Небяспечная інфекцыя, якая ахапіла ўсе краіны, ужо перастала быць інфападставай нумар адзін у сродках масавай інфармацыі. Аднак рэальнасць пагрозы працягвае прыцягваць увагу людзей, чым паспяхова карыстаюцца кіберзлачынцы. Па дадзеных Trend Micro, тэма каранавіруса ў кіберкампаніях па-ранейшаму лідзіруе з вялікім адрывам. У гэтым пасце мы раскажам аб бягучай сітуацыі, а таксама падзелімся нашым поглядам на прафілактыку актуальных кіберпагроз.
крыху статыстыкі
Карта вектараў распаўсюджвання, якія выкарыстоўваюць брэндаваныя пад COVID-19 кампаніі. Крыніца: Trend Micro
Галоўным інструментам кіберзлачынцаў па-ранейшаму застаюцца спам-рассылкі, прычым нягледзячы на папярэджанні з боку дзяржаўных органаў грамадзяне працягваюць адкрываць укладанні і пераходзіць па спасылках у ашуканскіх лістах, спрыяючы далейшаму распаўсюджванню пагрозы. Страх заразіцца небяспечнай інфекцыяй прыводзіць да таго, што, акрамя пандэміі COVID-19, даводзіцца змагацца з кіберпандэміяй - цэлым сямействам "каранавірусных" кіберпагроз.
Цалкам лагічным выглядае размеркаванне карыстальнікаў, якія перайшлі па шкоднасных спасылках:
Размеркаванне па краінах карыстальнікаў, якія адкрылі шкоднасную спасылку з ліста ў студзені-маі 2020 года. Крыніца: Trend Micro
На першым месцы з вялікім адрывам карыстальнікі з ЗША, дзе на момант напісання паста было амаль 5 млн хворых. У першай пяцёрцы па колькасці асабліва даверлівых грамадзян апынулася і Расія, якая таксама ўваходзіць у лік краін-лідэраў па хворых на COVID-19.
Пандэмія кібератак
Галоўныя тэмы, якія выкарыстоўваюць кіберзлачынцы ў ашуканскіх лістах, - затрымкі дастаўкі з-за пандэміі і звязаныя з каранавірусам апавяшчэння ад міністэрства аховы здароўя або Сусветнай арганізацыі аховы здароўя.
Дзве самых папулярных тэмы ашуканскіх лістоў. Крыніца: Trend Micro
Часцей за ўсё ў якасці «карыснай нагрузкі» у такіх лістах выкарыстоўваецца Emotet – шыфравальшчык-вымагальнік, які з'явіўся яшчэ ў 2014 годзе. Квідыд-рэбрэндынг дапамог аператарам шкоднасу павысіць прыбытковасць кампаній.
У арсенале ковід-ашуканцаў таксама можна адзначыць:
- фальшывыя ўрадавыя сайты для збору дадзеных банкаўскіх карт і персанальных звестак,
- сайты-інфармеры па распаўсюджванні COVID-19,
- фальшывыя парталы Сусветнай арганізацыі аховы здароўя і цэнтраў па кантролі за захворваннем,
- мабільныя шпіёны і блакавальнікі, якія маскіруюцца пад карысныя праграмы для інфармавання аб заражэнні.
Прафілактыка нападаў
У глабальным сэнсе стратэгія працы з кіберпандэміяй аналагічная стратэгіі, якая ўжываецца пры дужанні з звычайнымі інфекцыямі:
- выяўленне,
- рэагаванне,
- прадухіленне,
- прагназаванне.
Відавочна, што перамагчы праблему можна толькі шляхам рэалізацыі комплексу мерапрыемстваў, арыентаваных на доўгатэрміновую далягляд. Асновай пераліку мераў павінна стаць прафілактыка.
Падобна таму, як для абароны ад COVID-19 прапануецца выконваць дыстанцыю, мыць рукі, дэзінфікаваць пакупкі і насіць маскі, выключыць магчымасць паспяховай кібератакі дазваляюць сістэмы маніторынгу фішынгавых нападаў, а таксама сродкі папярэджання і кантролю пранікненняў.
