защита на информационните ресурси

  • Официално: България се включва в HaveIBeenPwned

    Министърът на електронното управление обяви в LinkedIn профила си, че страната ни се присъединява към държавите (общо 30 към момента), които използват услугата HIBP.

    Платформата HaveIBeenPwned (дело на експерта по киберсигурност Troy Hunt) e полезен инструмент, с който да откриете дали информация за ваш акаунт е била компрометирана или включена в масив с изтекли данни (data leak).

    Ако установите, че ваш имейл адрес е бил хакнат (pwned), незабавно сменете както паролата за този акаунт, така и за всички други акаунти, за достъп до които използвате същата парола.

    През последните 4 години HIBP предоставя допълнителен достъп до информация за нарушение на данните на правителствени агенции, отговорни за защитата на своите граждани.

    Това е крачка в правилната посока – повишаване на киберсигурността на държавата!

  • Кибератака порази най-големия доставчик на месо в света

    Най-голямата компания за преработка на месо в света е била обект на сложна кибератака.

    Хак на компютърните мрежи в JBS временно е спрял работата на няколко поделения на компанията в Австралия, Канада и САЩ и е засегнал хиляди работници.

    Става дума за рансъмуер атака и поискан откуп. Компанията е разбрала за пробива на 31.05.2021 и веднага е спряла всички засегнати ИТ системи – смята, че резервните сървъри не са били хакнати.

    ИТ системите са от съществено значение за съвременните месопреработвателни предприятия, като компютрите се използват на няколко етапа, включително фактуриране и доставка.

    JBS е най-големият доставчик на месо в света с повече от 150 завода в 15 страни и 150 хил. служители. Сред клиентите на компанията са множество супермаркети и заведенията за бързо хранене McDonald’s. В САЩ JBS преработва почти 25% от говеждото месо в страната и 20% от свинското месо.

    Атаката може да доведе до недостиг на месо или повишаване на цените за потребителите.

    Миналият месец доставката на гориво в югоизточната част на САЩ спря за няколко дни, след като рансъмуер атака порази най-големия американски петролопровод.  Colonial Pipeline потвърди, че е платил 4,4 млн. USD откуп на киберпрестъпниците, които разследващите свързват с Русия.

  • 10 заблуди за киберсигурността

    Екипът на Sophos за бързо реагиране (Sophos Rapid Response team) е съставил списък с най-често срещаните погрешни възприятия за киберсигурността. Става дума за грешки на мениджърите / администраторите, с които специалистите от екипа са се сблъскали през последните 12 месеца, докато са неутрализирали и разследвали кибератаки в широк кръг организации.

    Десетте най-разпространени заблуди по отношение на киберсигурността, които Sophos опровергава са:

    Заблуда 1: Ние не сме цел – твърде малки сме и / или нямаме ценни активи

    Контрапункт: Повечето киберпрестъпници търсят лесна плячка и бърза финансова облага – те преследват пропуски в сигурността и погрешни конфигурации, които могат лесно да използват. Ако смятате, че вашата организация не е цел, вероятно не проверявате редовно мрежата си за подозрителна активност и може да пропуснете ранни признаци на кибератака.

    Заблуда 2: Нямаме нужда от усъвършенствани технологии за сигурност, инсталирани навсякъде

    Контрапункт: Ежедневно се увеличават техниките за атака, които заобикалят или деактивират софтуера за защита на крайните точки. Сървърите вече са цел номер едно за атака и нападателите могат лесно да намерят директен маршрут, използвайки откраднати идентификационни данни за достъп. Всички грешки в конфигурането, пачването или защитата правят сървърите уязвими, включително тези под Linux. Дори нападателите често инсталират задна врата (backdoor) на Linux машини, за да ги използват после като безопасни укрития за достъп до мрежата ви.

    Заблуда 3: Имаме непоклатими политики за сигурност

    Контрапункт: Да, наличието на политики за сигурност на приложенията и потребителите е много важно. Те обаче трябва да се проверяват и актуализират постоянно, тъй като към устройствата, свързани в мрежата, се добавят непрекъснато нови функции и функционалности.

    Заблуда 4: Можем да защитим RDP сървърите от нападатели чрез промяна на портовете, на които се намират, и въвеждане на многофакторно удостоверяване (MFA)

    Контрапункт: Сканирането на портове от страна на нападателите ще идентифицира всички отворени услуги, независимо къде точно се намират, така че смяната на портове, само по себе си, предлага малка или никаква защита.

