защита на информационните ресурси

Пролетта идва, а с нея е време и за четвъртото издание на Security BSides Sofia! Тази година уникалното събитие от обществото специалисти по киберсигурност за обществото специалисти по киберсигурност ще се проведе на 29 и 30 март в Interpred WTC Sofia.

Security BSides Sofia 2025 се отличава с изцяло техническата си насоченост. Всички презентатори са подбрани на база идеите, които искат да споделят. Те са част от събитието си не като представители на компаниите, за които работят, а като част от обществото.

„За разлика от много корпоративни конференции, Security BSides Sofia 2025 се отличава със своя комюнити характер и лесна достъпност. Нашето събитие е с отворен формат, който насърчава участието на всички присъстващи. Те могат да задават въпроси, като по този начин не се ограничават само до пасивното слушане“, акцентират организаторите на форума.

Затова и фокусът на Security BSides Sofia 2025 пада върху практическото знание и реалните казуси, а не върху маркетингови презентации. Конференцията предлага пространство за дискусии по теми, които често остават извън обхвата на традиционните конференции.

„Искаме да съберем на едно място както  професионалисти, така и ентусиасти в областта на киберсигурността, за да споделят знания, опит и нови интересни решения. Идеята на формата е да създаде достъпна платформа за обмен на идеи, представяне на нови технологии и дискусии в сферата на информационната сигурност. Стремим се да изградим силна общност, която насърчава сътрудничеството и развитието на киберсигурността в България и региона“, добавят те.

Програмата на Security BSides Sofia 2025 е разделена на две части – лекционна (29 март) и практическа (30 март), в рамките на която ще се проведат workshop-и. В първият ден на форума на сцената ще излязат лектори от четири различни държави, половината от които българи. Те ще представят основните тенденции в киберсигурността от гледна точка на водещите съвременни технологии – AI, дронове, квантови изчисления и т.н.

Цялата програма на Security BSides Sofia 2025, както и билети за събитието, можете да намерите ТУК.

Партньори на четвъртото издание на форума са CENTIO#Cybersecurity, [UX2.DEV], Commerzbank, ESET и BASELINE Cybersecurity.

Медийни партньори: DEV.BG, DIR.BG, Digitalk, BTV, Kaldata.

 

Последен ъпдейт на 2 март 2025 в 12:27 ч.

В продължение на години стратегиите за сигурност се фокусираха върху три основни области: мрежа, крайни точки и електронна поща. В същото време браузърът, в който се извършва по-голямата част от съвременната работа, е разположен между всички тях. Киберпрестъпниците се адаптираха към това, като насочиха атаките си към него.

Заплахите, базирани на браузъра, манипулират уеб приложенията в реално време, избягвайки засичането им от firewall и EDR решения. Затова екипите по сигурността трябва да преосмислят откриването и реакцията на това ниво.

Нов клас заплахи

Malware Reassembly

Традиционните модели за сигурност са проектирани да откриват и блокират зловреден софтуер, базиран на файлове. Нападателите обаче се отказаха от конвенционалните полезни товари в полза на зловреден софтуер, който динамично се сглобява в браузъра. Тези атаки са практически невидими за инструментите за защита на крайни точки и мрежи.

Хакерите използват JavaScript loader и HTML injection, за да модифицират уеб страници и да сглобяват зловреден код и файлове за изтегляне директно в раздела на браузъра.

Работейки в тази среда, подобни заплахи избягват традиционните механизми за откриване. Това позволява на киберпрестъпниците да превземат сесиите на потребителите, да крадат пълномощия и да компрометират чувствителни данни. Без видимост в реално време за това как уеб страниците и скриптовете работят в браузъра, организациите остават слепи за тези нови техники за атака.

Фишинг и Trusted Site Exploitation

Нападателите постоянно усъвършенстват техниките за фишинг, за да заобиколят автоматизираното откриване. Те използват сложни тактики в няколко стъпки, които включват:

• многократни пренасочвания, за да се избегнат механизмите за откриване и изолиране, базирани на URL;
• насочвани с JavaScript фишинг страници, които динамично генерират злонамерено съдържание при поискване;
• CAPTCHA и контрол на достъпа на базата на сесии, за да се блокират инструментите за сигурност от сканиране на измамни сайтове.

В изследване за сигурността на браузъра на Keep Aware се подчертава, че зашеметяващите 70% от многостъпковите фишинг кампании се представят за приложения на Microsoft – OneDrive или Office 365. Нападателите използват все по-често и надеждни платформи като Google Docs, Dropbox и AWS, за да хостват зловредно съдържание. Това значително затруднява откриването.

