни на повече от 100 милиона души са били откраднати. Това е най-големият пробив в здравната индустрия през последните години.

    Атаките срещу телеком мрежата в САЩ

    Китайската APT група Salt Typhoon атакува множество телекомуникационни компании в световен мащаб. Кампанията ѝ компрометира най-малко девет големи доставчици на телекомуникационни услуги в САЩ, включително AT&T, Verizon и T-Mobile.

    Целта на атаките беше кражбата на текстови съобщения, информация за телефонни обаждания и гласова поща от конкретни високопоставени лица. Хакерите успяха да компрометират платформите за подслушване, използвани от правителството на САЩ, което породи сериозни опасения за националната сигурност на страната.

    В отговор на атаката, Вашингтон планира да забрани операциите на China Telecom в САЩ.

    Пробивът на корпоративната електронна поща на Microsoft от хакери, свързани с Кремъл

    През януари Microsoft разкри, че спонсорирани от руската държава хакери са проникнали в корпоративните ѝ имейл сървъри. При пробива бяха откраднат имейли от ръководството, екипите по киберсигурност и правния отдел. Някои от тях са съдържали информация за самата хакерска група, което е позволило на нападателите да научат какво знае Microsoft за тях.

    През март 2024 г. Midnight Blizzard отново успяха да проникнат в системите на технологичния гигант. През април CISA потвърди, че при атаката са били откраднати имейли между федерални агенции на САЩ и Microsoft. Те са съдържали информация, която е позволила на хакерите да получат достъп до критични системи на някои нейни клиенти.

  • Няколко урока, които научихме през 2024

    Последен ъпдейт на 11 януари 2025 в 09:57 ч.

    От нарастващата сложност на Zero day експлойтите до укрепването на съюзите между национални държави и киберпрестъпниците. 2024 г. предостави много доказателства за това колко бързо продължава да се развива пейзажът на заплахите в киберпространството.

    Ето няколко събитията, които трябва да бъдат използвани за тактическите прозрения от екипите по информационна сигурност. Те могат да подкрепят дейността им в продължаващата битка през 2025 г.

    Нарастващ брой Zero day експлойти и участието на национални държави

    И през 2024 изследователите продължиха да отчитат увеличение на броя на Zero day атаките. Експертите по киберсигурност очакват тази тенденция да се ускори, като в основата на това ускорение ще залегне геополитическото напрежение. Според тях националните държавни субекти, особено Китай, увеличават използването на този тип уязвимости с безпрецедентни темпове.

    Затова все по-често се говори за сътрудничество или координация между национални държави и киберпрестъпници. Русия, например, си сътрудничи с групи, предлагащи „софтуер като услуга“, като Killnet, LokiBot, Gumblar, Pony Loader и Amadey.

    Китай е в подобни отношения със Storm-0558 и Red Relay, обикновено в подкрепа на геополитическия си дневен ред в Южнокитайско море.

    Планирането на устойчивостта се нуждае от повече внимание

    Атаките с ransomware през 2024 г. подчертаха слабостите на веригите за доставки и политиките за непрекъснатост на бизнеса. Хакерите все по-често се насочват към доставчиците на услуги от трети страни, за да ударят своите цели.

    Кибератака срещу Ahold Delhaize, компанията майка на някои от най-големите американски вериги супермаркети, например, наруши услугите в мрежата ѝ през ноември. Тя засегна повече от 2000 магазина.

    Включването на съвременни инструменти за сегментиране в стратегиите за непрекъсваемост на бизнеса може да помогне да се сведат до минимум оперативните смущения по време на инциденти.

    Друг такъв, предизвикал интерес през тази година, беше прекъсването на работата на CrowdStrike. Събитието доминираше в новинарските емисии в продължение на няколко дни. След него анализаторите изтъкнаха критичната необходимост от по-добро спазване на процесите и повече видимост.

    Случаят също така подчерта необходимостта лидерите в областта на сигурността да комуникират ефективно с различни заинтересовани страни, когато управляват последиците от мащабен инцидент. Тази комуникация включва технически екипи, бизнес ръководители и външни доставчици.

    Критичната инфраструктура е все по-честа мишена

    През 2024 г. атаките срещу критичната инфраструктура достигат нови нива. През септември Агенцията за киберсигурност и инфраструктурна сигурност на САЩ (CISA) предупреди, че правителствени водни системи са изложени на риск от атаки от страна на национални държави. До това предупреждение се стигна, след като служители съобщиха за проблем с киберсигурността на съоръжение в Арканзас Сити, Канзас. Те бяха принудени да преминат към ръчни операции, докато проблемът бъде разрешен.

    През тази година стана ясно също така, че нападателите изместват фокуса си от добре защитените съоръжения към по-уязвимите системи. Списъкът включва както водоснабдяването, така и електропреносните мрежи.

