защита на информационните ресурси

  • Мониторинг и сигурност: Как да предпазим мрежовата си инфраструктура от нарастващия брой киберзаплахи

    Западни агенции за сигурност – CISA, NSA, FBI и др. – публикуваха нов набор от добри практики за засилване на видимостта и укрепване на мрежовите инфраструктури. Пускането на Enhanced Visibility and Hardening Guidance for Communications Infrastructure е продиктувано от нарастващия брой кибератаки срещу критични западни системи.

    Той включва актуални насоки в три основни направления – подобряване на видимостта, укрепване на мрежовите устройства и отговор на инциденти.

    Подобряване на видимостта

    Тук основните съвети обхващат:

    Мониторинг на мрежата: Внимателно наблюдавайте конфигурационните промени и внедрете механизми за алармиране при неоторизирана намеса.

    Централизирано съхранение на конфигурации: Не приемайте устройствата като достоверен източник на информация за техните конфигурации. Редовно тествайте и водете единна база данни на всички настройки.

    Решения за мониторинг на мрежовия поток: Внедрете доказани решения за мониторинг на мрежовия поток. Те позволяват детайлно наблюдение на трафика, потребителската активност и трансфера на данни.

    Укрепване на мрежовите устройства

    Трите основни насоки на това поле са насочени към:

    Пачване на уязвими устройства и услуги: Редовно актуализирайте софтуера и фърмуера на мрежовите устройства, за да се намалят възможностите за проникване.

    Сигурност на конфигурациите: Използвайте силни пароли и MFA за достъп до мрежовите устройства.

    Ограничаване на достъпа: Ограничeте достъпа до мрежите само до оторизирани потребители и устройства.

    Отговор на инциденти

    Ако все пак се случи пробив, организациите трябва да са изградили възможноти за:

    Бързо идентифициране на заплахи: Добрата видимост на инфраструктурата позволява бързо идентифициране на заплахи, аномалии и уязвимости.

    Реакция на инциденти: Разработване на планове, които включват процедури за бързо реагиране и възстановяване на нормалната работа на мрежата.

    Изпълнението на тези насоки намалява възможностите за проникване и смекчава последствията при потенциални кибератаки.

  • 4 признака, че акаунтът ви в Amazon е хакнат, и 5 стъпки за ограничаване на щетите

    Amazon е най-големият онлайн търговец на дребно в света с повече от 310 милиона активни потребител. Много българи също използват неговите услуги.

    Очаквано, киберпрестъпниците не пропускат да се възползват от съкровищницата от лични и финансови данни, която представляват акаунтите в платформата. Ако бъдат компрометирани, те могат да бъдат използвани за кражба на идентичности и измами. Това превръща Amazon в любима цел за тях. А за потребителите един пробив може да доведе до сериозни финансови загуби и правни проблеми.

    Затова трябва да сте наясно с признаците, които могат да ви подскажат, че профилът ви е бил хакнат.

    Ето четири от тях:

    Признак 1: Не можете да влезете

    Най-очевидният признак е да откриете, че не можете да влезете в акаунта си, дори когато сте сигурни, че използвате правилните имейл адрес и парола.

    Възможно е компанията да го е спряла заради необичайна дейност от ваша страна. Но в повечето случаи това е сигнал, че той е бил хакнат и са променени данните ви за вход.

    Признак 2: Данните ви са променени

    Може да забележите, че данните на профила ви са променени – адрес, имейл или информация за контакт. Хакерите понякога предпочитат вместо директно да откраднат профила, да го превземат и да останат скрити. Съществува и възможност да сте влезли точно в момента, в който те са работили по компрометирането му, и да сте прекъснали процеса.

    Признак 3: Странна активност при покупки

    Ако получите пакет, който не сте поръчвали, това може да е знак, че информацията ви е използвана за създаване на фалшив акаунт.

    Възможно е също така да забележите покупки, които не сте направили, в историята на поръчките си. Ясен сигнал е и наличието на непознати продукти в историята на сърфирането ви.

    Признак 4: Появяват се отзиви от ваше име

    Една от най-честите причини хакерите да компрометират акаунт в Amazon е да правят фалшиви рецензии. Съмнителните продавачи в платформата често го правят, за да подават петзвездни ревюта за собствените си продукти или лоши за своите конкуренти.

    Стъпки за ограничаване на щетите

    Ако смятате, че акаунтът ви в Amazon е бил хакнат, има няколко стъпки за ограничаване на щетите и възстановяване.

    Стъпка 1: Променете паролата си

    Не е лоша идея да сменяте редовно паролата си, независимо дали смятате, че акаунтът ви е бил хакнат, или не. Ако пробивът е факт обаче, това със сигурност трябва да е първата ви стъпка.

    Уверете се, че сте избрали трудна за отгатване комбинация. Тя трябва да включва главни и малки букви, цифри и символи. Освен това трябва да сте сигурни, че дори не наподобява парола, която използвате другаде. Също така е задължително да активирате 2FA. За целта отидете в Your Account и секцията Login & security.