    Колкото до въвеждането на MFA, то е важно, но няма да подобри сигурността, ако политиката не бъде приложена за всички служители и устройства.

    Заблуда 5: Блокирането на IP адреси от високорискови региони като Русия, Китай и Северна Корея ни предпазва от атаки, идващи от тези географски локации

    Контрапункт: Блокирането на IP адреси от определени региони е малко вероятно да навреди, но може да създаде фалшиво усещане за сигурност, ако разчитате само на него за защита. Нападателите хостват своята злонамерена инфраструктура в различни държави, включително САЩ, Холандия и останалата част на Европа.

    Заблуда 6: Нашите архиви ни осигуряват имунитет срещу въздействието на рансъмуера

    Контрапункт: Поддържането на актуални архиви е от решаващо значение за бизнеса. Ако обаче те са свързани към мрежата, остават в обсега на нападателите и са уязвими на криптиране, изтриване или деактивиране при рансъмуер атака.

    Ограничаването на броя на хората с достъп до вашите архиви може да не подобри значително сигурността, тъй като нападателите ще са прекарали време във вашата мрежа, търсейки точно тези хора и техните идентификационни данни за достъп.

    По същия начин и съхраняването на резервни копия в облака трябва да се извършва внимателно – при инцидент, разследван от Sophos Rapid Response, е разкрито, че нападателите са изпратили имейл до доставчика на облачни услуги от хакнат акаунт на ИТ администратор и са го помолили да изтрие всички архиви – доставчикът е удовлетвотил молбата!

    Стандартната формула за сигурни архиви, които могат да се използват за възстановяване на данни и системи след атака с рансъмуер, е 3:2:1: три копия на всичко, на две различни системи, едната от които е офлайн.

    Последна забележка: офлайн резервни копия няма да ви защитят от престъпници, които крадат и заплашват да публикуват вашите данни, дори и да не ги криптират.

    Заблуда 7: Нашите служители разбират киберсигурността

    Контрапункт: Според The State of Ransomware 2021, 22% от организациите вярват, че ще бъдат засегнати от рансъмуер през следващите 12 месеца, защото е трудно да се спрат крайните потребители да компрометират сигурността.

    Тактиките за социално инженерство като фишинг имейли стават все по-трудни за откриване. Съобщенията често са ръчно изработени, точно написани, убедителни и внимателно насочени.

    Заблуда 8: Екипите за реагиране при инциденти могат да възстановят данните ми след рансъмуер атака

    Контрапункт: Това е много малко вероятно. Днес атакуващите правят много по-малко грешки и процесът на криптиране се е подобрил, така че намирането на вратичка, която може да премахне щетите, се случва изключително рядко.

    Заблуда 9: Ако платя откуп ще си получа обратно данните, откраднати при рансъмуер атака

    Контрапункт: Според доклада State of Ransomware 2021, организация, която плати откуп, възстановява средно около две трети (65%) от своите данни. Само 8% получават обратно всичките си данни, а 29% възстановяват по-малко от половината.

    Освен това връщането на данните е само част от процеса по възстановяване – в повечето случаи рансъмуерът напълно деактивира компютрите и софтуера и системите трябва да бъдат вдигнати от нулата, преди да се стигне до възстановяване на данните. Проучването през 2021 г. показва, че разходите за съвземане на бизнеса са средно десет пъти по-големи от търсения на откуп.

    Заблуда 10: Криптирането изчерпва атаката – ако оцелеем, всичко е наред

    За съжаление това рядко е така. Чрез криптирането нападателите ви дават да разберете, че са там и какво са направили.

    Вероятно те са престояли във вашата мрежа в продължение на дни, ако не и седмици преди пускане на рансъмуера. Те са проучвали, деактивирали или изтривали резервни копия, открили са машини с ценна информация или приложения, които да криптират, премахнали са информация и са инсталирали задни врати… Продължителното присъствие в мрежата на жертвата позволява на нападателите да предприемат втора атака, ако пожелаят.

    Как да се справите с организирането на киберсигурността във вашата фирма, прочетете тук:

  • Заедно можем да направим интернет по-безопасно място

    За 18-та поредна година светът отбелязва международния Ден за безопасен интернет.

    Мотото и тази година е „Заедно за по-добър интернет“.