    Едно от основните предизвикателства при осигуряването на критичната инфраструктура е присъщата сложност на оперативните среди. Много промишлени системи работят с наследено оборудване, което не е било проектирано с оглед на киберсигурността. Освен това често липсва видимост към свързаните устройства, което може да направи откриването на заплахи изключително трудно.

    Внедряването на усъвършенствани инструменти за мониторинг и откриване на заплахи е част от решението на тези проблеми. Подобряването на комуникацията в организациите също може да бъде полезна за подсигуряване на уникалните изисквания за сигурност на критичната инфраструктура.

  • Защитата на веригата за доставки трябва да е топ приоритет за бизнесите през 2025

    Все повече национални държави търсят нови пътища за придобиване на геополитическо предимство. Тази тенденция ще продължи и през следващата година. Затова защитата на веригите за доставки трябва да бъде топ приоритет на бизнесите и общността за киберсигурност през 2025.

    Докладът на Verizon „2024 Data Breach Investigations Report“ установява, че използването на Zero day експлойти за кибератаки е нараснало със 180% на годишна база. Сред тях 15% са били свързани с доставчици от трета страна. А неразкритата уязвимост, таргетирана в неподходящ момент, може да компрометира из основи бизнеса ви.

    Сложността, мащаба и интеграцията на съвременните екосистеми на веригите за доставки превръща тяхната защита в изключително сложна задача. Не съществува рецепта за пълното премахване на заплахите. Целенасоченият фокус върху принципите за ефективно управление на риска обаче е критично важна основа. Той изисква оптимален баланс между стриктно валидиране на доставчиците, целенасочено споделяне на данните и добра подготовка.

    Строго валидиране на доставчиците

    Независимо дали става въпрос за кибервойна или ransomware, съвременните атаки по веригата за доставки са изключително сложни. Затова валидирането на доставчиците е от изключително значение. То трябва да премине отвъд оценките за нивата на киберсигурност на техните системи. Всеобхватните процеси на валидиране дават приоритет на регулаторното съответствие, готовността за реакция при инциденти и наличието на принципа Secure by Design.

    Осигуряването на съответствие с развиващите се индустриални стандарти трябва да бъде основен двигател на всяка стратегия за валидиране на доставчици. За целта трябва да си отговорите на въпросите:

    • Отговаря ли вашият доставчик на разпоредбите DORA и CRA на Европейския съюз?
    • Работи ли по въвеждането на защити срещу квантово базирани атаки?
    • Притежават ли системите му криптографска гъвкавост, за да интегрират новите алгоритми на Националния институт за стандарти и технологии на САЩ (NIST) за постквантова криптография (PQC) до 2025 г.?

    Провеждайте годишни одити за сигурност на място при доставчиците си. Те трябва да оценяват всичко – от мерките за физическа сигурност и софтуерните инструменти до IT процесите и програмите за обучение на служителите. Освен това изисквайте от партньорите си да предоставят регулярни доклади за penetration тестове и оценка на уязвимостите.

    Контрол на достъпа до данни

    Контролираният достъп до вашите данни е основно условие за киберсигурност, когато става дума за веригата за доставки. Организациите трябва да възприемат целенасочени подходи за споделяне на информация. Те трябва внимателно да обмислят каква част от нея е наистина необходима за успешното партньорство с трета страна. Въвеждането на Zero Trust подход ще ви помогне да намалите значително повърхността за атаки във веригата за доставки. Това, от своя страна, опростява управлението на риска от трети страни.

    Важна стъпка в този процес е прилагането на строг контрол на достъпа, който ограничава пълномощията само до основните данни и системи.

    Политиките за съхранение също играят решаваща роля тук. Автоматизирането на процесите за постепенно премахване на остарели или ненужни данни гарантира, че дори и да се случи нарушение, щетите са ограничени и поверителността е запазена.

    Криптирането на данните, достъпни за трети страни, на свой ред добавя допълнително ниво на защита срещу неоткрити нарушения в по-широката екосистема на веригата за доставки.

    Добра подготовка

    Тъй като атаките по веригите за доставки стават все повече, организациите трябва да приемат, че нарушение не само е възможно, но и вероятно. Подобна промяна на гледната точка ще ви помогне, за да ограничите риска.

    Мерките за подготовка трябва да започнат с разработването и редовното актуализиране на гъвкави процеси за реагиране при инциденти. Те трябва да бъдат специално насочени към рисковете, свързани с трети страни и външни доставчици.

    За да бъдат ефективни, тези процеси трябва да бъдат добре документирани и често тествани чрез реалистични симулации. Подобни тренировки помагат да се идентифицират потенциалните пропуски в стратегията ви. Те гарантират, че всички членове на екипа разбират своите роли и отговорности по време на криза.