    Стъпка 2: Проверете данните за профила

    Проверете имейл адреса и телефонния номер, свързани с вашия акаунт, и се уверете, че са верни и актуални.

    Изтрийте всички изтекли, закрити или ненужни финансови сметки от раздела за плащания.

    Стъпка 3: Проверете за подозрителни трансакции

    Прегледайте историята на поръчките си и незабавно докладвайте на Amazon за всички подозрителни трансакции, които откриете. Можете да направите това чрез основния уебсайт за обслужване на клиенти или чрез опцията Report a Scam.

    Стъпка 4: Излезте от профила си в Amazon на всички устройства

    Можете да излезете от акаунта си в Amazon, като изберете Sign Out в падащото меню Account & Lists. Промяната на паролата трябва автоматично да ви подкани да излезете едновременно на всички устройства, които сте използвали. Направете го.

    Стъпка 5: Стартирайте антивирусно сканиране

    Възможно е хакерите да са получили достъп до вашето устройство, като са инсталирали зловреден софтуер. Уверете се, че имате актуален антивирусен пакет и го стартирайте, за да откриете и изтриете всичко съмнително.

    Възстановяване на профила и защита

    Ако не можете да влезете в профила си, защото хакер го е блокирал или е променил паролата ви, посетете центъра за помощ на Amazon. Въведете имейл адреса или номера на мобилния телефон, свързан с вашия акаунт.

    След това ще получите еднократна парола, която да въведете. Това ще ви позволи да създадете нова и да възстановите достъпа до профила си.

    Ако по някаква причина това не сработи, можете да се свържете директно с Amazon. Посетете секцията за обслужване на клиенти. Възможно е да бъдете помолени да потвърдите самоличността си чрез сканиран или сниман официален документ за самоличност.

    Независимо дали акаунтът ви в Amazon е бил компрометиран или не, той трябва да е максимално защитен. Това включва:

    • силна, уникална парола и 2FA;
    • добавяне на вторичен канал за комуникация като номер на мобилен телефон;
    • мониторинг на опитите за влизане чрез опцията Secure Your Account в настройките за сигурност.

    Междувременно, за да сте сигурни, че измамниците няма да компрометират профила ви:

    • никога не отговаряйте на подозрителни имейли, обаждания и съобщения от непознати податели;
    • не въвеждайте лична и финансова информация в изскачащи прозорци;
    • информирайте се постоянно за променящите се заплахи в интернет;
    • следвайте добрите практики за цифрова хигиена и киберсигурност.
  • Cryptojacking източва ресурсите на вашия бизнес! Три съвета как да се защитите

    Cryptojacking не е заплаха, около която се вдига толкова шум, колкото около ransomwarе например. Тя обаче може незабелязано да източва ресурсите и да увеличи разходите ви. Вместо да блокират системите ви, този тип атаки тихомълком превземат изчислителната ви мощ за добив на криптовалута. Те засягат CPU, GPU или облачната ви инфраструктура.

    Това струва на компаниите повече, отколкото те осъзнават. Според SonicWall през 2023 г. Cryptojacking атаките са се увеличили с 659%. А за всяка добита криптовалута на стойност 1 USD компаниите са плащали по около 53 USD разходи за облачни услуги. И тъй като не нарушават незабавно работата на системите, тe често остават незабелязани.

    Нападателите са разработили няколко метода за вкарване на код за Cryptojacking във вашите системи:

    • Drive-by Downloads: Когато потребителите посещават компрометирани уебсайтове, злонамерените Cryptominer могат да се изпълняват автоматично във фонов режим:
    • Фишинг имейли: При кликане върху зловредна връзка или изтегляне на файл жертвата несъзнателно изтегля зловреден софтуер;
    • Непоправени уязвимости: Инструментите за Cryptojacking често използват уязвимости в сървъри, за да разпространяват зловреден софтуер в мрежите;
    • Контейнеризирани среди: Тъй като все повече компании използват контейнери, нападателите вграждат зловредни скриптове за таен добив на криптовалути в такива, съхранявани в публични хранилища.

    Защо трябва да ви е грижа

    Въпреки че Cryptojacking може да изглежда като незначително неудобство в сравнение с кражбата на данни, въздействието може да бъде сериозно.

    Различните сценарии включват:

    • Удар по производителността: Cryptojacking източва ресурсите на CPU и GPU, което забавя работата на системите ви. Освен това прекомерната консумация на енергия увеличава сметките ви, натоварва хардуера и може да доведе до прегряване;
    • Увеличаване на разходите в облака: Доставчиците на облачни услуги начисляват такси въз основа на използването на ресурсите. Компрометираните виртуални машини или контейнери консумират огромни количества CPU, GPU и памет, което води до неочаквани и често огромни сметки;
    • Загуба на производителност: Претоварените системи могат да се сринат или забавят до степен, в която операциите спират;
    • Уязвимост на сигурността: Cryptojacking инструментите често се възползват от същите уязвимости, които могат да доведат до по-големи и по-вредни атаки. След като вече има опора в компрометирания ресурс, нападателят може да се възползва от това по всяко време.

