защита на информационните ресурси

Нов доклад на Specops установява, че от един милиард компрометираните пароли почти 1/4 отговарят на стандартните изисквания за сложност. И въпреки това престъпниците са успели да ги пробият. От тях 230 милиона са отговаряли на всички изисквания, включително повече от осем знака, една главна буква, специален символ и число.

Има и още много доказателства за уязвимостта на паролите. Според Data Breach Investigations Report 2024 (DBIR) на Verizon откраднатите креденшъли са основният фактор, водещ до нарушения на сигурността на организациите.

Затова не е изненада, че през последните години се появяват все повече алтернативни методи за удостоверяване на автентичността на потребителите.

Ето 7 от тях:

1. Биометрично удостоверяване

Биометричното удостоверяване използва физическите аспекти на дадено лице, за да потвърди самоличността му – пръстови отпечатъци, лицево разпознаване, сканиране на ириса и др. Този метод има очевидни предимства.

Пръстовите отпечатъци например са уникални за даден човек, така че не могат лесно да бъдат имитирани или възпроизведени. Освен това технологията е лесна за използване, като се избягва необходимостта от въвеждане на данни, които лесно могат да бъдат забравени.

Но и този метод не е неуязвим. Deepfake технологията може да се използва за създаване на фалшиви версии на лицето или други биометрични данни. А ако една подобна система бъде компрометирана, не можете просто да възстановите биометричните данни, както бихте направили с парола.

2. Поведенческа биометрия

Подобно на биометричната автентификация, поведенческата биометрия разчита на характеристики, които са уникални за дадено лице. Само че този път това е начинът, по който взаимодействате с въпросното приложение или уебсайт – например как движите мишката или пишете на клавиатурата.

Ползите са очевидни – потребителят не трябва да прави нищо специално, което прави този метод изключително удобен. Освен това се намалява опасността от споделяне на удостоверения, тъй като не можете лесно да споделите ритъма си на писане.

Но той може да се окаже скъп за интеграция и има потенциални опасения относно поверителността на данните в случай на пробив.

3. Blockchain за сигурно съхранение на пароли

Blockchain технологията може да осигури изключително сигурен метод за защита на данните. Тя осигурява защитен метод за разпространение на данни в децентрализирана мрежа. Въпреки това остават въпроси относно възможните разходи за съхраняване на пароли в Blockchain мрежи като Bitcoin или Ethereum.

4. Zero-knowledge proof (ZKP) технология

ZKP доказва истинността на математическо твърдение, без да разкрива допълнителна информация, „която може да е била полезна при намирането му“, отбелязва NIST. Това е криптографски метод, който доказва, че знаете паролата си, без да е необходимо действително да въвеждате данните си. С други думи, можете да докажете кой сте, без да се налага да споделяте лична информация.

Но и този метод има своите предизвикателства. Те включват ресурсните изисквания за обработка на заявките и потенциални проблеми, свързани със сложността.

5. Passphrases

Друга алтернатива на традиционните пароли е използването на Passphrases. За разлика от стандартните пароли, те се състоят от няколко свързани думи. Това създава по-дълъг, но по-лесно запомнящ се метод за удостоверяване.

Например, парола като „PurpleBananaSunsetDancer!“ се запомня по-лесно от произволен низ от букви и цифри, като същевременно осигурява силна защита благодарение на дължината си.

Passphrases са особено ефективни срещу Brute force атаки, тъй като дължината им увеличава експоненциално броя на възможните комбинации. Те обаче продължават да разчитат на входни данни, генерирани от потребителя. Това означава, че могат да бъдат уязвими, ако се използват общи фрази или предсказуеми модели на думи.

6. Passkey

Passkey е устойчива на фишинг алтернатива на паролите, която набира популярност през последните няколко години. Тя използва криптография с публични ключове за удостоверяване на потребителите. Обикновено ключът е свързан с устройство, например телефон или компютър, и може да бъде отключен с помощта на биометрични данни или ПИН код.

Passkey е устойчива на credential stuffing и фишинг атаки. Частният ключ, използван за удостоверяване, се съхранява на сигурно място в устройствата на потребителите и никога не се споделя с уебсайтове и не се предава по интернет. В резултат на това няма креденшъли, които могат да бъдат откраднати при фишинг атаки или пробиви в данните.