    Поддържането на актуален списък с контакти за всички ключови доставчици и партньори е друг важен компонент на подготовката. В разгара на инцидента знанието на кого точно да се обадите може да спести ценно време и потенциално да ограничи обхвата на нарушението. Този списък трябва редовно да се проверява и актуализира, за да се отчитат промените в персонала или в отношенията с доставчиците ви.

    Организациите трябва също така да имат ясни процедури за ограничаване на достъпа до всяко критично приложение или система в рамките на веригата за доставки.

    Невъзможно е да се предвиди всеки потенциален сценарий. Добре позиционираният екип, въоръжен с цялостни планове за реакция и задълбочени познания за екосистемата, обаче е много по-добре подготвен за борба със заплахите.

  • 10 типа кибератаки, които могат да убият малките бизнеси, и как да намалим риска (Част 2)

    Последен ъпдейт на 9 януари 2025 в 16:35 ч.

    В първата част на тази статия разгледахме 5 основни киберзаплахи за малките бизнеси. Фишинг атаките, ransomware, зловредните софтуери и кампаниите от типа DDoS и Man in the middle са изключително опасни. За съжаление обаче далеч не са единствени.

    Ето още пет типа кибератаки, които могат да убият малките бизнеси, и как организациите могат да намалят риска:

    1. Вътрешни заплахи

    Не забравяйте, че врагът може да се крие зад вашите стени. Организациите често се фокусират върху външните заплахи, но пренебрегването на вътрешните рискове е игнориране на бомба със закъснител. Последствията могат да бъдат опустошителни. Може да става въпрос за недоволен служител, който иска да си отмъсти, или за добронамерен, но невнимателен такъв, който щраква върху фишинг връзка.

    За да се защитите:

    • проверявайте задълбочена миналото на всеки служител, преди да му бъде предоставен достъп до чувствителна информация;
    • въведете строг контрол на достъпа, за да гарантирате, че служителите достигат само до информацията, необходима за техните роли. Това важи и за най-довереното ви обкръжение;
    • непрекъснатият мониторинг е най-добрият ви приятел при откриването и неутрализирането на вътрешните заплахи;
    • редовно одитирайте достъпа до данни и дейностите в системата ви. Това може да вдигне тревога много преди да настъпи значителен пробив.
    1. Password Attacks

    Паролите често са първата линия на защита, но могат да бъдат и най-слабото звено, ако не се управляват правилно. Слабите и лесно отгатваеми пароли приличат на това да оставите входната си врата отключена в квартал с високи нива на престъпност. При различните видове brute force атаки киберпрестъпниците не се нуждаят от сложни методи, за да получат неоторизиран достъп до вашите системи.

    Освен че трябва да са сложни, паролите не трябва да се съхраняват на листчета или в незащитена електронна таблица. Идеалната парола е не само трудна за отгатване, но и строго охранявана.

    За да се защитите:

    • използвайте инструментите за управление на пароли, които могат да ги генерират и съхраняват сигурно вместо вас;
    • използвайте MFA, която добавя още едно ниво на сигурността. Тя изисква допълнителна информация или действие, за да се получи достъп до вашата система.
    1. Уязвимости на IoT

    IoT (Интернет на нещата) устройствата се появяват навсякъде – от интелигентни термостати до свързани кафемашини. Въпреки че улесняват живота ни, те невинаги са създадени с мисъл за сигурността. Производителите често дават приоритет на удобството за ползване и функциите пред протоколите за сигурност.

    Липсата на вградена защита прави IoT устройствата лесно достъпни за киберпрестъпниците. Веднъж компрометирани, тези на пръв поглед безобидни джаджи могат да служат като троянски коне. Te предоставят на нападателите достъп до по-голямата ви и подсигурена мрежа.

    Тя е много повече от компютри и сървъри. Един умен хладилник или свързаният принтер в дъното на коридора може да се окажат ахилесовата пета на вашата мрежа. Тези устройства често споделят една и съща инфраструктура с вашите критични системи. Уязвимост в едно IoT устройство може да послужи като отправна точка за киберпрестъпниците да компрометират по-критични системи.

    За да се защитите:

    • сегментирайте мрежите си, като държите IoT устройствата отделени от основните си бизнес операции;
    • въведете строги мерки за сигурност. Това включва задаване на силни, уникални пароли за всяко устройство и редовното им актуализиране;
    • не разчитайте на настройките по подразбиране;
    • следете актуализациите на фърмуера и пачовете за сигурност;
    • провеждайте постоянен мониторинг на мрежите си за необичайна активност. Това ще ви позволи да действате, преди да са нанесени значителни щети.
    1. Социално инженерство

    Когато става въпрос за киберсигурност, често се фокусираме върху софтуерните уязвимости и забравяме човешкия аспект. При социалното инженерство обаче основният вектор на атаката не е софтуера, а вашият персонал. Атакуващите използват общочовешки черти като доверие или страх, за да подмамят служителите да предадат пароли, банкови преводи или дори физически достъп до сградата ви.