    Защита срещу Cryptojacking

    Cryptojacking атаките могат да бъдат насочени срещу всяка организация, независимо от нейната големина, индустрия или регион.

    За да защитите вашия бизнес се нуждаете от проактивна, многопластова защита. Това включва:

    • Защита на крайни точки: Съвременните инструменти за защита на крайни точки често включват функционалности за откриване на Cryptojacking. Те следят скоковете в потреблението на ресурси и сигнализират за необичайна активност;
    • Мониторинг на мрежата: Софтуерите за Cryptojacking често оставят следи в мрежовия трафик. Инструменти, които анализират моделите на потребление за необичайни връзки, могат да помогнат за ранното откриване и предотвратяване на заплахата;
    • Мониторинг на облака: Платформи като AWS CloudWatch и Azure Monitor могат да помогнат за проследяване на скоковете в потреблението на CPU или GPU. Подобни събития са основен признак за Cryptojacking.

    Но не е достатъчно просто да внедрите тези инструменти. Те трябва да бъдат правилно конфигурирани и непрекъснато актуализирани, за да се гарантира, че са ефективни срещу най-новите заплахи от този тип.

  • ZTNA, SDP, SSE, SASE: 4 рамки за киберсигурност, които ще подобрят защитата на бизнеса ви

    Освен че е непрекъснат процес, а не единичен акт, подсигуряването на киберсигурността на вашия бизнес изисква многопластов подход.

    Пример за това са четирите рамки ZTNA (Zero Trust Network Access), SDP (Software Defined Perimeter), SSE (Secure Service Edge) и SASE (Secure Access Service Edge). Всяка една от тях има своите специфични цели и особености, но едновременно с това могат да функционират в съзвучие.

    Ето какво представлява всяка една от тези четири рамки:

    • ZTNA: Структура за сигурност, която създава логическа граница за достъп. Тя е базирана на идентичност и контекст, изградени около приложение или набор от приложения. Тази рамка за сигурност налага стриктно удостоверяване на автентичността на всеки потребител и устройство, които се опитват да получат достъп. С други думи, логиката на ZTNA е никога не се доверявай, винаги проверявай.
    • SDP: Рамка за сигурност, която има за цел да защитава мрежовите ресурси. Тя залага на динамично създаване на сигурни връзки между потребителите и ресурсите, вместо да разчита на традиционен периметър, като например NGFW.
    • SSE: Архитектура, която защитава достъпа до уеб, облачни услуги и частни приложения. Това включва контрол на достъпа, защита от заплахи, сигурност на данните, мониторинг на сигурността и контрол на приемливото използване. Те се прилагат чрез мрежова и API-базирана интеграция.
    • SASE: Предоставя конвергирана мрежа и възможност за SECaaS, включително SD-WAN, SWG, CASB, NGFW и достъп до ZTNA.

    Как се допълват взаимно

    ZTNA, SDP, SSE и SASE са различни рамки в сферата на мрежовата сигурност, но всяка от тях надгражда другата. Комбинацията между тях осигурява по-всеобхватен и сигурен достъп до приложения и услуги.

    Ето как се случва това:

    • ZTNA и SDP: И двете осигуряват проверка на самоличността, както и функции за контрол на достъпа. Те гарантират, че ресурсите, до които потребителите имат достъп, са ограничени само до необходимите за конкретното приложение. ZTNA разширява възможностите на SDP чрез по-фин контрол на достъпа и непрекъснато удостоверяване на автентичността.
    • ZTNA и SSE: Внедряването на ZTNA в SSE позволява на организациите да прилагат последователни мерки за сигурност за всички приложения и потребители, независимо от местоположението им.
    • SASE: Тази рамка съчетава функционалностите на ZTNA, SDP, SD-WAN и SSE, предоставяйки цялостно решение за сигурност. Опростява внедряването и подобрява работата на потребителите.

    Основни ползи за киберсигурността на бизнесите

    Съвместното внедряване на ZTNA, SDP, SSE и SASE предлага редица предимства за организациите.

    Те включват:

    • Повишени нива на защита: Подобрява сигурността на организацията чрез намаляване на повърхността за атака;
    • Повишена производителност: Потребителите имат достъп до данни и приложения в движение, без да са зависими от традиционните VPN, които често са бавни;
    • Намалена оперативна сложност: Интеграцията на мрежовите възможности и тези за сигурност в една платформа намалява оперативните главоболия на IT отделите.
    • Намалени разходи: Този подход елиминира необходимостта от множество продукти за сигурност, като опростява и рационализира мрежовата архитектура. Чрез консолидиране на множество функции в една облачна конзола бизнесите могат да спестят оперативни разходи.
    • Възможности и адаптивност: Облачни модели като SASE и SSE позволяват на организациите да подсилват сигурността си според нуждите, в синхрон с операциите в реално време. По този начин те могат да се адаптират своевременно към нови предизвикателства.
  • Поредна заплаха за бизнесите: Служители често въвеждат чувствителни данни в заявки на GenAI

    Служителите споделят широк спектър от данни в инструменти за генеративен изкуствен интелект (GenAI). Това оправдава колебанието на много организации да възприемат използването на технологията.