    Отбелязваме годишнината, като ви припомняме най-популярните ни съветници за това как да противодействате на топ киберзаплахите в интернет пространството:

    # Как уебсайт може да се използва като средство за атака

    # Как да разпознаем фишинг атака

    # Топ 5 на най-честите атаки към WEB приложения

    # Четири лесни начина да се предпазите от спам

    # freedomonline.bg подкаст. 26.09.2017 г. Ботмрежи и DDoS

    # Пет начина да предпазите дигиталната си самоличност през 2019 г.

    # Десет грешки при защитата на данните, които фирмите не трябва да допускат

    # Пет начина да предпазите бизнеса си от вътрешни заплахи

    # Как да разпознаеш бот

    # 3 причини да правите бекъп на данните във фирмата си

    # 4 стъпки за предотвратяване на изтичане на информация

    # 8 важни стъпки, които да предприемете при Ransomware атака: Ръководство за бързо възстановяване след инцидент

    # Как работи EternalBlue

    # Пет начина да намалите рисковете от cryptojacking атаки

    # Network Management System – перфектната цел за атака

  • Десет грешки при защитата на данните, които фирмите не трябва да допускат

    Все по-често попадате на новини за големи изтичания или кражба на данни и то не само в специализираните сайтове за киберсигурност, а и във вечерните новини по телевизията. Жертвите обикновено са големи корпорации или държавни институции – дали само при тях има висок риск от пробив или в новините попадат само случаите, при които има големи финансови загуби?

    Всъщност, никой бизнес не е твърде малък за хакерите. Затова е важно да направите преглед на мерките за сигурност на данните във вашата фирма и да се уверите, че не сте допуснали някоя от най-популярните грешки:

    Грешка 1: Не сте наясно със слабостите в защитата на данните ви

    Оценете пълния потенциален размер на вредата, която нарушението на сигурността на данните може да причини на вашата компания. Проверете дали прилагате подходяща защита на всички ваши данни и дали защитавате всички възможни канали за атака.

    Само ако признаете за съществуването на проблем, ще можете да преминете към решение. Сигурността на данните е непрекъснат процес, тъй като постоянно се появяват нови и все по-сложни за откриване заплахи, а извършителите намират нови начини за достъп до вашите ценни данни.

    Затова помислете, какви защитни средства използвате във вашата компания. Трябва да имате антивирусни софтуери и защитни стени, но те отдавна не са достатъчни за една цялостна и адекватна защита.

    Грешка 2: Подхождате грешно при организиране на превенцията

    Повечето малки и средни фирми организират сигурността на данните си, все едно, че привеждат дейността си в съответствие с изискванията на нов закон или разпоредба: Изготвят списък със задължителни изисквания, на които се стараят да отговорят с възможно най-малко ресурси и усилия. Този подход със сигурност ще остави пролуки в сигурността ви, които атакуващите ще намерят и ще използват.

    Когато говорим за киберсигурност е задължително да вземете предвид съществуващите „модерни“ заплахи: Идентифицирайте ценните си данни, очертайте потенциалните заплахи и възможни начини за атака и оценете доколко вашата компания е уязвима към конкретен сценарий. Използвайте тази обширна оценка на риска, за да допълните вашите мерки за съответствие и да отстраните всички пропуски в сигурността на данните.

    Грешка 3: Не обучавате персонала си

    Служителите ви са вашият най-голям актив, но те може да се окажат най-слабото звено в защитата на данните ви. Един клик върху злонамерен линк от страна на служител във вашата мрежа може да застраши целия ви бизнес. Ето защо трябва да въведете програми за повишаване на осведомеността, така че персоналът ви да осъзнае своята роля и да се запознае с най-добрите практики в сферата на киберсигурността.

    Прочетете още: Как да предпазим бизнеса си от човешка IT грешка?

    Информирайте персонала си относно новостите в прилаганите от организацията ви стандарти и политиките за сигурност. Само когато обучавате персонала си правилно и периодично, ще имате силна система за сигурност на данните.

    Грешка 4: Не правите регулярни архиви

    Създаването на резервни копия на вашите системи е абсолютно задължително, за да сте подготвени за спирането на хардуер, кражба или злонамерена киберактивност. Те ще ви помогнат да се възстановите при евентуален инцидент. Особено, предвид бурните темпове на нарастване на броя на успешните криптоатаки по целия свят.