Традиционните механизми за защита са неефективни срещу тези тактики и екипите по сигурността се нуждаят от нови модели за откриване. Те трябва да работят в самия браузър, за да наблюдават структурата на страницата и да откриват промени – независимо от URL адреса.

Мъртвата зона в разширенията на браузъра

Разширенията се превърнаха от прости инструменти за продуктивност в дълбоко интегрирани приложения с достъп до почти всичко, което се случва в браузъра. Въпреки нарастващата им сложност, тяхната сигурност остава до голяма степен неконтролирана. Това създава огромна повърхност за атаки от страна на киберпрестъпниците:

• Infostealer и други злонамерени разширения могат да се маскират като легитимни инструменти, докато тихомълком изнасят данни;
• компрометираните акаунти в Chrome Web Store доведоха до масово разпространение на измамни разширения, заобикаляйки стандартните прегледи за сигурност;
• повторното активиране на разширенията и актуализациите на версиите могат да създадат непосредствени рискове за сигурността.

Всичко това подчертава спешната необходимост от мониторинг на разширенията в реално време и интеграцията на автоматизирани инструметни за откриване на заплахи.

Пропастта в сигурността: Защо традиционните инструменти не са достатъчни

Основното предизвикателство в сигурността на браузъра се крие в неговия уникален модел на данните – Document Object Model (DOM). Той управлява начина на визуализиране и манипулиране на уеб страниците, но до голяма степен остава пренебрегнат като вектор за атака.

Инструментите за мрежова сигурност и защита на крайните точки следят трафика и изпълнението на процесите. Браузърът обаче е активна среда, в която съдържанието и скриптовете се променят динамично.

Организациите трябва да възприемат модел за откриване на заплахи в браузъра, като наблюдават поведението на сесиите, моделите на въвеждане на удостоверения и високорисковите взаимодействия в реално време. Контролите трябва да работят отвъд филтрирането на URL адреси, за да включват откриване с отчитане на контекста.

Точно както EDR трансформира сигурността на крайните точки, BDR трябва да се превърне в основен компонент на корпоративната сигурност. Решенията от този клас позволяват телеметрия в реално време, анализ на изпълнението на JavaScript и на заплахи на ниво браузър.

Браузърът като източник на риск за цялата организация

Откриването на заплахите и реагирането са от решаващо значение за сигурността на ниво браузър. Организациите обаче трябва да вземат предвид и по-широките рискове, включително:

• чувствителна информация може да бъде копирана, качена или споделена в рамките на неподлежащи на наблюдение SaaS приложения;
• служителите рутинно използват несанкционирани инструменти и приложения с изкуствен интелект в браузъра, заобикаляйки IT контрола;
• те често споделят поверителни данни в AI чатботове и асистенти, без да разбират последиците за сигурността;
• компрометирани акаунти и злонамерени вътрешни лица могат да изнасят корпоративни данни директно в браузъра.

Тези предизвикателства подчертават нуждата от непрекъсната видимост и превенция на заплахите, които се простират отвъд мрежата, крайните точки и електронната поща. Екипите по сигурността трябва да преосмислят управлението на браузъра, сигурността на данните и контрола на риска от вътрешни лица като част от цялостна стратегия за сигурност на предприятието.

Браузърът вече не е просто инструмент за продуктивност – той е основната повърхност за атака, която нападателите използват, за да заобиколят традиционните защити. Така че не пренебрегвайте този вектор, а го защитете както останалата част от вашата IT инфраструктура.

През 2024 национални държави и APT групи направиха значителни инвестиции в инфраструктура и автоматизация, за да засилят познатите методи за кибератаки. Единственият начин на организациите да се защитят в тази среда на нарастващи рискове е проактивният подход към киберсигурността.

Ето три основни стъпки, с които можете да изпреварите нападателите:

Подгответе се за нови киберзаплахи

• Опознайте цялата повърхност, която може да бъде атакувана, включително всички потенциални входни точки;
• Прилагайте проактивни мерки за сигурност, които затварят всякакви пропуски и осигуряват постоянна защита;
• Подготовката за нови киберзаплахи включва редовно актуализиране на защитните механизми и обучение на служителите за разпознаване на потенциални атаки.