Технологията вече се поддържа широко от всички основни платформи, включително Google, Apple и Microsoft.

7. Security keys

Security keys са физически устройства, обикновено USB, NFC или Bluetooth, които най-често се използват за MFA. След като въведат парола, потребителите активират ключа за сигурност или въвеждат ПИН код, за да потвърдят самоличността си.

Security keys са устойчиви на атаки, тъй като изискват не само достъп до физическото устройство, но и до биометричните данни и ПИН.

Най-доброто от двата свята

Много от тези подходи са на разположение от известно време. Въпреки това паролите остават в основата на онлайн сигурността.

Това е така, защото:

• концепцията е утвърдена от десетилетия и е лесна за разбиране от всички;
• можете лесно да промените паролата си, ако се налага;
• паролите са или верни, или грешни – нищо повече, нищо по-малко;

Оптималният подход не е да избирате между пароли и някоя друга форма на автентификация. Вместо това трябва да се възползвате от предимствата на новите технологии, като същевременно запазите удобствата на сегашните.

Aтаките с т.нар. EDR Killers стават все по-разнообразни. Те са предназначени да блокират инструментите за киберсигурност и да позволят безпроблемното изпълнение на ransomware. Това поставя още едно предизвикателство пред бизнеса в киберпространството.

Още повече, че този тип зловредни софтуери рязко увеличават своята популярност. Според Picus Red Report 2024 тяхното използване е скочило със зашеметяващите 333% през миналата година.

Опростените версии на EDR Killers са под формата на скриптове, които се опитват директно да прекратят списъка с процеси. По-сложните отиват отвъд това и използват техниката, известна като Bring Your Own Vulnerable Driver (BYOVD). Те злоупотребяват с легитимни, но уязвими (обикновено по-стари) драйвери, за да получат достъп до ядрото на целевата операционна система.

Тези инструменти все пак могат да бъдат спрени. Точните мерки за превенция и надеждните решения за киберсигурност от опитен доставчик са важна част от това.

Как да се защитим от EDR Killers

Защитата срещу EDR Killers не е лесна задача. Тя изисква подход, насочен преди всичко към превенцията. Освен това организациите се нуждаят от многопластова стратегия, способна да открива зловреден софтуер на няколко етапа от атаката.

Ето няколко компонента на вашата защита, с които трябва да разполагате, според ESET:

• Висококачественият EDR е задължително условие: EDR Killers са усъвършенствани инструменти за атака. Затова решенията за киберсигурност, внедрени в целевата крайна точка, също трябва да са от най-високо ниво. Те трябва да разполагат с възможности за откриване на зловреден код, злоупотребяващ с уязвими драйвери, още преди изпълнението му.
• Нужна е и защита от подправяне: Тя не позволява на неоторизирани потребители да деактивират или променят компонентите или възможностите на дадено решение за сигурност.
• Блокиране на уязвими драйвери: Това може да се постигне чрез строги политики по отношение на потенциално опасни приложения. За да избегнете смущения в работата на системата, трябва да започнете с режим „Detect but don’t clean”. След това добавете изключения, ако е необходимо, и накрая преминете към режим „Detect and clean”.
• Управление на уязвимостите и пачовете: Нападателите могат да се опитат да злоупотребят с уязвим драйвер, който вече е наличен на компрометираната машина, вместо да разчитат на BYOVD. Ето защо наличието на правилно управление на пачовете е друг ефективен метод за защита.
• Засилване на контрола на приложенията: Подобрете защитата си чрез контрол на приложенията. Например чрез Windows Defender Application Control (WDAC), където можете да създадете политика, която позволява зареждането само на избрани драйвери.
• Ограничаване на достъпа до настройките за сигурност на крайните точки: Използването на силна парола за блокиране на тези настройки добавя още едно ниво на защита.

Имайте предвид, че криптирането на файлове и последващото изнудване обикновено са последните етапи на атаката с ransomware. Преди това мрежата е била пробита и нападателят е успял да получи администраторски привилегии. Задачата на защитниците е да открият атаката на ранен етап, за да предотвратят изцяло възможността тя да стигне до финалните си акорди.

Теорията е само едната част от уравнението, когато става дума за сложни материи като киберсигурността. Другата е практиката.