    Всеки път, когато потребител въвежда данни в свой промпт за ChatGPT или друг подобен инструмент, информацията се поглъща от големия езиков модел. След това тя се използва за обучение на следващото поколение на алгоритъма. Опасенията са, че информацията може да бъде извлечена по-късно чрез уязвимости в моделите, ако не е осигурена подходяща защита на данните за въпросната услуга.

    От Harmonic.ai са анализирали хиляди промптове, подадени от потребители в GenAI платформи като Copilot, ChatGPT, Gemini, Claude и Perplexity. Общо 8,5% от анализираните заявки са включвали поверителни данни.

    Те попадат в една от петте категории: данни за клиенти, данни за служители, правни и финансови данни, данни за сигурност, чувствителен код.

    Според изследователите данните за клиенти заемат най-голям дял от подканите – 45,77%. Тези за служители съставляват 27% от чувствителните подсказки в проучването на Harmonic.

    Това показва, че GenAI инструментите все повече се използват за вътрешни процеси. Те включват прегледи на представянето, решения за наемане и дори определяне на годишните бонуси.

    Правната и финансовата информация не е толкова често изложена на риск – 14,88% от случаите, но когато това се случи, носи голям корпоративен риск.

    Тази статистика показва, че бизнесите трябва да обучават своите служители какво е подходящо да сподеят с моделите за генеративен изкуствен интелект и какво не. Въвеждането на стриктни политики за киберсигурност и работа с вътрешна информация е задължително условие за защита на критичните данни на една организация.

  • 10 нетехнически мерки, които трябва да вземете след пробив в киберсигурността

    Последен ъпдейт на 2 февруари 2025 в 10:05 ч.

    Когато напрежението след пробив се уталожи, фокусът често пада върху прилагането на технически предпазни мерки и разследването на причината. Много организации обаче пропускат огромна възможност, като не обръщат внимание на нетехническите аспекти на възстановяването. А те могат да смекчат значително последствията и да повишават устойчивостта ви.

    Ето 10 важни нетехнически мерки, които трябва да вземете след пробив в сигурността.

    1. Деактивирайте временните логове и премахнете ненужните инструменти

    Тази мярка е малко техническа, но е много важна! По време на инцидент консултантите и служителите ще се нуждаят от временни акаунти за достъп до мрежата. Едновременно с това в цялата ви инфраструктура може да бъдат разположени специализирани инструменти и логове. След приключване на разследването и отстраняване на проблема тези акаунти и инструменти трябва да бъдат премахнати по сигурен начин.

    Ако това не бъде направено, чувствителните данни могат да бъдат изложени на опасност или векторите за достъп да останат отворени. Извършете задълбочен одит на инфраструктурата си, за да се уверите, че не са останали временни акаунти или остатъци от инструменти за реагиране на инциденти.

    1. Подсилете споразуменията за неразкриване на информация със служители и консултанти

    Разследванията на пробиви често разкриват изключително чувствителна информация за уязвимостите, системите и операциите на вашата организация. Всички консултанти или служители, участващи в тези процеси, трябва да имат надеждни споразумения за неразкриване на информация.

    Прегледайте съществуващите договорености и ги подсилете, когато е необходимо. Трябва да гарантирате, че чувствителните детайли за нарушението или за състоянието на сигурността ви ще останат поверителни.

    1. Наградете екипа си

    Реагирането на инциденти е стресиращо, изтощително и често емоционално натоварващо. Вашите екипи по IT и киберсигурност вероятно са работили под огромен натиск, за да стабилизират ситуацията.

    Признанието за техните усилия може да допринесе за повдигане на морала. Независимо дали става въпрос за бонуси, публично признание или допълнителна почивка, награждаването на екипа ви показва, че трудът му не е останал незабелязан.

    Важно е също така да се грижите за хората си по време на пробив. Осигурете им храна и комфорт. Силата на една пица не може да бъде подценявана!

    1. Преоценете взаимоотношенията си с трети страни

    Пробивите в сигурността често подчертава уязвимостта на взаимоотношенията ви с трети страни – партньори или доставчици.

    Извършете задълбочен преглед на споразуменията си с тях, техния достъп до системите ви и практиките им за сигурност. Тази преоценка ще ви помогне да идентифицирате слабите звена и да предприемете коригиращи действия, за да сведете до минимум бъдещите рискове.

