Компютърна Сигурност

Принцип	Какво означава	Инструменти и техники
Поверителност (C)	Данните да са достъпни само за упълномощени лица.	Шифроване (AES‑256, RSA), VPN, контрол на достъпа (RBAC).
Целостност (I)	Данните да не бъдат променяни неоторизирано.	Хеш алгоритми (SHA‑256), цифрови подписи (ECDSA).
Достъпност (A)	Системите и данните да са на линия, когато са нужни.	Репликация, клъстериране, аварийно възстановяване (DRP).

Допълнителен принцип	Описание
Автентикация	Увереност, че комуникирате с точно определен субект.
Неотказуемост	Невъзможност на участник да отрече участието си в транзакция.

Категория	Пример	Как атакува	Ресурс
Зловреден софтуер 🦠	Рансъмуер (WannaCry), троянци (Emotet)	Инфекция чрез прикачени файлове, уеб драйв-бай	AV‑TEST
Социален инженеринг 🎣	Фишинг, спийшинг, BEC (Business Email Compromise)	Фалшиви имейли, измамни сайтове	CISA Phishing Guidance
Мрежови атаки 🌐	DDoS (Cloudflare атаки), MITM	Преграждане на трафик, подслушване	Cloudflare DDoS Report
Insider threats 🔐	Зловреден или невнимателен служител	Кражба/изтичане на данни	вътрешни инцидентни доклади
Supply‑chain 🔗	Инжектиране на код в библиотеки (SolarWinds, Kaseya)	Уязвимост през трети страни	ENISA Supply Chain
IoT уязвимости 📶	Необезпечени „умни“ камери и сензори	Неправилна автентикация, липса ъпдейти	OWASP IoT Top 10

	Ниско	Средно	Високо	Критично
Много рядко	1	2	3	4
Рядко	2	4	6	8
Често	3	6	9	12
Много често	4	8	12	16
Постоянно	5	10	15	20

Рамка	Подход	Подходяща за	Документация
NIST RMF	Структуриран процес, 6 стъпки	Държавни агенции, големи корпорации	SP 800-37 Rev. 2
ISO/IEC 27005	Мениджмънт в контекста на ISO 27001	Компании, сертифицирани по ISO	https://www.iso.org/standard/75281.html
OCTAVE	Самооценка, организация-ориентиран	Средни предприятия, академични	https://www.cert.org/octave/
FAIR	Квантитативен, финансов фокус	Финансови институции, застрахователи	https://www.fairinstitute.org/
COSO ERM	Интегриран в корпоративния мениджмънт	Големи мултинационални компании	https://www.coso.org/Pages/erm-integratedframework.aspx

Съвет:

• За регулирани индустрии (финтех, здравеопазване) NIST RMF или ISO/IEC 27005 често са задължителни.

• Средни и малки фирми могат да стартират с OCTAVE или FAIR за по-бързо внедряване и по-ниска сложност.

3.3 Как да създадете собствен Risk Management Plan 📑

Следващите стъпки ще ви помогнат да оформите практичен план за управление на риска:

🔗 Шаблон за Risk Register:

• SANS Risk Assessment Template: https://www.sans.org/white-papers/32920/

• OpenFAIR Risk Register: https://community.fairinstitute.org/tools

3.4 Интеграция с бизнес процесите 💼

• Стратегически срещи: представяйте ключовите рискове на всяко тримесечно управление.

• Бюджетиране: обвържете ресурсите за сигурност със стойността на намаления риск.

• Проектно управление: изисквайте Risk Assessment като “exit criterion” за всеки нов проект.

• Култура на осведоменост: включете Risk Dashboard в корпоративния интранет – достъпно и прозрачно.

Част 4: Политики и процедури 📋

Без ясна рамка от политики и процедури, дори най‑мощните технологии могат да се превърнат в хартия без действие. Ето как да изградите документация, която не само „седи в папка“, а води до реално прилагане:

„Политика без прилагане е като кораб без руль.“
-  Мария Петрова, Lead Auditor по ISO 27001

4.1 Видове ключови политики

4.2 Жизнен цикъл на една политика

1. Идентификация на нуждата

   • Свържете необходимостта с приоритетите от Risk Register (Част 3).

2. Проектиране и чернова

   • Използвайте готови шаблони (SANS, NIST) и адаптирайте езика спрямо вашата култура.

3. Ревизия и одобрение

   • Проведете работна група с IT, юридически, HR и бизнес собственици.

4. Комуникация и обучение

   • Публикувайте в корпоративния портал, провеждайте кратки интерактивни сесии (15 мин).