Затова и вторият ден на тазгодишното издание на Security BSides Sofia – 30-ти март – ще премине под формата на два практически уъркшопа.

„Уъркшопите във втория ден на Security BSides Sofia 2025 ще дадат на участниците реален практически опит. Те ще боравят с инструменти и техники, които могат да приложат веднага в работата си. Подходящи са за системни администратори, SOC анализатори, офанзивни и дефанзивни специалисти, но и за напреднали ентусиасти, които искат да направят следваща крачка в киберсигурността. Важното е участникът да има основни познания и готовност да се включи активно – останалото ще дойде чрез практиката“, обяснява експертът по информационна сигурност Николай Пасков, който е част от организацията на Security BSides Sofia 2025.

Темата на първия уъркшоп е „Threat Hunting & Incident Response“. Участниците в него ще влязат в ролята на Blue Team. Те ще получат достъп до лабораторна среда с данни от пробив и ще трябва да идентифицират заплахите и да предложат адекватен отговор.

Вторият уъркшоп е „Red Team Tactics for Blue Teams”. Неговият фокус ще падне върху начина на мислена на нападателите – какви техники използват и как защитниците могат да предвидят и блокират техните действия. Тук участниците ще преминат през атака на среда с уязвимости и ще трябва да прилагат защитни контрамерки в реално време.

И двете практически занимания ще започнат с кратък теоретичен брифинг, след което следват практически задачи в контролирана лабораторна среда. Всеки уъркшоп завършва с обща дискусия и обратна връзка от менторите.

„Избрахме тези теми, защото отговарят директно на реалните нужди на специалистите по киберсигурност у нас. Все по-често компаниите се сблъскват с инциденти, при които скоростта и качеството на реакцията са от ключово значение. Threat Hunting и Red Teaming не са просто „модерни думи“, а ежедневие в света на проактивната защита. Виждаме сериозен интерес от страна на нашата общност и искаме да предоставим възможност за учене чрез действие, а не само слушане“, споделят организаторите на събитието.

Ако лекциите дават рамка, знание и вдъхновение, то именно практическите панели позволяват да се провери „а сега можеш ли да го направиш“.

„Те надграждат теорията, като поставят участника в динамична, контролирана, но близка до реалната среда. Там се учи най-много – от грешките, от въпросите, от екипната работа. Вярваме, че така се създава по-силна и по-уверена общност от професионалисти, които знаят не само какво, но и как да го приложат“, акцентира Николай Пасков.

Security BSides Sofia 2025 ще се проведе на 29 и 30 март в Interpred WTC Sofia. Събитието се отличава от обичайните форуми с това, че е изцяло технически насочено. Презентаторите са част от него като представители на общността за киберсигурност, а не на компаниите, за които работят.

Цялата програма и билети можете да намерите ТУК.

Партньори на четвъртото издание на форума са CENTIO#Cybersecurity, [UX2.DEV], Commerzbank, ESET и BASELINE Cybersecurity.

Медийни партньори: DEV.BG, DIR.BG, Digitalk, BTV, Kaldata.

Каква е ролята на генеративния изкуствен интелект в съвременната кибер война? Откъде трябва да започнат начинаещите в областта на киберсигурността? Какви са съществуващите техники за заобикаляне на системите за защита?

Отговори на тези и още много въпроси ще даде първият ден на конференцията на обществото на специалистите и ентусиастите по киберсигурност Security BSides Sofia 2025 – 29-ти март.

„Презентациите обхващат различни области и са с различна комплексност. Така всеки ще може да намери нещо за себе си. Да вземе нещо, което го интересува и което евентуално би приложил в професионалните си задължения. Целта ни е всички присъстващи да обогатят своите знания и погледа си върху темата киберсигурност“, обяснява експертът по информационна сигурност Николай Пасков, който е част от организацията на Security BSides Sofia 2025.

Събитието се отличава от обичайните форуми с това, че е изцяло технически насочено. Презентаторите са част от него като представители на общността за киберсигурност, а не на компаниите, за които работят.

Старт на сцената на Security BSides Sofia 2025 в Interpred WTC ще даде експертът по киберсигурност Крис Кубецка. Тя е известна с ключовата си роля във възстановяването на мрежите на Saudi Aramco след мащабната кибератака през 2012 г. Кубецка ще изнесе лекция на тема „Генеративен AI в кибервойната и навигиране в пост-квантовото бойно поле“.