    1. Сигурно архивирайте данните за инцидента

    Нарушението може да създаде огромно количество данни, включително логове, доклади и записи на комуникации. Сигурното им архивиране е от съществено значение за спазване на изискванията – правни и професионални.

    Уверете се, че данните се съхраняват в сигурна среда с контролиран достъп. Този архив може да послужи и като ценен ресурс за бъдещи обучения или одити.

    1. Преглед на протоколите за комуникация

    Пробивът може да е разкрил слабости във вашите вътрешни и външни комуникационни протоколи. Прегледайте начина, по който е била предадена информацията по време на инцидента. Ако се налага, усъвършенствайте процесите си за постигане на яснота и бързина.

    Това включва преразглеждане на плановете за кризисна комуникация. Трябва да гарантирате, че правилната информация ще достига до точните заинтересовани страни бързо и ефективно в бъдеще.

    1. Актуализирайте обучението на служителите

    Ако е настъпило нарушение, има вероятност пропуските в информираността на служителите да са изиграли важна роля. Възползвайте се от тази възможност, за да актуализирате програмите си за обучение, така че да отразяват поуките от инцидента.

    Фокусирайте се върху осведомеността за фишинг, практиките за сигурни пароли и важността на докладването на подозрителни дейности. Дайте възможност на хората си да действат като първа линия на защита. Помислете за цялостна програма за повишаване на информираността. Тя трябва да съчетава онлайн, лично, геймифицирано обучение и провеждане на редовни симулации на фишинг атаки.

    1. Общувайте със заинтересованите страни

    След като непосредствената криза приключи, поддържането на прозрачност със заинтересованите страни е от решаващо значение. Това включва клиенти, инвеститори и регулаторни органи. Очертайте какво се е случило, какво е направено за разрешаване на проблема и какви стъпки предприемате за предотвратяване на бъдещи проблеми.

    Добре изпълнената комуникационна стратегия може да запази доверието във вас и демонстрира нагласа за отчетност.

    1. Създайте план за задържане на служителите

    Нарушението често създава среда на несигурност, която може да доведе до прегаряне или текучество на служителите. Изградете план за задържане им, който ги подкрепя и успокоява.

    Това може да включва консултантски услуги и възможности за професионално развитие.

    1. Направете оценка на репутацията

    Възможно е репутацията на вашата организация да е пострадала заради пробива. Направете анализ, за да разберете степента на щетите и да разработите план за възстановяване на доверието.

    Той трябва да включва:

    • проследяване на мнението на хората за вашата организация в социалните медии, сайтовете за ревюта, форумите и други платформи;
    • събиране на информация от служители, клиенти, партньори, инвеститори, регулаторни органи и т.н., за да разберете вътрешните и външните възприятия;
    • преглед на медийното отразяване и каналите на социалните медии, за да идентифицирате силните и слабите страни на репутацията на вашата организация.

    След това обмислете провеждането на кампании, за да потвърдите отново ангажимента си към сигурността и високото ниво на обслужване.

    Като се съсредоточите върху тези 10 нетехнически действия, можете да укрепите устойчивостта на организацията си, да възстановите доверието и да гарантирате, че сте по-добре подготвени за бъдещи инциденти.

  • Няколко урока, които научихме през 2024

    Последен ъпдейт на 11 януари 2025 в 09:57 ч.

    От нарастващата сложност на Zero day експлойтите до укрепването на съюзите между национални държави и киберпрестъпниците. 2024 г. предостави много доказателства за това колко бързо продължава да се развива пейзажът на заплахите в киберпространството.

    Ето няколко събитията, които трябва да бъдат използвани за тактическите прозрения от екипите по информационна сигурност. Те могат да подкрепят дейността им в продължаващата битка през 2025 г.

    Нарастващ брой Zero day експлойти и участието на национални държави

    И през 2024 изследователите продължиха да отчитат увеличение на броя на Zero day атаките. Експертите по киберсигурност очакват тази тенденция да се ускори, като в основата на това ускорение ще залегне геополитическото напрежение. Според тях националните държавни субекти, особено Китай, увеличават използването на този тип уязвимости с безпрецедентни темпове.

    Затова все по-често се говори за сътрудничество или координация между национални държави и киберпрестъпници. Русия, например, си сътрудничи с групи, предлагащи „софтуер като услуга“, като Killnet, LokiBot, Gumblar, Pony Loader и Amadey.

    Китай е в подобни отношения със Storm-0558 и Red Relay, обикновено в подкрепа на геополитическия си дневен ред в Южнокитайско море.

    Планирането на устойчивостта се нуждае от повече внимание

    Атаките с ransomware през 2024 г. подчертаха слабостите на веригите за доставки и политиките за непрекъснатост на бизнеса. Хакерите все по-често се насочват към доставчиците на услуги от трети страни, за да ударят своите цели.

    Кибератака срещу Ahold Delhaize, компанията майка на някои от най-големите американски вериги супермаркети, например, наруши услугите в мрежата ѝ през ноември. Тя засегна повече от 2000 магазина.