    Техниките за социално инженерство са изключително разнообразни, а най-лошото е, че не съществуват технологични решения срещу тях. Вашият най-съвременен firewall и най-добрите инструменти за криптиране няма да са от голяма полза срещу служител, подмамен да предаде данните си за вход.

    За да се защитите:

    • провеждайте редовни обучителни сесии, които да информират служителите ви за най-новите техники за социално инженерство;
    • създайте протоколи за проверка на самоличността на всеки, който иска поверителна информация;
    • проверявайте задълбочено имейлите, в които се иска достъп или информация до вашите системи.
    1. SQL Injection

    Атаката от типа SQL Injection е като вълк в овча кожа. Тя влиза незабелязано през полето за въвеждане на уебсайта, но е достатъчно мощна, за да разруши цялата ви база данни. Нападателите обикновено използват лошо проектирани формуляри на уебсайтове, за да вмъкнат зловреден SQL код, който базата данни може да изпълни. В резултат на това нападателите могат да го манипулират, крадат или дори изтриват вашите данни. Тези атаки са особено опасни, тъй като са насочени към мястото, където съхранявате най-чувствителната информация за бизнеса и клиентите си.

    Последиците от SQL Injection обикновено са катастрофални. Данните на клиентите могат да бъдат откраднати, а интелектуалната ви собственост – компрометирана. Това може да доведе до нарушения на разпоредбите за защита на данните, големи глоби и правни санкции.

    За да се защитите:

    • използвайте параметризирани заявки, които гарантират, че нападателите не могат да си играят с вашите SQL команди;
    • интегрирайте firewall за уеб приложения (WAF), който наблюдава и филтрира злонамерените HTTP заявки;
    • провеждайте редовни одити на сигурността, за да идентифицирате уязвимостите, преди да бъдат използвани;
    • направете превенцията ключов компонент на вашата стратегия за киберсигурност.
  • Сложни AI атаки таргетират потребителите на Gmail. Ето как да ограничите риска

    С 2,5 млрд. акаунта Gmail е най-голямата услуга за електронна поща в света. Това я превръща в любим вектора за кибератаки на хакерите. И въпреки че Google постоянно въвежда нови функции за сигурност, те измислят нови тактики.

    Навлизането на AI и възможностите за deepfake, които дава той, се превърнаха в поредното оръжие в арсенала на киберпрестъпниците. Те използват технологията, за да създават изключително реалистични фалшиви видеоклипове или аудиозаписи, почти неразличними от автентично съдържание от реални хора.

    Платформите за deepfake стават все по-достъпни и вече дори хора без предишен опит могат да създават убедително съдържание. Атаките имат такова качество, че могат да заблудят дори опитен професионалист в областта на киберсигурността.

    Пример за това е консултантът по решения за сигурност на Microsoft Сам Митрович. През октомври той става жертва на атака, задвижвана от AI.

    Тя протича така:

    • получава известие за опит за възстановяване на акаунт в Gmail. На пръв поглед то идва от Google;
    • експертът игнорира това съобшение, но седмица след това получава телефонното обаждане от „отдела за поддръжка“ на компанията. То е извършено от напълно легитимен телефонен номер;
    • впоследствие обаждащият се изпраща имейл за потвърждение.

    Тъй като е консултант по сигурността обаче, Митрович забелязва нещо, което по-малко опитен потребител би пропуснал. В полето за изпращача е умело замаскиран адрес, който всъщност не е на Google. Ако не беше забелязал това несъответствие, Митрович е можело да завърши „процеса на възстановяване“. Това би позволило на нападателя да прихване данните за вход и бисквитката на сесията, а оттам и да заобикали 2FA.

    За да ограничите максимално риска да стането жертва на подобни атаки, Google препоръчва:

    • ако получите подобно предупреждение, избягвайте да кликвате върху връзки, да изтегляте прикачени файлове или да въвеждате лична информация. „Google използва усъвършенствана система за сигурност, за да ви предупреждава за опасни съобщения, опасно съдържание или измамни уебсайтове“, казват от компанията. „Не въвеждайте лична информация в имейли, съобщения, уебстраници или изскачащи прозорци от ненадеждни или непознати доставчици.“
    • не отговаряйте на искания за лична информация по имейл, текстово съобщение или телефонно обаждане;
    • ако смятате, че имейл за сигурност, който изглежда като от Google, може да е фалшив, отидете директно на myaccount.google.com/notifications. На тази страница можете да проверите последните дейности по сигурността на вашия профил в Google;
    • пазете се от съобщения, изискващи спешни действия. Това важи с пълна сила за такива, които на пръв поглед идват от близки хора, като например приятел, член на семейството или колега;
    • ако все пак кликнете върху връзка и бъдете помолени да въведете паролата за вашия Gmail, акаунт в Google или друга услуга: Не го правете! Вместо това отидете директно на уебсайта, който искате да използвате.