В сутрешната част на програмата участие ще вземат още специалистът по информационна сигурност Асен Молов и Панайотис Фискилис, Senior Penetration Tester.

Следобед на 29-ти март изследователят по киберсигурността Илия Дафчев ще разкаже в подробности за операция WordDrone. Това е знакова киберкампания срещу аерокосмическия сектор на Тайван. Той ще направи дисекция както на техническите аспекти на атаката, така и на начините, по които тя е открита.

Луиджи Губело, Senior Security Engineer в Pitch, ще разкаже как PDF файловете се превръщат в оръжие в ръцете на хакерите. Специалистът по цифрова криминалистика и реакция при инциденти Юхо Юхиайнен пък ще обясни как нападателите използват open-source софтуери за атаки.

В следобедната сесия на сцената ще излезе и Евгени Дюлгеров, разработчик и предприемач, който ще сподели добрите практики в защитата на системи, захранвани от AI.

Security BSides Sofia 2025 ще се проведе на 29 и 30 март. Цялата програма можете да видите ТУК.

Билети можете да закупите ТУК.

Партньори на четвъртото издание на форума са CENTIO#Cybersecurity, [UX2.DEV], Commerzbank, ESET и BASELINE Cybersecurity.

Медийни партньори: DEV.BG, DIR.BG, Digitalk, BTV, Kaldata.

Fileless malware е усъвършенстван тип зловреден софтуер, който компрометира системите, без да съхранява постоянни изпълними файлове в тях. Това е в рязък контраст с традиционния malware. Той разчита на файлове, които лесно могат да бъдат открити от антивирусни решения, базирани на сигнатури.

Освен това Fileless malware умело използва легитимни системни инструменти като PowerShell, Windows Management Instrumentation (WMI) или дори вградени скриптове (например VBA макроси). Той работи изцяло в оперативната памет, оставяйки значително по-малка следа. Това го прави почти неуловим за конвенционалните методи за откриване и подобрява способността му да заобикаля периметровите защити.

Заразяването най-често става чрез техники за социално инженерство, като фишинг имейли с прикачени файлове и връзки. Когато те се активират, задействат изпълнението на скриптове в рамките на доверени процеси.

Стратегии за откриване на Fileless malware

Противодействието на Fileless malware изисква преминаване от конвенционални мерки за сигурност към по-динамични, ориентирани към поведението стратегии. Екипите по сигурността трябва да използват сложни инструменти и техники за ефективното му идентифициране и неутрализиране.

Ето няколко такива, специално проектирани за справяне с неговите отличителни характеристики:

1. Мониторинг на поведението на процесите в реално време и откриване на аномалии: Сканиранията, базирани на сигнатури, не работят. Интегрирайте решения, които наблюдават поведението на процесите в реално време. Внедряването на EDR системи може да подчертае необичайни дейности. Това включва неочаквани команди, стартирани от PowerShell, или необичайни мрежови връзки, които се отклоняват от стандартните системни модели.
2. Задълбочен анализ на паметта: Тъй като Fileless malware работи предимно в паметта, анализът на RAM е от решаващо значение. Анализът в реално време може да разкрие скрит злонамерен код или подозрителни process injection, които остават невидими на диска. Специализираните инструменти могат да помогнат за изолиране и изследване на тези скрити в паметта заплахи.
3. Управление и наблюдение на доверени инструменти: Ограничете използването на често експлоатирани системни инструменти като PowerShell. Това може да се направи чрез политики като списъци на разрешени приложения или контрол на изпълнението на скриптове. Активирайте подробно регистриране за среди, в които тези инструменти са от съществено значение. По този начин можете да одитирате тяхната активност и да откриете потенциални злоупотреби на ранен етап.
4. Анализ на мрежовия трафик: Fileless malware често се свързват с външни C2 сървъри (Command and Control Server). Чрез наблюдение на изходящия мрежов трафик за необичайни модели можете да откриете присъствието му, дори при липса на доказателства, базирани на файлове.
5. Обучение на потребителите и превенция на фишинг: Обучаването на потребителите да забелязват подозрителни връзки и прикачени файлове действа като решаваща първа линия на защита. Допълнете това с филтриране на имейли и sandbox тестване, за да прихванете заплахите преди да достигнат крайните точки.
6. Проактивно укрепване на системата: Минимизирайте повърхността на атака чрез деактивиране на ненужни функции (напр. макроси в Office документи) и приложете принципа на най-малката привилегия. Редовно актуализирайте системите, за да елиминирате уязвимости, които злонамереният софтуер може да експлоатира.