    Включването на съвременни инструменти за сегментиране в стратегиите за непрекъсваемост на бизнеса може да помогне да се сведат до минимум оперативните смущения по време на инциденти.

    Друг такъв, предизвикал интерес през тази година, беше прекъсването на работата на CrowdStrike. Събитието доминираше в новинарските емисии в продължение на няколко дни. След него анализаторите изтъкнаха критичната необходимост от по-добро спазване на процесите и повече видимост.

    Случаят също така подчерта необходимостта лидерите в областта на сигурността да комуникират ефективно с различни заинтересовани страни, когато управляват последиците от мащабен инцидент. Тази комуникация включва технически екипи, бизнес ръководители и външни доставчици.

    Критичната инфраструктура е все по-честа мишена

    През 2024 г. атаките срещу критичната инфраструктура достигат нови нива. През септември Агенцията за киберсигурност и инфраструктурна сигурност на САЩ (CISA) предупреди, че правителствени водни системи са изложени на риск от атаки от страна на национални държави. До това предупреждение се стигна, след като служители съобщиха за проблем с киберсигурността на съоръжение в Арканзас Сити, Канзас. Те бяха принудени да преминат към ръчни операции, докато проблемът бъде разрешен.

    През тази година стана ясно също така, че нападателите изместват фокуса си от добре защитените съоръжения към по-уязвимите системи. Списъкът включва както водоснабдяването, така и електропреносните мрежи.

    Едно от основните предизвикателства при осигуряването на критичната инфраструктура е присъщата сложност на оперативните среди. Много промишлени системи работят с наследено оборудване, което не е било проектирано с оглед на киберсигурността. Освен това често липсва видимост към свързаните устройства, което може да направи откриването на заплахи изключително трудно.

    Внедряването на усъвършенствани инструменти за мониторинг и откриване на заплахи е част от решението на тези проблеми. Подобряването на комуникацията в организациите също може да бъде полезна за подсигуряване на уникалните изисквания за сигурност на критичната инфраструктура.

  • По-голямата част от МСП в Обединеното кралство нямат политика за киберсигурност

    Повече от две трети (69%) от малките и средните предприятия (МСП) в Обединеното кралство нямат политика за киберсигурност. Това става ясно от данни на специализираната застрахователна компания Markel Direct.

    Проучването установява значителна липса на основни мерки за защита на информационните ресурси в тези компании:

    • 43% признават, че служителите им не са обучени за най-добрите практики и потенциалните заплахи;
    • едва 35% насърчават служителите си да актуализират паролите си;
    • само 52% използват многофакторна автентикация (MFA).

    72% от британските МСП заявяват, че разполагат с антивирусен софтуер. 49% са интегрирали инструменти за филтриране на електронна поща за спам и фишинг имейли, 47% – firewall, а 46% – разполагат със защитени Wi-Fi мрежи.

    По-малко от половината от анкетираните компании извършват редовно архивиране на данни (46%) и ги криптират (44%). Две трети (69%) редовно актуализират системния си софтуер, 49% не знаят какво да правят в случай на кибератака.

    Запитани как защитават данните си, когато до тях имат достъп дистанционни служители, 52% от МСП отговарят, че използват VPN. 48% обучават служителите си на практиките за безопасна работа от разстояние. 46% имат въведени политики и механизми за контрол на достъпа от разстояние.

    Проучване на JumpCloud от юли 2024 г. пък установява, че 49% от IT екипите на британските МСП не разполагат с достатъчно ресурси и персонал, за да защитят организацията си от киберзаплахи.

  • Защитата на веригата за доставки трябва да е топ приоритет за бизнесите през 2025

    Все повече национални държави търсят нови пътища за придобиване на геополитическо предимство. Тази тенденция ще продължи и през следващата година. Затова защитата на веригите за доставки трябва да бъде топ приоритет на бизнесите и общността за киберсигурност през 2025.

    Докладът на Verizon „2024 Data Breach Investigations Report“ установява, че използването на Zero day експлойти за кибератаки е нараснало със 180% на годишна база. Сред тях 15% са били свързани с доставчици от трета страна. А неразкритата уязвимост, таргетирана в неподходящ момент, може да компрометира из основи бизнеса ви.

    Сложността, мащаба и интеграцията на съвременните екосистеми на веригите за доставки превръща тяхната защита в изключително сложна задача. Не съществува рецепта за пълното премахване на заплахите. Целенасоченият фокус върху принципите за ефективно управление на риска обаче е критично важна основа. Той изисква оптимален баланс между стриктно валидиране на доставчиците, целенасочено споделяне на данните и добра подготовка.

    Строго валидиране на доставчиците

    Независимо дали става въпрос за кибервойна или ransomware, съвременните атаки по веригата за доставки са изключително сложни. Затова валидирането на доставчиците е от изключително значение. То трябва да премине отвъд оценките за нивата на киберсигурност на техните системи. Всеобхватните процеси на валидиране дават приоритет на регулаторното съответствие, готовността за реакция при инциденти и наличието на принципа Secure by Design.