Разширете Zero Trust подхода до всички свои ресурси

• Zero Trust подходът изисква проверка на всяка заявка за достъп, независимо от това дали идва от вътрешната мрежа или от външни източници;
• Прилагайте MFA за всички акаунти. Това е ключова стъпка за осигуряване на допълнителен слой защита.
• Контролът върху достъпа трябва да обхваща не само служителите, но и партньорите, клиентите и AI идентичностите, взаимодействащи с ресурсите на вашия бизнес.

Използвайте генеративен AI за подобряване на сигурността

• Генеративният AI може да бъде използван за откриване на заплахи в реално време и автоматизиране на отговорите на инциденти;
• Технологията помага за проактивна защита срещу нови и непознати опасности, като анализира големи обеми данни и идентифицира аномалии;
• Внедряването на AI решения за сигурност повишава ефективността на защитните механизми и намалява времето за реакция при инциденти.

Приемането на проактивен подход към киберсигурността е от съществено значение за организациите през 2025 г. и след това. Опознаването на вашите системи, разширяването на Zero Trust контролите и използването на генеративен AI ще направят защитата ви значително по-ефективна.

 

Западни агенции за сигурност – CISA, NSA, FBI и др. – публикуваха нов набор от добри практики за засилване на видимостта и укрепване на мрежовите инфраструктури. Пускането на Enhanced Visibility and Hardening Guidance for Communications Infrastructure е продиктувано от нарастващия брой кибератаки срещу критични западни системи.

Той включва актуални насоки в три основни направления – подобряване на видимостта, укрепване на мрежовите устройства и отговор на инциденти.

Подобряване на видимостта

Тук основните съвети обхващат:

Мониторинг на мрежата: Внимателно наблюдавайте конфигурационните промени и внедрете механизми за алармиране при неоторизирана намеса.

Централизирано съхранение на конфигурации: Не приемайте устройствата като достоверен източник на информация за техните конфигурации. Редовно тествайте и водете единна база данни на всички настройки.

Решения за мониторинг на мрежовия поток: Внедрете доказани решения за мониторинг на мрежовия поток. Те позволяват детайлно наблюдение на трафика, потребителската активност и трансфера на данни.

Укрепване на мрежовите устройства

Трите основни насоки на това поле са насочени към:

Пачване на уязвими устройства и услуги: Редовно актуализирайте софтуера и фърмуера на мрежовите устройства, за да се намалят възможностите за проникване.

Сигурност на конфигурациите: Използвайте силни пароли и MFA за достъп до мрежовите устройства.

Ограничаване на достъпа: Ограничeте достъпа до мрежите само до оторизирани потребители и устройства.

Отговор на инциденти

Ако все пак се случи пробив, организациите трябва да са изградили възможноти за:

Бързо идентифициране на заплахи: Добрата видимост на инфраструктурата позволява бързо идентифициране на заплахи, аномалии и уязвимости.

Реакция на инциденти: Разработване на планове, които включват процедури за бързо реагиране и възстановяване на нормалната работа на мрежата.

Изпълнението на тези насоки намалява възможностите за проникване и смекчава последствията при потенциални кибератаки.

Последен ъпдейт на 23 февруари 2025 в 16:26 ч.

Amazon е най-големият онлайн търговец на дребно в света с повече от 310 милиона активни потребител. Много българи също използват неговите услуги.

Очаквано, киберпрестъпниците не пропускат да се възползват от съкровищницата от лични и финансови данни, която представляват акаунтите в платформата. Ако бъдат компрометирани, те могат да бъдат използвани за кражба на идентичности и измами. Това превръща Amazon в любима цел за тях. А за потребителите един пробив може да доведе до сериозни финансови загуби и правни проблеми.

Затова трябва да сте наясно с признаците, които могат да ви подскажат, че профилът ви е бил хакнат.

Ето четири от тях:

Признак 1: Не можете да влезете

Най-очевидният признак е да откриете, че не можете да влезете в акаунта си, дори когато сте сигурни, че използвате правилните имейл адрес и парола.

Възможно е компанията да го е спряла заради необичайна дейност от ваша страна. Но в повечето случаи това е сигнал, че той е бил хакнат и са променени данните ви за вход.

Признак 2: Данните ви са променени

Може да забележите, че данните на профила ви са променени – адрес, имейл или информация за контакт. Хакерите понякога предпочитат вместо директно да откраднат профила, да го превземат и да останат скрити. Съществува и възможност да сте влезли точно в момента, в който те са работили по компрометирането му, и да сте прекъснали процеса.