    Съществуват различни видове резервиране на данни, така че трябва да изберете това, което работи най-ефективно за вашия бизнес. Освен това винаги е добра идея да съхранявате копие от данните си на безопасно място офлайн. Нещо повече, налични са приложения за резервиране, които напълно или частично автоматизират процеса, така че това да не ви коства усилия.

    Още по темата: 3 причини да правите бекъп на данните във фирмата си

    Създайте стратегия, относно това какво ще бъде резервирано, честотата която ви устройва и планове за възстановяване след атака. Тествайте плановете си за възстановяване регулярно, за да сте сигурни, че те ще ви върнат в бизнеса бързо и безпроблемно.

    Грешка 5: Не инвестирате достатъчно в сигурността на вашите данни

    По-лошо: Това е сред първите пера, които съкращавате, когато трябва да ограничите бюджета на компанията си. Резултатът: Изтичане на данни, увреждане на репутацията на бизнеса ви, съдебни дела, плащане на глоби, загуба на клиенти и т.н.

    Планирайте бюджета си за сигурност след като изчерпателно сте отчели всички рискове, пред които е изправена вашата компания. Изчислете колко ще трябва да похарчите за сигурност на данните и колко повече ще загубите, ако оставите това перо недофинансирано. Ефективното планиране ще ви помогне да създадете надеждна ИТ сигурност за вашия малък или среден бизнес, и не е задължително цената за това да е висока. Ако нямате нужните знания и умения, можете да се обърнете към външен експерт – често това дори е по-изгодно.

    Грешка 6: Подценявате вътрешните заплахи

    Не пренебрегвайте възможността в екипа ви да има злонамерени лица. По-малките фирми често фокусират всички усилия върху защитата на т. нар. периметър, и пропускат да предотвратят кражби и злоупотреба с ценни фирмени данни от страна на вътрешни за компанията хора.

    Ще ви бъде интересно още да прочетете: Пет начина да предпазите бизнеса си от вътрешни заплахи

    Подходящите предпазни мерки за откриване и реагиране на вътрешни заплахи включват политика за ограничаване на достъпите до ниво Least Privilege, регистриране на активността на потребителите и поне минимални периодични проверки на поведението в мрежата.

    Грешка 7: Системите ви използват остарял софтуер

    Малкият бизнес трябва да бъде гъвкав при надграждане на съществуващите и въвеждане на нови решения. Служителите ви може да са свикнали със софтуера, който използват, но нарушаването на рутината не може да се сравни с последиците дори от най-малко поразяващата кибератака.

    Прочетете още: Над 50% от софтуера не се обновява и е уязвим на атаки

    Производителите на софтуер се стараят за закърпват уязвимости и да отговарят на новите изисквания за киберсигурност със всяка нова версия на решението си, която пускат на пазара. Затова прилагането на актуализации е от критично значение за сигурността на данните ви.

    Грешка 8: Давате излишни привилегии на потребителите в мрежата ви

    Предоставянето на предварително определен набор от привилегии на един потребител е чудесен начин да се установи обхвата на достъп, който потребителят трябва да има. Този подход е полезен за защита на вашите данни и предотвратява по-сериозни поражения ако един акаунт е компрометиран.

    Най-правилният подход е да се предоставят минимални привилегии на нови потребители, по подразбиране, и в последствие да увеличава обхватът на достъпа им, само когато това е абсолютно необходимо.

    Грешка 9: Не боравите правилно с паролите за достъп

    Когато създавате вашата стратегия за сигурност на данните, трябва да подсигурите достъпа до тях по правилен начин. Използвайте пароли, винаги когато е възможно и ги съхранявайте внимателно. Не използвайте слаби пароли или пароли по подразбиране.

    Малко статистика: LastPass: използването на слаби пароли продължава да бъде пречка пред сигурността на бизнеса

    Не е добра идея няколко служителя да споделят един акаунт. Забранете споделянето на пароли между служителите ви и ги научете колко важно е правилното използване и съхранение на паролите.

    Грешка 10: Не деактивирате своевременно акаунтите на напуснали служители

    Често в по-малките фирми няма изчерпателна процедура за действие при напускане на персонал. След като служител бъде освободен, акаунтът му в системите понякога остава активен и дори  се предава на друг, без да бъдат променени привилегиите или сменена паролата. Злонамерен бивш служител би могъл да злоупотреби с подобна небрежност.