Спам имейлите ежедневно запълват пощенските ни кутии. Много хора ги изтриват, без да се замислят, приемайки, че това е най-добрият начин да се отърват от тях. Експертите по киберсигурност обаче съветват да не се прави това. Вместо да изтривате спам съобщенията веднага, трябва да ги маркирате като нежелани. Това може да подобри способността на вашия доставчик на електронна поща да ги филтрира в бъдеще.

Повечето услуги за електронна поща – Gmail, Outlook, Yahoo и т.н. – използват автоматични филтри за спам, за да отделят важните от нежеланите имейли. Тези филтри обаче разчитат на обратна връзка от потребителите, за да подобрят точността си. Ако просто изтривате спам имейли, без да ги маркирате като нежелани, системата не се учи от това и може да не филтрира подобни съобщения в бъдеще.

Ето как можете да помогнете за подобряване на филтъра за спам на вашата електронна поща:

• маркирайте ръчно нежеланите съобщения като спам, ако се появят във входящата ви поща. Това научава софтуера да разпознава подобни имейли и да ги блокира;
• ако вместо в папката за спам някое съобщение попадне във входящата ви поща, изберете го и го преместете там. Това помага да обучите системата да разпознава подобни заплахи.

Като следвате тези стъпки, не само намалявате спама във входящата си поща, но и допринасяте за подобряване на системата за филтриране за други потребители.

Не се „отписвайте“ от подозрителни имейли

Много спам имейли включват опция за „отписване“, което може да изглежда като лесен начин да спрете да ги получавате. Щракването върху този бутон обаче може да бъде рисковано.

Киберпрестъпниците изпращат милиони имейли на случайни адреси с надеждата да открият активни потребители. Когато щракнете върху „Отписване“, вие потвърждавате, че вашият имейл адрес е валиден и се следи активно. Вместо да спрат, спамърите могат да ви изпратят още повече нежелани имейли. В някои случаи щракването върху връзката може да ви насочи към злонамерени уебсайтове или дори да инсталира вреден софтуер на вашето устройство.

За да сте в безопасност, избягвайте да кликвате върху „отписване“ на имейли от непознати източници. Вместо това ги маркирайте като спам и ги преместете в папката за нежелани съобщения.

Как да се предпазите от спам

Спам имейлите не са само досадни, те могат да бъдат и опасни. Едни съдържат връзки към зловредни уебсайтове, други прикачени файлове, които инсталират зловреден софтуер на вашето устройство.

За да се защитите, следвайте тези прости стъпки:

• Бъдете нащрек: Ако имейлът изглежда подозрителен или изисква лична информация, бъдете предпазливи. Легитимните компании не искат поверителни данни чрез имейл.
• Не действайте прибързано: Измамниците често създават усещане за спешност, като ви притискат да действате бързо. Ако в имейл се твърди, че трябва да предприемете незабавни действия, помислете два пъти, преди да отговорите.
• Не кликвайте върху непознати връзки: Ако имейлът съдържа връзка, избягвайте да кликвате върху нея.
• Избягвайте да отваряте прикачени файлове от непознати изпращачи: Зловредният софтуер може да бъде скрит в прикачени файлове към имейли, включително PDF и ZIP файлове, както и Word документ. Отваряйте прикачени файлове само ако имате доверие на подателя.

Спам имейлите може да изглеждат безобидни, но начинът, по който се справяте с тях, може да повлияе на вашата онлайн сигурност. Вместо да ги изтривате веднага, маркирането им като спам помага на доставчиците на електронна поща да усъвършенстват филтрите си и да блокират подобни съобщения в бъдеще.

Според ново проучване на Mimecast малка част от служителите допринасят непропорционално много за тези инциденти. Едва 8% са отговорни за 80% от тях.