    Осигуряването на съответствие с развиващите се индустриални стандарти трябва да бъде основен двигател на всяка стратегия за валидиране на доставчици. За целта трябва да си отговорите на въпросите:

    • Отговаря ли вашият доставчик на разпоредбите DORA и CRA на Европейския съюз?
    • Работи ли по въвеждането на защити срещу квантово базирани атаки?
    • Притежават ли системите му криптографска гъвкавост, за да интегрират новите алгоритми на Националния институт за стандарти и технологии на САЩ (NIST) за постквантова криптография (PQC) до 2025 г.?

    Провеждайте годишни одити за сигурност на място при доставчиците си. Те трябва да оценяват всичко – от мерките за физическа сигурност и софтуерните инструменти до IT процесите и програмите за обучение на служителите. Освен това изисквайте от партньорите си да предоставят регулярни доклади за penetration тестове и оценка на уязвимостите.

    Контрол на достъпа до данни

    Контролираният достъп до вашите данни е основно условие за киберсигурност, когато става дума за веригата за доставки. Организациите трябва да възприемат целенасочени подходи за споделяне на информация. Те трябва внимателно да обмислят каква част от нея е наистина необходима за успешното партньорство с трета страна. Въвеждането на Zero Trust подход ще ви помогне да намалите значително повърхността за атаки във веригата за доставки. Това, от своя страна, опростява управлението на риска от трети страни.

    Важна стъпка в този процес е прилагането на строг контрол на достъпа, който ограничава пълномощията само до основните данни и системи.

    Политиките за съхранение също играят решаваща роля тук. Автоматизирането на процесите за постепенно премахване на остарели или ненужни данни гарантира, че дори и да се случи нарушение, щетите са ограничени и поверителността е запазена.

    Криптирането на данните, достъпни за трети страни, на свой ред добавя допълнително ниво на защита срещу неоткрити нарушения в по-широката екосистема на веригата за доставки.

    Добра подготовка

    Тъй като атаките по веригите за доставки стават все повече, организациите трябва да приемат, че нарушение не само е възможно, но и вероятно. Подобна промяна на гледната точка ще ви помогне, за да ограничите риска.

    Мерките за подготовка трябва да започнат с разработването и редовното актуализиране на гъвкави процеси за реагиране при инциденти. Те трябва да бъдат специално насочени към рисковете, свързани с трети страни и външни доставчици.

    За да бъдат ефективни, тези процеси трябва да бъдат добре документирани и често тествани чрез реалистични симулации. Подобни тренировки помагат да се идентифицират потенциалните пропуски в стратегията ви. Те гарантират, че всички членове на екипа разбират своите роли и отговорности по време на криза.

    Поддържането на актуален списък с контакти за всички ключови доставчици и партньори е друг важен компонент на подготовката. В разгара на инцидента знанието на кого точно да се обадите може да спести ценно време и потенциално да ограничи обхвата на нарушението. Този списък трябва редовно да се проверява и актуализира, за да се отчитат промените в персонала или в отношенията с доставчиците ви.

    Организациите трябва също така да имат ясни процедури за ограничаване на достъпа до всяко критично приложение или система в рамките на веригата за доставки.

    Невъзможно е да се предвиди всеки потенциален сценарий. Добре позиционираният екип, въоръжен с цялостни планове за реакция и задълбочени познания за екосистемата, обаче е много по-добре подготвен за борба със заплахите.

  • 10 типа кибератаки, които могат да убият малките бизнеси, и как да намалим риска (Част 1)

    Последен ъпдейт на 5 януари 2025 в 10:07 ч.

    В цифровата ера малките фирми могат да процъфтяват както никога досега, но само ако успеят да се справят с нарастващата вълна от киберзаплахи. Ако някога се смяташе за проблем на големите корпорации, днес киберсигурността е критичен въпрос за бизнесите от всякакъв размер. Малките фирми често не разполагат със стабилни защитни механизми, което ги превърна в основни мишени за киберпрестъпниците.

    Киберсигурността не е само IT проблем, тя вече е въпрос на оцеляване. Изборът е ясен: адаптирайте се и защитете бизнеса си или рискувайте да се превърнете в поредната поучителна история за другите.

    Ето кои са 10-те основни киберзаплахи, от които малките бизнеси трябва да се предпазват, и как да го направят.

    1. Фишинг атаки

    Фишингът има различни форми и всяка от тях е насочена към най-слабото звено в една организация – човешкия фактор.

    Spear phishing кампаниите, например, се насочват към конкретни лица. Те често използват лична информация, за да спечелят доверието на жертвата.

    Whaling phishing таргетира високопоставени ръководители заради техния достъп до чувствителна информация.