Признак 3: Странна активност при покупки

Ако получите пакет, който не сте поръчвали, това може да е знак, че информацията ви е използвана за създаване на фалшив акаунт.

Възможно е също така да забележите покупки, които не сте направили, в историята на поръчките си. Ясен сигнал е и наличието на непознати продукти в историята на сърфирането ви.

Признак 4: Появяват се отзиви от ваше име

Една от най-честите причини хакерите да компрометират акаунт в Amazon е да правят фалшиви рецензии. Съмнителните продавачи в платформата често го правят, за да подават петзвездни ревюта за собствените си продукти или лоши за своите конкуренти.

Стъпки за ограничаване на щетите

Ако смятате, че акаунтът ви в Amazon е бил хакнат, има няколко стъпки за ограничаване на щетите и възстановяване.

Стъпка 1: Променете паролата си

Не е лоша идея да сменяте редовно паролата си, независимо дали смятате, че акаунтът ви е бил хакнат, или не. Ако пробивът е факт обаче, това със сигурност трябва да е първата ви стъпка.

Уверете се, че сте избрали трудна за отгатване комбинация. Тя трябва да включва главни и малки букви, цифри и символи. Освен това трябва да сте сигурни, че дори не наподобява парола, която използвате другаде. Също така е задължително да активирате 2FA. За целта отидете в Your Account и секцията Login & security.

Стъпка 2: Проверете данните за профила

Проверете имейл адреса и телефонния номер, свързани с вашия акаунт, и се уверете, че са верни и актуални.

Изтрийте всички изтекли, закрити или ненужни финансови сметки от раздела за плащания.

Стъпка 3: Проверете за подозрителни трансакции

Прегледайте историята на поръчките си и незабавно докладвайте на Amazon за всички подозрителни трансакции, които откриете. Можете да направите това чрез основния уебсайт за обслужване на клиенти или чрез опцията Report a Scam.

Стъпка 4: Излезте от профила си в Amazon на всички устройства

Можете да излезете от акаунта си в Amazon, като изберете Sign Out в падащото меню Account & Lists. Промяната на паролата трябва автоматично да ви подкани да излезете едновременно на всички устройства, които сте използвали. Направете го.

Стъпка 5: Стартирайте антивирусно сканиране

Възможно е хакерите да са получили достъп до вашето устройство, като са инсталирали зловреден софтуер. Уверете се, че имате актуален антивирусен пакет и го стартирайте, за да откриете и изтриете всичко съмнително.

Възстановяване на профила и защита

Ако не можете да влезете в профила си, защото хакер го е блокирал или е променил паролата ви, посетете центъра за помощ на Amazon. Въведете имейл адреса или номера на мобилния телефон, свързан с вашия акаунт.

След това ще получите еднократна парола, която да въведете. Това ще ви позволи да създадете нова и да възстановите достъпа до профила си.

Ако по някаква причина това не сработи, можете да се свържете директно с Amazon. Посетете секцията за обслужване на клиенти. Възможно е да бъдете помолени да потвърдите самоличността си чрез сканиран или сниман официален документ за самоличност.

Независимо дали акаунтът ви в Amazon е бил компрометиран или не, той трябва да е максимално защитен. Това включва:

• силна, уникална парола и 2FA;
• добавяне на вторичен канал за комуникация като номер на мобилен телефон;
• мониторинг на опитите за влизане чрез опцията Secure Your Account в настройките за сигурност.

Междувременно, за да сте сигурни, че измамниците няма да компрометират профила ви:

• никога не отговаряйте на подозрителни имейли, обаждания и съобщения от непознати податели;
• не въвеждайте лична и финансова информация в изскачащи прозорци;
• информирайте се постоянно за променящите се заплахи в интернет;
• следвайте добрите практики за цифрова хигиена и киберсигурност.

Cryptojacking не е заплаха, около която се вдига толкова шум, колкото около ransomwarе например. Тя обаче може незабелязано да източва ресурсите и да увеличи разходите ви. Вместо да блокират системите ви, този тип атаки тихомълком превземат изчислителната ви мощ за добив на криптовалута. Те засягат CPU, GPU или облачната ви инфраструктура.

Това струва на компаниите повече, отколкото те осъзнават. Според SonicWall през 2023 г. Cryptojacking атаките са се увеличили с 659%. А за всяка добита криптовалута на стойност 1 USD компаниите са плащали по около 53 USD разходи за облачни услуги. И тъй като не нарушават незабавно работата на системите, тe често остават незабелязани.