43% от респондентите съобщават, че през последните 12 месеца са наблюдавали увеличение на вътрешните заплахи и изтичането на данни заради небрежни служители. 66% очакват проблемите с киберсигурността заради вътрешни лица да нарасне през следващата година.

87% организации заявяват, че обучават служителите си да разпознават кибератаки поне веднъж на тримесечие. Въпреки това 33% се опасяват от човешки грешки при обработката на имейли. 27% са загрижени, че умората на служителите води до спад на тяхната бдителност.

За да защитите вашата организация от човешки грешки, които водят до пробиви в киберсигурността:

• запознайте ги със същността на киберсигурността и нейното значение за вашия бизнес и тяхната работа;
• запознавайте ги с последните тенденции в социалното инженерство и атаките със зловреден софтуер;
• провеждайте регулярни симулации на фишинг атаки, за да тествате устойчивостта на служителите си;
• използвайте мултимедийно и интерактивно съдържание, за да направите обучението по киберсигурност по-атрактивно и лесно разбираемо.

Хакерите вече не просто търсят пропуски в традиционната мрежова сигурност. Те активно използват инструментите, на които организациите разчитат за ежедневните си операции.

Това превърна технологиите за отдалечена помощ, които са от съществено значение за IT поддръжката и непрекъсваемостта на бизнеса, в основна мишена. Високите нива на сигурност на платформите за дистанционна помощ вече не въпрос на избор. Те са основно изискване за поддържане на оперативната устойчивост.

Zero Trust идва на помощ

Твърде дълго време сигурността на платформите за отдалечена помощ не се проектираше в тяхната архитектура. Нарастването на броя на сложните киберзаплахи обаче изисква фундаментална промяна в подхода.

Организациите трябва да го преосмислят през призмата на Zero Trust. Те трябва да са сигурни, че всяка сесия, потребител и устройство се проверяват, отговарят на изискванията и се наблюдават, преди да получат достъп.

Това изисква структурирана стратегия, основана на:

• Идентичност и контрол на достъпа – гарантиране, че само проверени, отговарящи на изискванията потребители и устройства могат да инициират или получават отдалечена помощ.
• Сигурност на крайните точки и съответствие – налагане на базови нива на сигурност и стриктно контролиран достъп до всички управлявани устройства.
• Вградена сигурност в отдалечената помощ – вграждане на сигурността в самата основа на инструментите за отдалечена помощ, като се елиминират пропуските, от които могат да се възползват нападателите.

Сигурността на идентичността е крайъгълен камък на всяка сигурна стратегия за отдалечена помощ. Компрометираната самоличност често е първата стъпка в кибератаката. Организациите трябва да наложат:

• Изрична проверка на самоличността – използване на MFA и базиран на риска достъп, за да се гарантира, че само оторизирани потребители получават такъв.
• Достъп с най-малки привилегии – гарантиране, че отдалечената помощ се предоставя само за необходимата продължителност и с минимални привилегии.
• Оценка на риска в реално време – непрекъснато оценяване на заявките за достъп за аномалии или подозрителна дейност.

Като преместват периметъра на сигурността към идентичността, организациите създават среда, в която доверието се печели в реално време, а не се предполага.

Шест сектора на критичната инфраструктура изпитват затруднения да спазят директивата NIS2. За това предупреди водещата агенция за сигурност на ЕС.

Директивата беше създадена в отговор на нарастващите заплахи за критичните сектори в целия регион. Тя налага строг набор от базови изисквания за киберсигурност.

В нов доклад на Enisa за стартирането на схемата за оценка на състоянието на сигурността NIS360 се посочват следните сектори:

• управление на ИТ услуги, който е изправен пред предизвикателства заради трансграничния си характер и разнородните структури;
• космическа индустрия, където ограничените познания в областта на киберсигурността и силното разчитане на готови търговски компоненти са предизвикателства;
• публична администрация, където организациите „не разполагат с подкрепата и опита, които се наблюдават в по-зрелите сектори“;
• морски сектор, който е изправен пред предизвикателства, свързани с ОТ, и би могъл да се възползва от „адаптирани насоки за управление на риска в областта на киберсигурността“;
• здравеопазване, което разчита на сложни вериги за доставки, наследени системи и слабо защитени медицински изделия;
• газоснабдяване, който трябва да подобри готовността и възможностите за реагиране при инциденти.