    По същата тема прочетете:  Пазете се от напускащи служители

    Заключение

    Не твърдим, че добрата киберсигурност струва малко. Настояваме обаче, че не трябва да правите компромиси с нея. Обзалагаме се, че колкото повече от изброените тук грешки успеете да елиминирате, толкова по-добре ще оптимизирате бюджета, нужен за осигуряване на защита на ценната ви фирмена информация.

  • Злонамерен софтуер е открит на лаптопи, предоставени за дистанционно обучение

    Злонамерен софтуер е открит в лаптопи, предоставени от Министерство на образованието на Англия на деца в неравностойно положение.

    Английското правителство е разпратило над 800 хил. устройства на ученици, които нямат техническа възможност да се включат в дистанционното обучение, наложено от пандемията с Covid-19. Малуерът, за който се смята, че се свързва с руски сървъри, е установен при подготовката на част от предоставените устройства за работа.

    Става дума за Gamarue, саморазмножаващ се мрежов червей, който инсталира шпионски софтуер и представлява много тежка заплаха за всеки компютър или мрежа.

    В безпрецедентната ситуация, в която се намират училищата в Европа, включително в България, е много важно те да използват легитимно антивирусно решение, които да обезпечи безопасността на мрежите им. Такъв продукт следва да е инсталиран и на домашните устройства, които някои учители използват за изпълнение на служебните си задължения.

  • Ticketmaster ще плати 10 млн. USD глоба за хакване на конкурент

    Ticketmaster, една от най-големите компании за продажба на билети за събития в света, ще плати 10 млн. USD глоба заради неправомерен достъп до компютърните системи на конкурент.

    Компанията е наела бивш служител на конкурентната фирма CrowdSurge, който е използвал откраднати пароли, за да проникне в системата на предишния си работодател. Служители на Ticketmaster неколкократно (в периода 2013 – 2015 година) са осъществявали достъп до компютрите на конкурента и са събирали незаконно бизнес информация.

    Потърпевшите са обвинили Ticketmaster в достъп до поверителни бизнес планове, договори, списъци с клиенти, в опити за разубеждаване на изпълнители да работят с CrowdSurge и др.

    Препоръки:

    Злонамерените действия от страна на бивши служители могат да имат тежки последствия за вашия бизнес. Добрата новина е, че можете да управлявате този риск, следвайки няколко прости правила:

    • Сменяйте редовно администраторските пароли
    • Деактивирайте профилите на напусналите служители
    • Задайте политики за достъп до информационните ресурси във фирмата
  • Ако използвате NMS платформата Orion на SolarWinds, проверете дали сте приложили последните актуализации

    SolarWinds публикува актуализирани насоки за противодействие на злонамерения софтуер SuperNova. Установено е, че той е бил разпространен чрез платформата за управление на мрежата (Network Management System – NMS) на компанията – Orion.

    Друг малуер (SUNBURST), инжектиран в същата платформа, даде възможност на хакери да проникнат в мрежите на редица държавни и частни организации по целия свят и да причинят най-мащабния хак за всички времена.

    Специалистите смятат, че SuperNova не е свързан с групата, разпространила SUNBURST.

    SolarWinds съветва всички клиенти на платформата Orion да я ъпдейтват до най-новите версии, за да бъдат защитени от откритите злонамерени кодове.

    Актуализациите за платформата Orion, включват следните версии и корекции:

    2019.4 HF 6 (пуснат на 14 декември 2020 г.)

    2020.2.1 HF 2 (пуснат на 15 декември 2020 г.)

    2019.2 SUPERNOVA Patch (пуснат на 23 декември 2020 г.)

    2018.4 SUPERNOVA Patch (пуснат на 23 декември 2020 г.)

    2018.2 SUPERNOVA Patch (пуснат на 23 декември 2020 г.)

  • Аir-gapped устройствата ви не са недосегаеми

    Киберексперти са открили възможност за ексфилтриране на чувствителна информация от компютри, които физически са изолирани от интернет (air-gapped computers). При това без наличие на Wi-Fi хардуер в целевите системи, а само чрез есплоатация на скрити Wi-Fi сигнали.

    Атаката, предмет на изследването, е наречена „AIR-FI“ и работи по следния начин:

    В мрежата на жертвата се внедрява специално разработен малуер, който кара DDR SDRAM на устройството да генерира електромагнитни емисии с Wi-Fi честота 2,4 GHz. Информацията, предавана върху тези честоти се прихваща и декодира от близки Wi-Fi устройства (смартфони, лаптопи, IoT устройства), след което се изпраща до отдалечени сървъри, контролирани от нападател.