Нападателите са разработили няколко метода за вкарване на код за Cryptojacking във вашите системи:

• Drive-by Downloads: Когато потребителите посещават компрометирани уебсайтове, злонамерените Cryptominer могат да се изпълняват автоматично във фонов режим:
• Фишинг имейли: При кликане върху зловредна връзка или изтегляне на файл жертвата несъзнателно изтегля зловреден софтуер;
• Непоправени уязвимости: Инструментите за Cryptojacking често използват уязвимости в сървъри, за да разпространяват зловреден софтуер в мрежите;
• Контейнеризирани среди: Тъй като все повече компании използват контейнери, нападателите вграждат зловредни скриптове за таен добив на криптовалути в такива, съхранявани в публични хранилища.

Защо трябва да ви е грижа

Въпреки че Cryptojacking може да изглежда като незначително неудобство в сравнение с кражбата на данни, въздействието може да бъде сериозно.

Различните сценарии включват:

• Удар по производителността: Cryptojacking източва ресурсите на CPU и GPU, което забавя работата на системите ви. Освен това прекомерната консумация на енергия увеличава сметките ви, натоварва хардуера и може да доведе до прегряване;
• Увеличаване на разходите в облака: Доставчиците на облачни услуги начисляват такси въз основа на използването на ресурсите. Компрометираните виртуални машини или контейнери консумират огромни количества CPU, GPU и памет, което води до неочаквани и често огромни сметки;
• Загуба на производителност: Претоварените системи могат да се сринат или забавят до степен, в която операциите спират;
• Уязвимост на сигурността: Cryptojacking инструментите често се възползват от същите уязвимости, които могат да доведат до по-големи и по-вредни атаки. След като вече има опора в компрометирания ресурс, нападателят може да се възползва от това по всяко време.

Защита срещу Cryptojacking

Cryptojacking атаките могат да бъдат насочени срещу всяка организация, независимо от нейната големина, индустрия или регион.

За да защитите вашия бизнес се нуждаете от проактивна, многопластова защита. Това включва:

• Защита на крайни точки: Съвременните инструменти за защита на крайни точки често включват функционалности за откриване на Cryptojacking. Те следят скоковете в потреблението на ресурси и сигнализират за необичайна активност;
• Мониторинг на мрежата: Софтуерите за Cryptojacking често оставят следи в мрежовия трафик. Инструменти, които анализират моделите на потребление за необичайни връзки, могат да помогнат за ранното откриване и предотвратяване на заплахата;
• Мониторинг на облака: Платформи като AWS CloudWatch и Azure Monitor могат да помогнат за проследяване на скоковете в потреблението на CPU или GPU. Подобни събития са основен признак за Cryptojacking.

Но не е достатъчно просто да внедрите тези инструменти. Те трябва да бъдат правилно конфигурирани и непрекъснато актуализирани, за да се гарантира, че са ефективни срещу най-новите заплахи от този тип.

Последен ъпдейт на 23 февруари 2025 в 09:58 ч.

Освен че е непрекъснат процес, а не единичен акт, подсигуряването на киберсигурността на вашия бизнес изисква многопластов подход.

Пример за това са четирите рамки ZTNA (Zero Trust Network Access), SDP (Software Defined Perimeter), SSE (Secure Service Edge) и SASE (Secure Access Service Edge). Всяка една от тях има своите специфични цели и особености, но едновременно с това могат да функционират в съзвучие.

Ето какво представлява всяка една от тези четири рамки:

• ZTNA: Структура за сигурност, която създава логическа граница за достъп. Тя е базирана на идентичност и контекст, изградени около приложение или набор от приложения. Тази рамка за сигурност налага стриктно удостоверяване на автентичността на всеки потребител и устройство, които се опитват да получат достъп. С други думи, логиката на ZTNA е никога не се доверявай, винаги проверявай.
• SDP: Рамка за сигурност, която има за цел да защитава мрежовите ресурси. Тя залага на динамично създаване на сигурни връзки между потребителите и ресурсите, вместо да разчита на традиционен периметър, като например NGFW.
• SSE: Архитектура, която защитава достъпа до уеб, облачни услуги и частни приложения. Това включва контрол на достъпа, защита от заплахи, сигурност на данните, мониторинг на сигурността и контрол на приемливото използване. Те се прилагат чрез мрежова и API-базирана интеграция.
• SASE: Предоставя конвергирана мрежа и възможност за SECaaS, включително SD-WAN, SWG, CASB, NGFW и достъп до ZTNA.