5. Прилагане

   • Интегрирайте в процеси: DevOps pipelines, Onboarding на служители, договори с трети страни.

6. Мониторинг и оценка

   • KPI: % служители с потвърдено подписване, брой одитни констатации, време за затваряне на изключения.

7. Преглед и обновяване

   • Включете политики в годишния одитен календар и обновявайте след промяна в регулации или инфраструктура.

4.3 Инструменти за подпомагане

• Confluence/SharePoint – централизирано хранилище с версии и разрешения.

• GRC платформи (Archer, ServiceNow GRC) – автоматизация на потвърждения и изключения.

• Slack/Teams интеграции – ботове за напомняния при предстоящи прегледи.

• Digital Signatures – гарантиране на неотказуемост при подписване.

4.4 Практически съвети & бързи победи ⚡

• Политика „Hello, World!“: Пуснете първа проста „Политика за пароли“ за 2 дни - MFA, минимална дължина 12 символа.

• Lunch & Learn (30 мин) с демонстрация на новите правила - по-малко теоретични слайдове, повече Q&A.

• Policy Champion: назначете „посланик“ във всеки отдел, който да отговаря за въпроси и обратна връзка.

• Интерактивен Quiz: включете кратък тест в LMS с награди за 100 % резултат.

Част 5: Технически контроли и инструменти 💻

Технологичните защити са гръбнакът на всяка програма по сигурност. Тук разглеждаме четири ключови категории контроли:

1. Мрежова защита

2. Защита на крайни точки

3. Криптография & управление на ключове

4. Управление на идентичности и достъп (IAM)

5.1 Мрежова защита 🌐

“Мрежовите контроли са вашата първа линия – не ги подценявайте.”
-  Bruce Potter, DEF CON преподавател

Бърз старт:

1. Внедрете базов NGFW с дефолт “deny–all” политика.

2. Създайте две микросегментации: “User Workstations” и “Server Farms”.

3. Настройте Cloudflare SSL/TLS и WAF за публичните ви услуги.

5.2 Защита на крайни точки (EDR & AV) 🖥️

“Крайната точка е новият периметър – ако я пропуснете, всичко друго е безсмислено.”
-  Forrester Research

Незабавни действия:

• Разгърнете безплатен EDR агент върху 10 пробни машини.

• Конфигурирайте автоматични ъпдейти за операционните системи и приложения.

• Блокирайте всички изпълними файлове извън “C:\Program Files” чрез AppLocker.

5.3 Криптография & управление на ключове 🔐

“Криптографията е само толкова силна, колкото ключовете ви я пазят.”
-  Bruce Schneier, Applied Cryptography

Бърз план:

1. Преминете към TLS 1.3 за всички публични услуги (Let’s Encrypt SSL).

2. Централизирайте ключово управление в AWS KMS или Azure Key Vault.

3. Автоматизирайте ротацията на сертификати и ключове (например чрез HashiCorp Vault).

5.4 Управление на идентичности и достъп (IAM) 🛂

“Най‑мощният периметър е добре управляваната идентичност.”
-  Okta Identity Chief Architect

Следващи стъпки:

• Настройте MFA за всички администратори в първите 48 ч.

• Конфигурирайте RBAC роли за вашите критични ресурси в облака.

• Инсталирайте PAM решение и тествайте “just‑in‑time” достъп по сценарии.

Част 6: DevSecOps – интегриране на сигурността в SDLC 🔧

В традиционния модел сигурността често идва накрая  - идеален момент за неприятни изненади. DevSecOps (Development + Security + Operations) променя играта, като вгражда защитата във всеки етап от жизнения цикъл на софтуера:

„DevOps ти дава скорост, DevSecOps ти дава увереност.“
- Gartner, DevSecOps Innovation Insight

6.1 Фази и ключови дейности

1. Threat Modeling: Стартирайте с опростен Data Flow Diagram, маркирайте доверителни граници и възможни точки за компромис.

2. Интеграция в CI/CD: Добавете security pipelines като част от всеки Merge Request - при провал, build-ът спира.

3. Shift Left Testing: Колкото по-рано откривате уязвимости (SAST/DAST), толкова по-малко време и пари губите.

6.2 Практически примери и съвети

• Планиране: Включете поне една security story на спринт планирането.

• SAST: Настройте го да сканира само “new code” през първите 2 седмици, за да не затрупвате екипа.

• DAST: Стартирайте автоматичен скан в staging средата след всеки deployment.

• SCA: Автоматизирайте мониторинга на публични CVE бази (например GitHub Dependabot Alerts).

• RASP: Идеален за защита на legacy приложения без възможност за промяна на кода.