    Аir-gapped устройствата ви не са недосегаеми

    Air-gapped компютрите (машини без мрежови интерфейс) се използват за съхранение на чувствителни данни, с цел да се намали рискът от изтичането им.

    AIR-FI е уникален с това, че не разчита нито на Wi-Fi предавател за генериране на сигнали, нито изисква драйвери на ядрото, специални root привилегии или достъп до хардуерни ресурси за предаване на данните.

    Нещо повече, скритият канал работи дори от изолирана виртуална машина и има безкраен списък с Wi-Fi устройства, които могат да бъдат хакнати от нападател, за да действат като потенциален приемник.

    Изследването цели да напомни, че електромагнитните, акустичните, топлинните и оптичните компоненти могат да станат вектори за извършване на сложни атаки, насочени към физически изолирани устройства с важно значение за организацията ви.

    Ефективната защита изисква да изградите зони за предпазване от електромагнитни атаки и да използвате системи за откриване на интензивни процеси, протичащи в паметта на изолираното устройство.

  • 15 добри практики за защита на приложенията – за разработчици и клиентите им

    Разработката на мобилни и уеб app-ове преживява безпрецедентен растеж от 2010 г. насам. Днес всяка организация използва приложения, които са от ключово значение за функционирането й. Същевременно, техните слабости и уязвимостите на софтуера продължават да бъдат най-често срещания метод за външна атака.

    Какво е сигурност на приложенията и защо тя е важна

    Application Security е процесът на повишаване сигурността на приложенията чрез тестване, коригиране и подобряване на тяхната защита. Той се извършва предимно през фазата на разработка, но включва също инструменти и методи за защита на приложенията, след като те бъдат внедрени.

    В доклад са представени резултатите от тестването на 85 хил. приложения:  Установени са общо 10 млн. проблема със защитата. 83% от всички апликации са имали поне един недостатък в сигурността. Това означава, че много от тестваните софтуери са имали доста повече от един недостатък. 20% от всички разглеждани приложения са имали поне един проблем със сигурността с висока степен на сериозност.

    Прочетете още: Android вирус срещу банкови приложения вече краде пароли за социални мрежи и криптовалути

    Повече приложения – повече проблеми

    Днес приложенията се създават, внедряват и интегрират ежедневно, понякога за часове. Често липсва внимателно прецизиране на изискванията, създаване и тестване на прототипи – директно се доставя завършено решение за крайните потребители. Какви са недостатъците води след себе си този бум:

    • Все повече програмистиаматьори: Все повече самоуки начинаещи програмисти пишат мобилни приложения. Често на тях им липсват знания относно потенциалните проблемите със сигурността. За съжаление, подобни пропуски се откриват и при някои по-опитни екипи за разработка на приложения.
    • Неефективна употреба на инструменти: Програмистите често не успяват да тестват сигурността на разработваните от тях приложения по най-оптималния начин, тъй като смятат, че това ще забави процеса по разработване.
    • Липса на DevSecOps: Често софтуерът не се разработва по установените най-добри практики за сигурност. Пренебрегва се DevSecOps процеса (подхода“shift-left”), който е жизненоважен за откриването и отстраняването на проблемите със сигурността на възможно най-ранен етап.
    • Уязвимости, свързани с open-source източници: Изчислено е, че 96% от корпоративните приложения използват open-source софтуер и библиотеки, които сами по себе си съдържат голям брой уязвимости.
    • Непознаване на използваните приложения: Ако горните пропуски са присъщи на разработчиците, то този касае конкретно потребителите. Те трябва да са наясно с наличните приложения и свързаните с тях функционални рискове. Много организации биват хаквани през app, за чието наличие не са подозирали.