Как се допълват взаимно

ZTNA, SDP, SSE и SASE са различни рамки в сферата на мрежовата сигурност, но всяка от тях надгражда другата. Комбинацията между тях осигурява по-всеобхватен и сигурен достъп до приложения и услуги.

Ето как се случва това:

• ZTNA и SDP: И двете осигуряват проверка на самоличността, както и функции за контрол на достъпа. Те гарантират, че ресурсите, до които потребителите имат достъп, са ограничени само до необходимите за конкретното приложение. ZTNA разширява възможностите на SDP чрез по-фин контрол на достъпа и непрекъснато удостоверяване на автентичността.
• ZTNA и SSE: Внедряването на ZTNA в SSE позволява на организациите да прилагат последователни мерки за сигурност за всички приложения и потребители, независимо от местоположението им.
• SASE: Тази рамка съчетава функционалностите на ZTNA, SDP, SD-WAN и SSE, предоставяйки цялостно решение за сигурност. Опростява внедряването и подобрява работата на потребителите.

Основни ползи за киберсигурността на бизнесите

Съвместното внедряване на ZTNA, SDP, SSE и SASE предлага редица предимства за организациите.

Те включват:

• Повишени нива на защита: Подобрява сигурността на организацията чрез намаляване на повърхността за атака;
• Повишена производителност: Потребителите имат достъп до данни и приложения в движение, без да са зависими от традиционните VPN, които често са бавни;
• Намалена оперативна сложност: Интеграцията на мрежовите възможности и тези за сигурност в една платформа намалява оперативните главоболия на IT отделите.
• Намалени разходи: Този подход елиминира необходимостта от множество продукти за сигурност, като опростява и рационализира мрежовата архитектура. Чрез консолидиране на множество функции в една облачна конзола бизнесите могат да спестят оперативни разходи.
• Възможности и адаптивност: Облачни модели като SASE и SSE позволяват на организациите да подсилват сигурността си според нуждите, в синхрон с операциите в реално време. По този начин те могат да се адаптират своевременно към нови предизвикателства.

Служителите споделят широк спектър от данни в инструменти за генеративен изкуствен интелект (GenAI). Това оправдава колебанието на много организации да възприемат използването на технологията.

Всеки път, когато потребител въвежда данни в свой промпт за ChatGPT или друг подобен инструмент, информацията се поглъща от големия езиков модел. След това тя се използва за обучение на следващото поколение на алгоритъма. Опасенията са, че информацията може да бъде извлечена по-късно чрез уязвимости в моделите, ако не е осигурена подходяща защита на данните за въпросната услуга.

От Harmonic.ai са анализирали хиляди промптове, подадени от потребители в GenAI платформи като Copilot, ChatGPT, Gemini, Claude и Perplexity. Общо 8,5% от анализираните заявки са включвали поверителни данни.

Те попадат в една от петте категории: данни за клиенти, данни за служители, правни и финансови данни, данни за сигурност, чувствителен код.

Според изследователите данните за клиенти заемат най-голям дял от подканите – 45,77%. Тези за служители съставляват 27% от чувствителните подсказки в проучването на Harmonic.

Това показва, че GenAI инструментите все повече се използват за вътрешни процеси. Те включват прегледи на представянето, решения за наемане и дори определяне на годишните бонуси.

Правната и финансовата информация не е толкова често изложена на риск – 14,88% от случаите, но когато това се случи, носи голям корпоративен риск.

Тази статистика показва, че бизнесите трябва да обучават своите служители какво е подходящо да сподеят с моделите за генеративен изкуствен интелект и какво не. Въвеждането на стриктни политики за киберсигурност и работа с вътрешна информация е задължително условие за защита на критичните данни на една организация.

Последен ъпдейт на 2 февруари 2025 в 10:05 ч.

Когато напрежението след пробив се уталожи, фокусът често пада върху прилагането на технически предпазни мерки и разследването на причината. Много организации обаче пропускат огромна възможност, като не обръщат внимание на нетехническите аспекти на възстановяването. А те могат да смекчат значително последствията и да повишават устойчивостта ви.

Ето 10 важни нетехнически мерки, които трябва да вземете след пробив в сигурността.

