Киберсигурност

Семейство	Какво покрива	Примери за приложения
AC – Access Control	Контрол на потребителски и системни привилегии	RBAC, MFA, least privilege
AT – Awareness & Training	Обучение и култура на сигурност	Microlearning, simulated phishing
AU – Audit & Accountability	Логване и проследимост на действия	SIEM, неизменяеми логове
CA – Security Assessment & Authorization	Одити и одобрения на системите	Pentest, continuous monitoring assessments
CM – Configuration Management	Управление на конфигурации и хардуер/софтуерна инвентаризация	IaC policies, CMDB
CP – Contingency Planning	Планове за бедствия и възстановяване	RTO/RPO, 3‑2‑1 backup
IA – Identification & Authentication	Автентикация и управление на идентичности	SSO, hardware tokens
IR – Incident Response	Реакция при пробив	IR playbooks, crisis comms
MA – Maintenance	Поддръжка и обновяване на системи	Patch management automations
MP – Media Protection	Защита на физически и дигитални носители	Шифроване на backup дискове
PE – Physical & Environmental Protection	Физическа сигурност на сървъри и ДЦ	CCTV, достъп с ключ-карти
PL – Planning	Политики и стратегически планове	ISMS, roadmap
PM – Program Management	Управление на цялостната програма	Governance, metrics dashboards
PS – Personnel Security	Скрининг и управление на хора	Background checks, role‑based onboarding
PT – Personnel Training	Специфични технически обучения	Secure coding, forensics workshops
RA – Risk Assessment	Оценка и приоритизация на рискове	Risk Register, Risk Matrix
SA – System & Services Acquisition	Закупуване и внедряване на системи	Security requirements in RFPs
SC – System & Communications Protection	Мрежова и комуникационна сигурност	Encryption TLS 1.3, network segmentation
SI – System & Information Integrity	Защита срещу зловреден софтуер и откриване на промени	EDR, file integrity monitoring

Мярка	Как я прилагате	Полза
RBAC (Ролеви права)	Дефинирайте роли (Админ, Мениджър, Оператор) и им присвойте права	Няма „претопени“ акаунти с излишни привилегии
MFA Everywhere	Включете TOTP (Google Authenticator) или Push MFA за всички системи	Блокира компрометирани пароли
Just‑In‑Time (JIT) достъп	Използвайте Azure AD PIM или AWS IAM Access Analyzer	Дава се админ право само при нужда
Session Timeouts	Ограничете неактивните сесии на 15 мин.	Намалява риска от отвлечени сесии
Privileged Account Review	Периодично (на 30 дни) преглеждайте кой има админски достъп	Откривате „изоставени“ акаунти

„Всеки допълнителен админ право е още една врата, през която могат да нахлуят нападателите.“

🔗 Ресурс:

• NIST SP 800‑53 AC Controls: https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/family/access-control

Identification & Authentication (IA) – уверете се кой стои зад екрана

Двоен ключ за вратата: вие въвеждате паролата, системата задава допълнителен въпрос.

1. Strong Passwords & Passphrases

   • Минимум 12 символа, без общи думи. 

   • Инсталирайте корпоративен password manager (Bitwarden, 1Password).

2. TOTP & FIDO2

   • Изберете хардуерни токени (YubiKey) за ключови акаунти.

   • Безплатни софтуери (Authy, Google Authenticator) са отлична стартова точка.

3. Adaptive Authentication

   • Базирана на местоположение, устройство и време – нива на доверие.

   • Okta Adaptive MFA или Azure Conditional Access помагат автоматично.

4. Passwordless Pilot

   • Пробвайте Windows Hello или WebAuthn за вътрешни приложения.

   • Повишава удобство и сигурност едновременно.

„Не е важно колко сложна е паролата ви, ако никой не я помни и пише върху стикер.“

🔗 Ресурс:

• NIST SP 800‑63B Digital Identity Guidelines: https://pages.nist.gov/800-63-3/sp800-63b.html

Кратки стъпки за първата седмица ⏳

• Ден 1: Пуснете MFA и password manager пробно на 5 „главни“ потребители.

• Ден 2–3: Създайте RBAC матрица (роля ↔ ресурс ↔ право) и я одобрете с ИТ и бизнес собственици.

• Ден 4: Настройте session timeouts и JIT права за 2–3 критични системи.

• Ден 5: Проведете кратка Q&A сесия (15 мин) за ползите и правилната употреба на новите контроли.