    Clone phishing е особено коварен, тъй като възпроизвежда предишни официални имейли, но заменя легитимните връзки или прикачените файлове със злонамерени.

    Повечето фишинг имейли са старателно изработени, за да изглеждат легитимни. За нетренираното око адресът на изпращача, логото и дори подписът на имейла изглеждат напълно автентични. Те често са придружени от убедителни призиви за бързи действия.

    За да се защитите:

    • интегрирайте многопластови мерки за сигурност, като например решения за филтриране на имейли и инструменти за откриване на аномалии, управлявани от изкуствен интелект;
    • регулярно обучавайте служителите си за последните тенденции във фишинг атаките;
    • периодично провеждайте симулационни фишинг тестове, за да държите екипа в готовност;
    • възнаграждавайте тези, които идентифицират опитите за фишинг, като по този начин създавате култура на осведоменост за киберсигурността.
    1. Ransomware

    Ransomware действа като цифров бандит, който изземва ценните ви данни и иска откуп, за да ги върне. След като проникне в системата ви, той ги криптира и блокира достъпа до тях, докато не платите откуп. Дори да платите обаче, няма гаранция, че ще ги получите обратно.

    Затова никога не плащайте искания откуп. Ако го направите, това само изчерпва финансовите ви ресурси и ви прави мишена за бъдещи атаки. След като киберпрестъпниците разберат, че сте готови да платите, вие по същество рисувате мишена на гърба си.

    За да се защитите:

    • използвайте инструменти за откриване и реагиране на зловреден софтуер в реално време. Те могат да идентифицират и изолират ransomware атаките още в зародиш, преди да успеят да нанесат поражения;
    • поддържайте актуални резервни копия на данните си в отделни, изолирани среди, които не са пряко достъпни от основната ви мрежа;
    • обучете екипа си как да разпознава ранните признаци на ransomware атака, като например нежелани прикачени файлове към имейли или подозрителни софтуерни актуализации, и да ги докладва незабавно.
    1. Зловреден софтуер (malware)

    Когато повечето хора чуят „зловреден софтуер“, те веднага се сещат за вируси. Тази вселена обаче е много по-широка и включва изобилие от инструменти – червеи, троянски коне и шпионски софтуер. Всеки вариант има свой собствен начин на действие. Някои от тях са предназначени да изтриват файловете ви, други крадат данни, а трети могат да получат пълен контрол над компютъра ви.

    Тези злонамерени програми често използват усъвършенствани техники, за да избегнат откриването си. Веднъж попаднали в системата, те могат да останат неактивни или да действат скрито във фонов режим. Този вид продължително излагане на риск може да предизвика хаос, да компрометира данни, да подкопае доверието на клиентите и дори да спре бизнес операциите ви.

    За да се защитите:

    • редовно актуализирайте софтуерите си за киберсигурност;
    • регулярно обучавайте служителите си за опасностите от изтеглянето на прикачени файлове от неизвестни или подозрителни източници и следването на съмнителни връзки.
    1. Man in the middle

    Атаките от типа man in the middle (MitM) са изключително опасни. Представете си, че някой прихваща пощата ви, прочита я и след това я изпраща на получателя, без вие да разберете. Само че в този случай това са всичките ви цифрови комуникации.

    При този тип атаки хакерите могат да променят съдържанието или да съберат цялата информация за бъдеща атака. Това може да се случи по време на всяко онлайн взаимодействие – от изпращане на имейл до извършване на финансова трансакция на висока стойност.

    За да се защитите:

    • инвестирайте в надеждни цифрови сертификати за удостоверяване на самоличността на вашия уебсайт и свързаните с него онлайн платформи;
    • информирайте служителите и клиентите си за рисковете от свързване с незащитени мрежи или игнориране на предупрежденията на браузъра за ненадеждни сертификати.
    1. DDoS атаки

    DDoS атаките заливат мрежата ви с прекомерно количество данни, като забавят или спират работата ѝ. Онлайн услугите ви стават недостъпни.

    Това ги превръща в кошмар за непрекъснатостта на бизнеса. Когато системите ви се сринат, последствията могат да бъдат катастрофални. Клиентите нямат достъп до услугите ви, продажбите рязко спадат, а репутацията на фирмата ви се срива. В дългосрочен план тези атаки могат да подкопаят доверието на клиентите и да ги накарат да се насочат към ваши конкуренти.

    За да се защитите:

    • уверете се, че разполагате с инструменти за защита от DDoS, за да можете да разпознаете рязкото нарастване на легитимната активност на клиентите и злонамерения трафик;
    • следете за най-новите актуализации за сигурност, които поправят известни уязвимости, намалявайки цялостния ви риск;
    • провеждайте периодични стрес тестове на вашата система;
    • изградете план за реагиране, адаптиран за DDoS сценарии, така че всеки от екипа ви да знае своите отговорности. Това гарантира бързо и координирано противодействие на всяка атака.

    (Очаквайте продължение)

Back to top button