     

  • 10 типа кибератаки, които могат да убият малките бизнеси, и как да намалим риска (Част 1)

    Последен ъпдейт на 5 януари 2025 в 10:07 ч.

    В цифровата ера малките фирми могат да процъфтяват както никога досега, но само ако успеят да се справят с нарастващата вълна от киберзаплахи. Ако някога се смяташе за проблем на големите корпорации, днес киберсигурността е критичен въпрос за бизнесите от всякакъв размер. Малките фирми често не разполагат със стабилни защитни механизми, което ги превърна в основни мишени за киберпрестъпниците.

    Киберсигурността не е само IT проблем, тя вече е въпрос на оцеляване. Изборът е ясен: адаптирайте се и защитете бизнеса си или рискувайте да се превърнете в поредната поучителна история за другите.

    Ето кои са 10-те основни киберзаплахи, от които малките бизнеси трябва да се предпазват, и как да го направят.

    1. Фишинг атаки

    Фишингът има различни форми и всяка от тях е насочена към най-слабото звено в една организация – човешкия фактор.

    Spear phishing кампаниите, например, се насочват към конкретни лица. Те често използват лична информация, за да спечелят доверието на жертвата.

    Whaling phishing таргетира високопоставени ръководители заради техния достъп до чувствителна информация.

    Clone phishing е особено коварен, тъй като възпроизвежда предишни официални имейли, но заменя легитимните връзки или прикачените файлове със злонамерени.

    Повечето фишинг имейли са старателно изработени, за да изглеждат легитимни. За нетренираното око адресът на изпращача, логото и дори подписът на имейла изглеждат напълно автентични. Те често са придружени от убедителни призиви за бързи действия.

    За да се защитите:

    • интегрирайте многопластови мерки за сигурност, като например решения за филтриране на имейли и инструменти за откриване на аномалии, управлявани от изкуствен интелект;
    • регулярно обучавайте служителите си за последните тенденции във фишинг атаките;
    • периодично провеждайте симулационни фишинг тестове, за да държите екипа в готовност;
    • възнаграждавайте тези, които идентифицират опитите за фишинг, като по този начин създавате култура на осведоменост за киберсигурността.
    1. Ransomware

    Ransomware действа като цифров бандит, който изземва ценните ви данни и иска откуп, за да ги върне. След като проникне в системата ви, той ги криптира и блокира достъпа до тях, докато не платите откуп. Дори да платите обаче, няма гаранция, че ще ги получите обратно.

    Затова никога не плащайте искания откуп. Ако го направите, това само изчерпва финансовите ви ресурси и ви прави мишена за бъдещи атаки. След като киберпрестъпниците разберат, че сте готови да платите, вие по същество рисувате мишена на гърба си.

    За да се защитите:

    • използвайте инструменти за откриване и реагиране на зловреден софтуер в реално време. Те могат да идентифицират и изолират ransomware атаките още в зародиш, преди да успеят да нанесат поражения;
    • поддържайте актуални резервни копия на данните си в отделни, изолирани среди, които не са пряко достъпни от основната ви мрежа;
    • обучете екипа си как да разпознава ранните признаци на ransomware атака, като например нежелани прикачени файлове към имейли или подозрителни софтуерни актуализации, и да ги докладва незабавно.
    1. Зловреден софтуер (malware)

    Когато повечето хора чуят „зловреден софтуер“, те веднага се сещат за вируси. Тази вселена обаче е много по-широка и включва изобилие от инструменти – червеи, троянски коне и шпионски софтуер. Всеки вариант има свой собствен начин на действие. Някои от тях са предназначени да изтриват файловете ви, други крадат данни, а трети могат да получат пълен контрол над компютъра ви.

    Тези злонамерени програми често използват усъвършенствани техники, за да избегнат откриването си. Веднъж попаднали в системата, те могат да останат неактивни или да действат скрито във фонов режим. Този вид продължително излагане на риск може да предизвика хаос, да компрометира данни, да подкопае доверието на клиентите и дори да спре бизнес операциите ви.

    За да се защитите:

    • редовно актуализирайте софтуерите си за киберсигурност;
    • регулярно обучавайте служителите си за опасностите от изтеглянето на прикачени файлове от неизвестни или подозрителни източници и следването на съмнителни връзки.
    1. Man in the middle

    Атаките от типа man in the middle (MitM) са изключително опасни. Представете си, че някой прихваща пощата ви, прочита я и след това я изпраща на получателя, без вие да разберете. Само че в този случай това са всичките ви цифрови комуникации.

    При този тип атаки хакерите могат да променят съдържанието или да съберат цялата информация за бъдеща атака. Това може да се случи по време на всяко онлайн взаимодействие – от изпращане на имейл до извършване на финансова трансакция на висока стойност.