След като покриете този „Pareto 20 %“  - ще сте свършили 80 % от работата.

Audit & Accountability & Configuration Management – хванете уязвимостите преди нападателя 🕵️‍♂️⚙️

След като контролирате кой влиза и как се идентифицира, следва да засичате всичко, което се случва, и управлявате конфигурациите така, че дори един „прескочил“ защитен слой да остави следа.

„Ако не сте записали лог, значи не се е случило – а за нападателя, това е рай.“
- Анна Георгиева, анализатор „Лог и Защита“

Audit & Accountability (AU) – „Очите ви навсякъде“ 👀

1. Събиране & Корелация

   • Настройте лог шипъри (Filebeat, Winlogbeat) от всички сървъри, мрежови устройства и приложения.

   • Използвайте SIEM за корелация: Failed logins + privilege escalations = high‑signal аларма.

2. Защита & Достъп

   • Записите трябва да са неизменяеми (WORM, append‑only).

   • Ограничете кой може да чете и кой да пише (separation of duties).

3. Аларми & Отчетност

   • Дефинирайте 10–15 критични сценария (изтриване на логове, ръчно спиране на audit service).

   • Публикувайте седмични/месечни отчети с ключови метрики: брой променени конфигурации, failed‑to‑write лога.

🔗 Ресурс:

• NIST SP 800‑53 AU Family: https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/family/audit-and-accountability

Configuration Management (CM) – „Винаги връщайте на базата“ 🏗️

1. Golden Images & Baselines

   • Създайте hardened образи (OS + agent + security configs) и ги ползвайте за всички нови машини.

2. Drift Detection

   • С инструменти като Terraform Sentinel, Chef InSpec или Ansible Tower откривайте несъответствия между желана и текуща конфигурация.

3. Automated Remediation

   • При засичане на drift → автоматичен pull‑request в Git, review от екип и авто‑деплой на корекцията.

4. Version Control

   • Всички конфигурационни файлове и IaC шаблони под Git; history, pull‑requests и peer reviews.

Кейс:
Е‑комерс платформа въведе drift detection с InSpec и откри скрит ъпдейт на web server с debug режим. Автоматизираната ремедиация го затвори за по‑малко от час, без човешка намеса.

Бърз старт (48 ч) ⏱️

• Ден 1: Инсталирайте Filebeat + Elastic SIEM free tier; съберете логове от три тестови сървъра.

• Ден 2–3: Създайте един hardened Ubuntu образ в Packer/Terraform и разпънете машината.

• Ден 4: Настройте InSpec profile с две базови проверки (SSH config, firewall rules).

• Ден 5: Автоматизирайте pull‑request при открит drift и въведете процеса на peer review.

По този начин ще хванете 80 % от „невидимите“ заплахи: променени конфигурации и скрити инциденти, още преди да се превърнат в проблем.

Готовност за аварии & Инцидентен отговор 🚨🔄

Дори перфектната защита може да бъде преодоляна – въпросът е как ще реагирате, когато това се случи. Добре подготвената Contingency Planning (CP) и Incident Response (IR) процеси ви дават контрол и скорост, когато всеки миг е критичен.

„Кризата не идва по график – вашият план трябва да е готов вчера.“
- NIST SP 800‑53 

Contingency Planning (CP) – “3‑2‑1” и отвъд 📦

1. Определете ключови цели

   • RTO (Recovery Time Objective): Колко бързо системите трябва да са онлайн?

   • RPO (Recovery Point Objective): Колко данни сте готови да загубите?

2. План за възстановяване

   • 3‑2‑1 правило: 3 копия на данните, 2 различни носителя, 1 офлайн/off‑site.

   • Разпределете бекъпите географски: локален NAS + облачна зона + физическо хранилище.

3. Failover архитектура

   • Горещи и студени клъстери: Active‑Passive за критични системи, Active‑Active за висока достъпност.

   • Автоматични DNS failover механизми (Route 53 Health Checks, Azure Traffic Manager).

4. Тестове & одити

   • Tabletop drills (сценарии „ransomware“, „повреда на датален център“).

   • Live restore тестове поне два пъти годишно.

Кейс:
Производствена фирма възстанови ERP система за 45 минути след пожар в основния ЦОД, благодарение на предварително пробван DR скрипт в AWS S3 Glacier.

Incident Response (IR) – “Действие вместо паника” ⚔️

1. Сформирайте IR екип

   • IR Manager, Technical Lead, Communications Lead, Legal, Forensics.

   • Създайте 24/7 “on‑call” ротация и контактна матрица.