Enisa също така посочва, че секторът на цифровата инфраструктура е „стъпка по-надолу по отношение на зрелостта“. Той включва критични услуги като интернет обмен, домейни от първо ниво, центрове за данни и облачни услуги.

Като положителни примери докладът изтъква електроенергията, телекомуникациите и банковото дело. Те са трите най-подготвени сектора от гледна точка на NIS2.

 

Служебните акаунти в Active Directory (AD) са честа мишена за хакери и киберпрестъпници, тъй като разполагат с привилегирован достъп до множество системи. Един компрометиран служебен акаунт може да отвори вратата към цялата корпоративна мрежа и да доведе до сериозно нарушение на сигурността.

Те се делят на три основни типа:

• Локални потребителски акаунти: Те съществуват и действат единствено в рамките на отделна машина. В тази категория попадат системните акаунти, акаунтите за локални услуги и мрежови акаунти. Важна тяхна характеристика е, че нямат достъп до ресурси отвъд границите на локалната машина.
• Домейн потребителски акаунти: Те получават достъп въз основа на членството си в групи и могат да оперират в рамките на целия домейн. Техните права и привилегии могат да бъдат управлявани централизирано.
• Управлявани служеби акаунти (MSA): Специализирани акаунти, които са създадени с конкретна цел – обслужване на определена системна функция или приложение. За разлика от стандартните потребителски акаунти, MSA не могат да се използват за интерактивно влизане в системата. Важно тяхно предимство е автоматичното управление на паролите. Операционната система сама се грижи за периодичната им смяна, което премахва административната тежест и риска от използване на остарели или компрометирани пароли.
• Групово управлявани служебни акаунти (gMSA): Подобни на MSAs, но предназначени за множество сървъри или услуги. Те включват допълнителни функции за сигурност като автоматично управление на паролитe. Предлагат по-високо ниво на защита и гъвкавост.

Служебните акаунти притежават разширен достъп до системи и ресурси и компрометирането им може да доведе до контрол върху мрежата. Те дават достъп до чувствителни данни и могат да бъдат използвани за странично движение в мрежата.

Затова те трябва да бъдат максимално защитени. Ето пет основни практики за постигане на високи нива за сигурност:

1. Следвайте принципа на най-малките привилегии

Служебните акаунти трябва да разполагат само с необходимите разрешения за изпълнение на своите задачи. Това означава:

• прецизно определяйте нужните права за всеки акаунт;
• редовно преглеждайте и ограничавайте излишните привилегии;
• избягвайте добавянето на сервизни акаунти към административни групи;
• използвайте отделни акаунти за различни услуги вместо да споделяте един.

2. Прилагайте многофакторна автентикация (MFA)

Това включва:

• Внедряване на MFA за интерактивни влизания;
• Използване на решения, съвместими със служебни акаунти;
• Защита на административния достъп до управлението на служебните акаунти.

3. Премахвайте неизползваните служебни акаунти

Редовното почистване на неизползвани акаунти е критично за намаляване на възможната повърхност за атака:

• провеждайте редовни одити на всички служебни акаунти;
• идентифицирайте и деактивирайте остарели или ненужни акаунти;
• документирайте целта и собствеността на всеки служебен акаунт;
• установете процес за преглед и деактивиране на акаунти при промени в инфраструктурата.

4. Наблюдавайте активността на служебните акаунти

Мониторингът е ключов елемент за ранното откриване на потенциални заплахи:

• Използвайте вградени инструменти като Event Viewer и Security Log;
• Внедрете специализирани решения за мониторинг;
• Следете за необичайни модели на активност като достъп в нетипично време или от необичайни локации;
• Настройте системите да подават автоматични сигнали при подозрителна активност.

5. Прилагайте стриктни политики за пароли

Дори при автоматизирано управление на паролите в MSAs и gMSA, стриктните политики за пароли остават важни:

• Използвайте сложни и дълги пароли
• Редовно сменяйте комбинациите за стандартните служебни акаунти;
• Използвайте генератори на случайни пароли;
• Внедрете решения за сигурно съхранение на данни.

Защитата на служебните акаунти в Active Directory е от критично значение за цялостната киберсигурност на организацията. Не я пренебрегвайте!