    За да се защитите:

    • инвестирайте в надеждни цифрови сертификати за удостоверяване на самоличността на вашия уебсайт и свързаните с него онлайн платформи;
    • информирайте служителите и клиентите си за рисковете от свързване с незащитени мрежи или игнориране на предупрежденията на браузъра за ненадеждни сертификати.
    1. DDoS атаки

    DDoS атаките заливат мрежата ви с прекомерно количество данни, като забавят или спират работата ѝ. Онлайн услугите ви стават недостъпни.

    Това ги превръща в кошмар за непрекъснатостта на бизнеса. Когато системите ви се сринат, последствията могат да бъдат катастрофални. Клиентите нямат достъп до услугите ви, продажбите рязко спадат, а репутацията на фирмата ви се срива. В дългосрочен план тези атаки могат да подкопаят доверието на клиентите и да ги накарат да се насочат към ваши конкуренти.

    За да се защитите:

    • уверете се, че разполагате с инструменти за защита от DDoS, за да можете да разпознаете рязкото нарастване на легитимната активност на клиентите и злонамерения трафик;
    • следете за най-новите актуализации за сигурност, които поправят известни уязвимости, намалявайки цялостния ви риск;
    • провеждайте периодични стрес тестове на вашата система;
    • изградете план за реагиране, адаптиран за DDoS сценарии, така че всеки от екипа ви да знае своите отговорности. Това гарантира бързо и координирано противодействие на всяка атака.

    (Очаквайте продължение)

  • От AI до EDR Killers: Основни рискове за киберсигурността през 2025 и как да се предпазим

    Пейзажът на киберсигурността се развива по-бързо от всякога. Зад това развитие стои както напредъкът на технологиите, така и все по-усъвършенстваните тактики на киберпрестъпниците.

    Ето някои основни тенденции, които ще оформят индустрията, и няколко съвета от ESET как организациите могат да подобрят своята киберзащита.

    Заплахи, задвижвани от изкуствен интелект (AI)

    Инструментите на AI позволяват на киберпрестъпниците да генерират убедителни фишинг кампании и дезинформация в голям мащаб. Очаква се ръст на по-достоверно изглеждащите измами, генерирани и задвижвани от AI модели с отворен код. По-уязвимите потребители на социалните медии ще станат обект на кампании за дезинформация и манипулация.

    Ransomware и EDR Killers

    RansomHub рязко се издигна като лидер на пазара на ransomware като услуга (RaaS) през 2024 г. и най-вероятно ще продължи да доминира през следващата година. В тази силно конкурентна среда киберпрестъпниците ще продължат да подобряват своите EDR Killers, като ги правят по-сложни и по-трудни за откриване.

    Мобилни измами и зловреден софтуер

    През 2025 г. се очаква увеличаване на атаките срещу iOS чрез Progressive Web Apps (PWA) и WebAPK, които заобикалят традиционната защита на магазините за приложения. Приемането на SDK Flutter от страна на хакерите също ще се засили. Те все по-често ще използват неговите мултиплатформени възможности за разпространение на зловреден софтуер.

    Предизвикателства пред сигурността в облака

    Продължаващото преминаване към облачни инфраструктури носи със себе си рискове като неправилни конфигурации, несигурни API и вътрешни заплахи. За да ги смекчат, предприятията трябва да се съсредоточат върху криптирането и защитата от DDoS. Сигурното управление на API и стриктното наблюдение на конфигурациите в облака също са от критично значение за сигурността на организациите.

    Съответствие и NIS2

    Съответствието с новата директива NIS2 ще остане ключова тема през 2025 г. По-строгите мерки за сигурност, наложени от директивата, ще пренасочат киберпрестъпниците към организации извън нейния обхват. Ще се увеличи и риска от шантаж на тези, които не са в състояние да изпълнят новите задължителни стандарти. Затова всички организации – независимо от мащаба и индустрията – трябва да бъдат подготвени да подобрят своите практики за киберсигурност.

    Проактивни мерки и превенция

    Възприемането на мислене, насочено към превенцията, е от решаващо значение за справяне с тези нови заплахи. Организациите трябва да прилагат проактивни мерки. Те включват:

    • надеждни инструменти за сигурност, управлявани от изкуствен интелект;
    • по-силно криптиране;
    • усъвършенствани системи за управление на идентичността;
    • постоянно повишаване на осведомеността на служителите по въпросите на киберсигурността.

    2025 г. ще бъде осеяна с предизвикателства, но с правилната стратегия и ангажимент за иновации организациите могат да ограничат нарастващите рискове.

  • Интелигентни договори и блокчейн подобряват сигурността на финансовите трансакции

    В тази свързана епоха нарушаването на сигурността на данните и онлайн измамите предизвикват все повече опасения. Едни от инструментите, които могат да внесат сигурност при финансовите трансакции, са блокчейн технологията и интелигентните договори.