“Инвестицията в DevSecOps намалява Time‑to‑Remediation с до 60 % и намалява критичните уязвимости наполовина.”
- Forrester, The Total Economic Impact™ Of DevSecOps

6.3 Полезни външни ресурси

• OWASP DevSecOps Maturity Model: https://owasp.org/www-project-devsecops-maturity-model/

• Microsoft Secure DevOps Kit for Azure: https://github.com/Azure/azure-devops-security

• Google Cloud Security Foundations Guide: https://cloud.google.com/architecture/security-foundations

Част 7: Облачна сигурност ☁️

Когато мигрирате натоварвания в облака, защитата приема нови форми и отговорности. Ето ключовите зони, които трябва да покриете:

„В облака първата стъпка към сигурността е ясно разграничаване: кой е отговорен за какво?“
-  Cloud Security Alliance

7.1 Модел на споделена отговорност 🤝

Ако оставите ОС или контейнера неъпдейтнати, това е ваша отговорност!

7.2 Основни Cloud‑Native контроли 🔧

🔗 Ресурси:

• AWS Shared Responsibility Model: https://aws.amazon.com/compliance/shared-responsibility-model/

• Azure Security Documentation: https://docs.microsoft.com/azure/security/

• GCP Security Overview: https://cloud.google.com/security/

7.3 Сигурност на контейнери 🐳

1. Hardened Images

   • Ползвайте официални базови образи и сканирайте за уязвимости (Docker Bench, Clair).

2. Pod Security Policies

   • Ограничете привилегиите на контейнерите: no‑root, read‑only файлови системи.

3. CIS Benchmarks

   • Следвайте рекомендациите на CIS Kubernetes Benchmark за вашите клъстери.

4. Runtime защита

   • Инструменти като Falco или Aqua Security следят anomalous системни извиквания.

„Контейнер, който може да пише навсякъде, скоро ще е контейнер, компрометиран навсякъде.“
-  Крис МакСли, Docker Captain

7.4 Сигурност на безсървърни функции (Serverless) ⚡

🔗 Направете си контролен списък:

• Проверете, че всяка функция има зададена максимална продължителност.

• Прегледайте всички външни зависимости и задайте сканиране при build.

• Активирайте VPC интеграция, ако имате нужда от достъп до вътрешни ресурси.

7.5 Практически стъпки за първата седмица ☁️🚀

1. Прегледайте Shared Responsibility – Осигурете яснота за екипите.

2. Създайте CloudTrail/Azure Monitor/Cloud Audit Logs – Започнете веднага с audit logging.

3. Сканирайте изображения – Настройте автоматизиран pipeline за container image scanning.

4. Проверете IAM правилата – Извадете отчет за всички роли и ранжирайте по привилегированост.

5. Тествайте DDoS защита – Пуснете симулация с малък поток и наблюдавайте WAF/Shield реакции.

Част 8: IoT и индустриална сигурност 📶🏭

Интернетът на нещата (IoT) и индустриалните системи (ICS/SCADA) донесоха революция в автоматизацията и мониторинга, но създадоха и нови входни врати за нападатели. Ето как да се справите:

„В света на IoT всяко устройство е потенциален портал – не оставяйте нито един отворен.“
-  Д-р Джил Трил, IoT Security Researcher

8.1 Класификация на IoT и ICS устройства

🔗 OWASP IoT Top 10 – https://owasp.org/www-project-internet-of-things/

8.2 Специфика на индустриалните системи (ICS/SCADA)

Индустриалните контролни системи обикновено работят с години без ъпдейти, а протоколи като Modbus или DNP3 са създадени без криптография:

🔗 NIST SP 800‑82 (Guide to ICS Security) – https://csrc.nist.gov/publications/detail/sp/800-82/rev-2/final

8.3 Практически съвети за сафегардване

1. Мрежова сегментация:

   • Отделете IT от OT чрез физически или виртуални DMZ зони.

2. Least‑Privilege Access:

   • Само най-необходимите команди и портове да бъдат отворени (например Modbus TCP само между HMI и PLC).

3. Мониторинг на трафика:

   • Инсталирайте IDS/IPS специализирани за OT (например Snort for ICS).

4. Firmware Management:

   • Централизирайте проверката и обновяването на firmware чрез контролирани процеси.

5. Периодични оценки:

   • Правете „tabletop“ упражнения с екипа по OT и редовни penetration тестове на контролерите.

“OT средите изискват бавни, но сигурни ъпдейти – една грешка може да спре производство за дни.”
-  ENISA ICS/SCADA експерт

8.4 Бързи стъпки за първата седмица 🚀