1. Деактивирайте временните логове и премахнете ненужните инструменти

Тази мярка е малко техническа, но е много важна! По време на инцидент консултантите и служителите ще се нуждаят от временни акаунти за достъп до мрежата. Едновременно с това в цялата ви инфраструктура може да бъдат разположени специализирани инструменти и логове. След приключване на разследването и отстраняване на проблема тези акаунти и инструменти трябва да бъдат премахнати по сигурен начин.

Ако това не бъде направено, чувствителните данни могат да бъдат изложени на опасност или векторите за достъп да останат отворени. Извършете задълбочен одит на инфраструктурата си, за да се уверите, че не са останали временни акаунти или остатъци от инструменти за реагиране на инциденти.

2. Подсилете споразуменията за неразкриване на информация със служители и консултанти

Разследванията на пробиви често разкриват изключително чувствителна информация за уязвимостите, системите и операциите на вашата организация. Всички консултанти или служители, участващи в тези процеси, трябва да имат надеждни споразумения за неразкриване на информация.

Прегледайте съществуващите договорености и ги подсилете, когато е необходимо. Трябва да гарантирате, че чувствителните детайли за нарушението или за състоянието на сигурността ви ще останат поверителни.

3. Наградете екипа си

Реагирането на инциденти е стресиращо, изтощително и често емоционално натоварващо. Вашите екипи по IT и киберсигурност вероятно са работили под огромен натиск, за да стабилизират ситуацията.

Признанието за техните усилия може да допринесе за повдигане на морала. Независимо дали става въпрос за бонуси, публично признание или допълнителна почивка, награждаването на екипа ви показва, че трудът му не е останал незабелязан.

Важно е също така да се грижите за хората си по време на пробив. Осигурете им храна и комфорт. Силата на една пица не може да бъде подценявана!

4. Преоценете взаимоотношенията си с трети страни

Пробивите в сигурността често подчертава уязвимостта на взаимоотношенията ви с трети страни – партньори или доставчици.

Извършете задълбочен преглед на споразуменията си с тях, техния достъп до системите ви и практиките им за сигурност. Тази преоценка ще ви помогне да идентифицирате слабите звена и да предприемете коригиращи действия, за да сведете до минимум бъдещите рискове.

5. Сигурно архивирайте данните за инцидента

Нарушението може да създаде огромно количество данни, включително логове, доклади и записи на комуникации. Сигурното им архивиране е от съществено значение за спазване на изискванията – правни и професионални.

Уверете се, че данните се съхраняват в сигурна среда с контролиран достъп. Този архив може да послужи и като ценен ресурс за бъдещи обучения или одити.

6. Преглед на протоколите за комуникация

Пробивът може да е разкрил слабости във вашите вътрешни и външни комуникационни протоколи. Прегледайте начина, по който е била предадена информацията по време на инцидента. Ако се налага, усъвършенствайте процесите си за постигане на яснота и бързина.

Това включва преразглеждане на плановете за кризисна комуникация. Трябва да гарантирате, че правилната информация ще достига до точните заинтересовани страни бързо и ефективно в бъдеще.

7. Актуализирайте обучението на служителите

Ако е настъпило нарушение, има вероятност пропуските в информираността на служителите да са изиграли важна роля. Възползвайте се от тази възможност, за да актуализирате програмите си за обучение, така че да отразяват поуките от инцидента.

Фокусирайте се върху осведомеността за фишинг, практиките за сигурни пароли и важността на докладването на подозрителни дейности. Дайте възможност на хората си да действат като първа линия на защита. Помислете за цялостна програма за повишаване на информираността. Тя трябва да съчетава онлайн, лично, геймифицирано обучение и провеждане на редовни симулации на фишинг атаки.

8. Общувайте със заинтересованите страни

След като непосредствената криза приключи, поддържането на прозрачност със заинтересованите страни е от решаващо значение. Това включва клиенти, инвеститори и регулаторни органи. Очертайте какво се е случило, какво е направено за разрешаване на проблема и какви стъпки предприемате за предотвратяване на бъдещи проблеми.

Добре изпълнената комуникационна стратегия може да запази доверието във вас и демонстрира нагласа за отчетност.

9. Създайте план за задържане на служителите

Нарушението често създава среда на несигурност, която може да доведе до прегаряне или текучество на служителите. Изградете план за задържане им, който ги подкрепя и успокоява.

Това може да включва консултантски услуги и възможности за професионално развитие.

10. Направете оценка на репутацията

Възможно е репутацията на вашата организация да е пострадала заради пробива. Направете анализ, за да разберете степента на щетите и да разработите план за възстановяване на доверието.