    Разработчици, положете добрите основи за защита на приложенията

    1. Имплементирайте DevSecOps подход. DevSecOps (shift-left) открива пропуски в сигурността на разработваните приложения още от самото начало. Чрез него може да предотвратите потенциалното възникване на проблеми или да ги разрешите възможно най-бързо ако такива се появят. Този метод позволява да засечете слабостите в сигурността по време на всеки етап от развитието на софтуера – от дизайна до пускането му на пазара.
    2. Имплементирайте процес за управление на жизнения цикъл на разработвания софтуер от гледна точка на сигурността (Secure Software Development Life Cycle Management Process – SSDLC). SSDLC следи дали във всеки един етап софтуерът: 1) се разработва и поддържа от обучени и запознати с изискванията за сигурност служители, 2) се разработва в сигурна среда, 3) се доставя до клиентите сигурно.
    3. Справете се с open-source уязвимостите. Следете постоянно за наличие на грешки и ги елиминирайте посредством прилагане на навременен patch и регулярни ъпдейти.
    4. Aвтоматизирайте. Това е жизненоважно. Автоматизирането ще позволи на екипа ви да се съсредоточи върху по-сложните предизвикателства за сигурността.
    5. Посещавайте редовни обучения по киберсигурност. Подсигуряването на кода на приложението е ваша отговорност. Затова е важно вие и екипът ви да бъдете обучени от специалисти по киберсигурност – съгласно спецификите на вашата работа и роля.
    6. Регулярно обновявайте и прилагайте пачове. Това е един от най-ефективните начини да подсигурите софтуера си. Важна точка от този процес е планирането на самото обновяване – кой, какво и кога да направи. Предварителното дефиниране на подходящата архитектура ще предотврати проблеми, свързани с  евентуална несъвместимост на приложенията с новите версии.
    7. Осигурете възможност за събиране на логове. Без тази информация е почти невъзможно да се определи кога се случва пробив. Анализирането на информацията за периода, предхождащ атаката, би имало пряко влияние върху нивото на сигурността и би било от полза при разследването.
    8. Криптирайте информацията. Най-базовото криптиране е това, което използва SSL с валиден сертификат. Недопустимо е чувствителна информация като лични данни и пароли да се съхранява некриптирана, тъй като при една man-in-the-middle атака тя би попаднала незащитена в ръцете на недоброжелатели.
    9. Провеждайте Pentesting. Pentester-ът ще се опита да хакне приложението с цел да открие уязвимости и потенциални вектори на атака. След това ще помогне за разрешаване на идентифицираните проблеми, за да предпази приложението от истинска атака. Добра практика е човекът, който ще извършва pentesting, да е външен експерт, който не е участвал в създаването на самото приложение.
    10. Заложете валидиране на входните данни. Данните, които потребителят ще въвежда в приложението трябва да бъдат синтактично и семантично правилни. Предвидете нужните проверки на въвежданите цифри, символи, знаци и др.
    11. Разрешавайте проблемите дългосрочно. Някои видове уязвимости се повтарят във времето (cross-site scripting (XSS), SQL injection, buffer overflow). Вместо да правите частична кръпка на проблема (patch), изкоренете уязвимостта в дългосрочен план: Определете кои са местата във вашето приложение, на които могат да се наблюдават тези уязвимости и елиминирайте причината за наличието им.
    12. Управлявайте правилно контейнерите. Уверете се, че вашите контейнерни изображения са подписани  цифрово. Стартирайте автоматично сканиране за уязвимости с отворен код.

    Потребители, погрижете се за сигурното използване приложенията

    13. Познавайте съдържанието. Идентифицирайтe и разпознавайтe функционалностите на приложенията, които използвате.Не може да защитите от нещо, за което не знаете, че съществува.

    14. Оценете риска от гледна точка на атакуващия. Може да си помогнете със следните стъпки:

    • Създайте списък на всички активи, които изискват защита
    • Идентифицирайте заплахите и определете как те да бъдат изолирани и премахнати
    • Идентифицирайте вектори на атака, през които приложението може да бъде компрометирано
    • Уверете се, че правилните мерки за сигурност са приложени и могат да засекат и предотвратят потенциални атаки
    • Преценете дали има нужда от допълнителни или различни инструменти за защита
    • Ако не можете да се справите сами, обърнете се към външен специалист по информационна сигурност

    15. Ограничете достъпа до приложението.

    • Определете кой потребител от какъв достъп има нужда
    • Създайте правила за достъп
    • Добра практика е прилагането на принципа на най-необходимия достъп (least privilege access)

    В заключение

    Application Security е процес, който се провежда, както от разработчици, така и от ползватели и външни специалисти. От планиране, реализиране, проверка за уязвимости и закърпване на дупките до сигурното използване на приложенията и ограничаване на достъпа до тях.

    При инцидент, свързан с изтичане на данни, криптирани сървъри или друго, неприятностите са за всички.

    Обезпечаването на сигурността става много по-лесно, когато всички участници се стремят към обща цел, а не прехвърлят собствената си отговорност на другите.

Back to top button