    Тяхната способност да осигуряват прозрачност, да премахват посредниците и да изграждат устойчиви на измами механизми ги превръща в част от отговора на съвременните финансови системи.

    Как блокчейн изгражда сигурна основа

    Блокчейн е най-известна като технологията, която стои зад криптовалути като Bitcoin и Ethereum, но нейните приложения далеч надхвърлят цифровите пари. Тя работи като децентрализирана счетоводна книга, записваща трансакциите в множество точки на мрежата. Това я прави невероятно сигурна и почти невъзможна за подправяне или хакване от киберпрестъпниците.

    Когато става въпрос за цифрови плащания, тази децентрализация е от ключово значение. Традиционните платежни системи разчитат на централни органи, които са уязвими на атаки със зловреден софтуер, пробиви и измами.

    Блокчейн, от друга страна, разпределя записите на трансакциите в мрежа, като намалява риска от пробив през една уязвима точка. Технологията гарантира, че след като трансакцията е записана, тя не може да бъде променена. Това добавя допълнително ниво на доверие и отчетност.

    Ролята на интелигентните договори

    Интелигентните договори извеждат сигурността на блокчейн още една стъпка напред. Тези самоизпълняващи се споразумения работят въз основа на установени критерии, записани в код. След като условията са изпълнени, договорът се изпълнява автоматично, като се премахва необходимостта от посредници.

    Когато даден бизнес купува някаква цифрова услуга, например, интелигентният договор може да бъде програмиран да освободи плащането, едва след като тя е доставена и проверена. Това намалява риска от измами и спорове.

    Друго предимство е ефективността. Чрез автоматизиране на процесите интелигентните договори спестяват време и намаляват разходите, свързани с ръчната проверка и надзора от трета страна. Това ги прави особено привлекателни за индустрии, в които доверието и бързината са от първостепенно значение. Пример за такива са управление на веригата за доставки, застраховане и недвижими имоти.

    Разбира се, те не са на 100% защитени. Неотдавнашен анализ идентифицира 101 различни уязвимости в интелигентните договори на Ethereum. Само през първото тримесечие на 2024 г. експлойти, насочени към тях, са довели до загуби за близо 45 млн. долара в рамките на 16 инцидента.

    Приложения в реалния свят

    Въпреки това, блокчейн и интелигентните договори вече се използват за повишаване на сигурността на трансакциите в световен мащаб. Microsoft, JPMorgan Chase, Walmart, IBM и Amazon са само някои от основните примери. В електронната търговия тези технологии защитават както купувачите, така и продавачите.

    Дори извън сферата на плащанията блокчейн може да бъде много полезна от гледна точка на сигурността. Нейните приложения са многобройни – от защитата на здравни досиета до проверката на автентичността на луксозни стоки.

    Чрез тези технологии бизнесите могат да получат конкурентно предимство по отношение на сигурността и ефективността. За потребителите те означават по-безопасни и надеждни трансакции.

    Въпреки че те не са лишени от предизвикателства, ползите от тях са категорични. Предприятията, които искат да въведат сигурни системи за плащане, трябва да обмислят тези алтернативи.

  • Образование, знание, мотивация: Пътят на етичния хакер

    Последен ъпдейт на 31 декември 2024 в 13:34 ч.

    Какво е етичен хакер? Лесно ли се става такъв и какви са изискванията към този тип специалисти по киберсигурност? Нужни ли са сертификати и висше образование за тепърва прохождащите на това поле? Какво е offensive security?

    На тези и още много други въпроси по темата отговори по време на КиберКоледа ’24 Аспарух Гаврилов, председател на Националния Кибер Отбор на България и ръководител на екип от етични хакери в PwC.

    Какво е етичен хакер?

    Често хабитатът на етичния хакер се представя като тъмна, затворена стая, пълна с блестящи екрани. В нея стои човек с качулка и се взира във въпросните монитори. Всъщност това не е така. Или поне не е точно така.

    За да ви стане напълно ясно какво представляват този тип специалисти по киберсигурност, трябва да сте наясно с един друг термин – offensive security. Най-просто казано, докато повечето организации се защитават от атаки реактивно, идеята на offensive security е да даде възможност за проактивна защита. Това се случва чрез симулации на атаки в реално време, което помага на бизнеса да разбере къде има пропуски в киберсигурността.

    „Етичните хакери са хора, които имат едни определени качества – аналитично мислене, интерес за разрешаване на проблеми и способността да събират много части и да виждат цялата картинка“, обясни Аспарух Гаврилов. „Те са много специални, защото са най-близкото нещо, до което една организация може да се докосне, за да разбере как хакерите биха оперирали в нейната среда. Това са хората, които знаят как един бизнес може да бъде хакнат и как да се защити“.