2. Playbook & комуникации

   • Разпишете step‑by‑step процедури за типични инциденти: фишинг, Mal­ware, insider threat.

   • Автоматизирани Slack/Teams нотификации и готови шаблони за публично и вътрешно съобщение.

3. Detection & containment

   • Моментален snapshot на паметта, заснемане на дискове, изолация на мрежови сегменти.

   • Предварително зададени firewall правила и забрана на компрометирани акаунти.

4. Форензика & анализ

   • Събиране на IoC (Indicators of Compromise) от SIEM/EDR.

   • Използване на инструменти като Volatility или Autopsy за парчене на malware.

5. After Action Review (AAR)

   • Документирaне на timeline, root‑cause analysis, определяне на подобрения.

   • Актуализирайте playbook и автоматизации според уроците.

„Инцидент, който не е упражняван, е инцидент, който ще се провали.“
-  SANS Institute

Вашите бързи стъпки (72 ч)

С този слой на готовност вие превръщате инцидентите от хаос в контролирани, репетирани събития – вашият екип действа бързо и уверено, а щетите се свеждат до минимум.

Обучение и Култура – вашият скрит талант в отбраната 🎓🤝

Технологиите са важни, но без сигурна култура те остават просто хардуер и код. Именно хората правят разликата между абстрактен план и реално изпълнение.

„Никой софтуер не може да компенсира незнанието на вашия екип.“
-  Анита Иванова, експерт по организационна сигурност

Пример: Регионална банка въведе микрообучение „Пароли 101“ и фишинг симулации. След 6 месеца вътрешните данни за успешни атаки спаднаха от 18 % на под 3 %.

Защита на Мрежи и Комуникации – Encryption & Segmentation 🛡️🌐

Вашите данни пътуват ежедневно през интернет и вътрешни мрежови връзки. Без Encryption и Segmented Networks всеки слушател може да прихване или да обиколи защитата.

„Без шифроване и сегментиране имате само илюзия за защита.“
-  Bruce Schneier, Applied Cryptography

🔗 Ресурс: OWASP API Security Top 10 – https://owasp.org/www-project-api-security/

Цялостна Интегритет и Уязвимости – Patching & Vulnerability Management 🔄🛠️

Никой софтуер не остава нероден и „перфектен“ – затова трябва постоянно patch‑ване и управление на уязвимости.

Кейс: Критичната уязвимост Log4Shell беше закърпена от компания, която автоматизира своя patch‑flow – корекцията пристигна за под 24 ч, вместо седмици.

Защита на Сторидж и Физическа Сигурност – Media & PE 📀🔒

Не подценявайте физическите носители и средата, където работят вашите сървъри.

„Ако в главния ЦОД падне токът, дайте бонус на екипа, че не е спрял бизнеса.“

Governance & Program Management – Управление и Метрики 📊🏢

Киберсигурността е програма, не инцидент. Без управление и метрики никой не знае дали сте по-напред или назад.

🔗 Ресурс: ISO 27001 Annex A Controls – https://www.iso.org/isoiec-27001-information-security.html

Закупуване и Внедряване на Системи – SA & PL 🛒⚙️

Дори в RFP да пише „Security first“, реално контролите често остават на заден план.

„Добрият RFP е като договор за брак – плаща се и за хубавите, и за трудните моменти.“

Бъдещи Тенденции – Къде е следващата вълна? 🔭

„Следващият хак няма да бъде масов; той ще е персонализиран и овърлейван с AI.“
-  Gartner, Hype Cycle for Security 2024

Pareto Фокус – 20 % мерки за 80 % защита 🎯

Където и да започнете, фокусирайте се върху 20 % от контролните семейства, които дават най-голям ефект:

1. Access Control (AC)

2. Identification & Authentication (IA)

3. Audit & Accountability (AU)

4. Configuration Management (CM)

5. Risk Assessment (RA)

След това добавете Incident Response (IR) и System & Info Integrity (SI) за покритие на още 15 %.

Вашият Първи Напредък – Специално Предложение 🚀

За ограничено време ние от Atlant Security предлагаме:

🎁 Бонус:

• 2 месеца SOC‑as‑a‑Service

• Гаранция за откриване на поне 5 критични уязвимости или безплатен допълнителен одит

👉 Свържете се с нас и превърнете киберсигурността в конкурентно преимущество!

Киберсигурността не е лукс – тя е необходимост. Започнете днес, за да сте готови за заплахите на утре.