Той трябва да включва:

• проследяване на мнението на хората за вашата организация в социалните медии, сайтовете за ревюта, форумите и други платформи;
• събиране на информация от служители, клиенти, партньори, инвеститори, регулаторни органи и т.н., за да разберете вътрешните и външните възприятия;
• преглед на медийното отразяване и каналите на социалните медии, за да идентифицирате силните и слабите страни на репутацията на вашата организация.

След това обмислете провеждането на кампании, за да потвърдите отново ангажимента си към сигурността и високото ниво на обслужване.

Като се съсредоточите върху тези 10 нетехнически действия, можете да укрепите устойчивостта на организацията си, да възстановите доверието и да гарантирате, че сте по-добре подготвени за бъдещи инциденти.

Последен ъпдейт на 11 януари 2025 в 09:57 ч.

От нарастващата сложност на Zero day експлойтите до укрепването на съюзите между национални държави и киберпрестъпниците. 2024 г. предостави много доказателства за това колко бързо продължава да се развива пейзажът на заплахите в киберпространството.

Ето няколко събитията, които трябва да бъдат използвани за тактическите прозрения от екипите по информационна сигурност. Те могат да подкрепят дейността им в продължаващата битка през 2025 г.

Нарастващ брой Zero day експлойти и участието на национални държави

И през 2024 изследователите продължиха да отчитат увеличение на броя на Zero day атаките. Експертите по киберсигурност очакват тази тенденция да се ускори, като в основата на това ускорение ще залегне геополитическото напрежение. Според тях националните държавни субекти, особено Китай, увеличават използването на този тип уязвимости с безпрецедентни темпове.

Затова все по-често се говори за сътрудничество или координация между национални държави и киберпрестъпници. Русия, например, си сътрудничи с групи, предлагащи „софтуер като услуга“, като Killnet, LokiBot, Gumblar, Pony Loader и Amadey.

Китай е в подобни отношения със Storm-0558 и Red Relay, обикновено в подкрепа на геополитическия си дневен ред в Южнокитайско море.

Планирането на устойчивостта се нуждае от повече внимание

Атаките с ransomware през 2024 г. подчертаха слабостите на веригите за доставки и политиките за непрекъснатост на бизнеса. Хакерите все по-често се насочват към доставчиците на услуги от трети страни, за да ударят своите цели.

Кибератака срещу Ahold Delhaize, компанията майка на някои от най-големите американски вериги супермаркети, например, наруши услугите в мрежата ѝ през ноември. Тя засегна повече от 2000 магазина.

Включването на съвременни инструменти за сегментиране в стратегиите за непрекъсваемост на бизнеса може да помогне да се сведат до минимум оперативните смущения по време на инциденти.

Друг такъв, предизвикал интерес през тази година, беше прекъсването на работата на CrowdStrike. Събитието доминираше в новинарските емисии в продължение на няколко дни. След него анализаторите изтъкнаха критичната необходимост от по-добро спазване на процесите и повече видимост.

Случаят също така подчерта необходимостта лидерите в областта на сигурността да комуникират ефективно с различни заинтересовани страни, когато управляват последиците от мащабен инцидент. Тази комуникация включва технически екипи, бизнес ръководители и външни доставчици.

Критичната инфраструктура е все по-честа мишена

През 2024 г. атаките срещу критичната инфраструктура достигат нови нива. През септември Агенцията за киберсигурност и инфраструктурна сигурност на САЩ (CISA) предупреди, че правителствени водни системи са изложени на риск от атаки от страна на национални държави. До това предупреждение се стигна, след като служители съобщиха за проблем с киберсигурността на съоръжение в Арканзас Сити, Канзас. Те бяха принудени да преминат към ръчни операции, докато проблемът бъде разрешен.

През тази година стана ясно също така, че нападателите изместват фокуса си от добре защитените съоръжения към по-уязвимите системи. Списъкът включва както водоснабдяването, така и електропреносните мрежи.

Едно от основните предизвикателства при осигуряването на критичната инфраструктура е присъщата сложност на оперативните среди. Много промишлени системи работят с наследено оборудване, което не е било проектирано с оглед на киберсигурността. Освен това често липсва видимост към свързаните устройства, което може да направи откриването на заплахи изключително трудно.

Внедряването на усъвършенствани инструменти за мониторинг и откриване на заплахи е част от решението на тези проблеми. Подобряването на комуникацията в организациите също може да бъде полезна за подсигуряване на уникалните изисквания за сигурност на критичната инфраструктура.