    Пътят на етичния хакер

    Ако преди време етичното хакерство беше нещо екстравагантно и нямаше достъпна информация за него, то днес нещата са съвсем различни.

    „В момента тя е навсякъде в онлайн пространството и всеки може да се докосне до нея и да черпи нови знания ежедневно. В моя личен опит съм използвал редица платформи като Hack the Box, Try Hack Me и т.н. Те са достъпни абсолютно безплатно“, акцентира председателят на Националния Кибер Отбор на България, и даде няколко съвета към хората, които искат да последват неговия път:

    • Участвайте в bug bounty програми и Capture the Flag събития. Те развиват креативността, въображението и хакерското мислене;
    • Вниквайте в нещата. Когато правите нещо на копирайте просто една команда, незнаейки какво се случва. Опитвайте се да разберете как функционира системата;
    • Бъдете ангажирани. Следете ежедневно какво се случва в сферата на киберсигурността. Включвайте се в конференции като Кибер Коледа, Cyber Security Talks и BSides;
    • Намерете си общност от съмишленици, с които да обсъждате темата киберсигурност и етичното хакерство;
    • Поинтересувайте се за националния отбор по киберсигурност на България. Разберете кога са квалификациите догодина, защото това е уникална възможност за хора между 14 и 25 години за трамплин в сферата на киберсигурността.

    „Напоследък малко се пренебрегва висшето образование, което е грешка. В него, освен придобиването на технически знания, има и много други практически умения. Това са управление на времето, спазване на срокове, писане на доклади и т.н.“, добави Аспарух Гаврилов. „Ние, като етични хакери, поемаме ангажимент към клиента, че дадена работа ще се свърши в определен срок. Освен това никой не го интересува колко е добър един етичен хакер, ако той не може да опише работата, която е извършил“.

    По думите му специалистите, които тепърва започват да се развиват на това поле, първо трябва да придобият определени умения и чак тогава да мислят за сетрификати. Но друго нещо е изключително важно:

    „Не се плашете, че не знаете. Бъдете любопитни и не спирайте да учите“.

  • Nearest Neighbor атаки заплашват всяка Wi-Fi мрежа по света. 5 стъпки, за да се защитите

    Доскоро се смяташе, че обикновено за да бъде пробита една Wi-Fi мрежа, нападателят трябва да е физически близо до точката за достъп. Новопоявилата се тактика, наречена Nearest Neighbor, обаче обори категорично това разбиране.

    Тя разкри, че дори добре защитената безжична мрежа може да се превърне в удобна входна точка за отдалечени нападатели. За целта те просто трябва да компрометират друга, по-уязвима компания, намираща се в същата или съседна сграда.

    Как се случва атаката Nearest Neighbor?

    Представете си хакерска група, която планира да проникне дистанционно в дадена организация. Тя събира информация за жертвата си, проучва външния ѝ периметър и успява да се сдобие с идентификационните данни на служители от масиви с изтекли пароли. Но не открива уязвимости, които да могат да бъдат използвани. В същото време външните услуги на организацията са защитени с MFA, така че само паролите не са достатъчни за достъп.

    Един от потенциалните методи за проникване може да бъде корпоративната Wi-Fi мрежа. Това важи с още по-голяма сила, ако има такава за гости, която не е достатъчно изолирана от основната.

    Тук обаче идва един проблем: хакерите са на другия край на земното кълбо и не могат физически да се свържат с Wi-Fi мрежата на организацията. Отговорът е тактиката Nearest Neighbor.

    При нея нападателите:

    • откриват по-слабо защитена организация, физически разположена в обхвата на целевата Wi-Fi мрежа;
    • пробиват нейните системи и получават достъп до тях;
    • компрометират устройство, оборудвано с безжичен модул;
    • сканират Wi-Fi средата чрез него и откриват SSID на мрежата на целевата компания;
    • използват компрометираното устройство като мост и се свързват с целевата Wi-Fi мрежа.

    По този начин нападателите проникват в периметъра на жертвата. След това те могат да продължат с основните си цели – кражба на информация, криптиране на данни, наблюдение на дейността на служителите и др.

    Как да се предпазите

    Nearest Neighbor не е теоретична заплаха. Тази тактика вече се използва от ATP групите.

    За да не станете жертва на подобна атака, трябва да се отнасят към сигурността на своите Wi-Fi мрежи изключително отговорно.

    Ето пет основни стъпки, които могат да ви защитят:

    1. Уверете се, че Wi-Fi мрежата за гости е наистина изолирана от основната мрежа.
    2. Засилете сигурността на корпоративния Wi-Fi достъп чрез 2FA с еднократни кодове или сертификати.
    3. Възприемете Zero Trust модела за сигурност.
    4. Използвайте усъвършенствана система за откриване и предотвратяване на заплахи.
    5. Ако не разполагате с висококвалифицирани вътрешни специалисти по киберсигурност, използвайте външни такива.
Back to top button