Праблема такіх інструментаў - вялікая колькасць ілжывых спрацоўванняў, для апрацоўкі якіх патрабуюцца гіганцкія рэсурсы. Значна скараціць колькасць апавяшчэнняў аб прытворнададатных падзеях дазваляе выкарыстанне базавых механізмаў бяспекі - звычайных антывірусаў, сродкаў кантролю прыкладанняў, ацэнкі рэпутацыі сайтаў. У гэтым выпадку падраздзяленню, які адказвае за бяспеку, атрымаецца зважаць на новыя пагрозы, паколькі вядомыя напады будуць блакавацца аўтаматычна. Такі падыход дазваляе раўнамерна размеркаваць нагрузку і захаваць баланс эфектыўнасці і бяспекі.
Важнае значэнне падчас пандэміі мае адсочванне крыніцы заражэння. Аналагічна і выяўленне пачатковага пункта рэалізацыі пагрозы пры кібератаках дазваляе сістэмна забяспечваць абарону перыметра кампаніі. Для забеспячэння бяспекі на ўсіх кропках уваходу ў ІТ-сістэмы выкарыстоўваюцца прылады класа EDR (Endpoint Detection and Response). Фіксуючы ўсё, што адбываецца на канчатковых кропках сеткі, яны дазваляюць аднавіць храналогію любой атакі і высветліць, які менавіта вузел быў выкарыстаны кіберзлачынцамі для пранікнення ў сістэму і распаўсюджвання па сетцы.
Недахоп EDR - вялікая колькасць не звязаных паміж сабой абвестак ад розных крыніц - сервераў, сеткавага абсталявання, хмарнай інфраструктуры і электроннай пошты. Даследаванне разрозненых дадзеных - працаёмкі ручны працэс, падчас якога можна выпусціць нешта важнае.
XDR як кібервакцына
Вырашыць праблемы, звязаныя з вялікай колькасцю абвестак, заклікана тэхналогія XDR, якая з'яўляецца развіццём EDR. "X" у гэтай абрэвіятуры пазначае любы аб'ект інфраструктуры, да якога можна прымяніць тэхналогію выяўлення: пошта, сетка, серверы, хмарныя службы і базы дадзеных. У адрозненне ад EDR сабраныя звесткі не проста перадаюцца ў SIEM, а збіраюцца ва ўніверсальнае сховішча, у якім сістэматызуюцца і аналізуюцца з выкарыстаннем тэхналогій Big Data.
Структурная схема ўзаемадзеяння XDR і іншых рашэнняў Trend Micro
Такі падыход у параўнанні з простым назапашваннем інфармацыі дазваляе выявіць больш пагроз дзякуючы выкарыстанню не толькі ўнутраных даных, але і глабальнай базы пагроз. Пры гэтым чым больш дадзеных сабрана, тым хутчэй будуць выяўляцца пагрозы і тым вышэй будзе дакладнасць абвестак.
Выкарыстанне штучнага інтэлекту дае магчымасць звесці да мінімуму колькасць абвестак, бо XDR генеруе высокапрыярытэтныя папярэджанні, узбагачаныя шырокім кантэкстам. У выніку аналітыкі SOC атрымліваюць магчымасць засяродзіцца на апавяшчэннях, якія патрабуюць неадкладных дзеянняў, а не правяраць уручную кожнае паведамленне, вылічаючы сувязі і кантэкст. Гэта дазволіць значна павысіць якасць прагнозаў будучых кібератак, ад якога напрамую залежыць эфектыўнасць барацьбы з кіберпандэміяй.
Дакладнае прагназаванне забяспечваецца дзякуючы збору і супастаўленню розных тыпаў дадзеных выяўлення і актыўнасці з датчыкаў Trend Micro, устаноўленых на розных узроўнях ўнутры арганізацыі – канчатковых кропках, сеткавых прыладах, электроннай пошце і хмарнай інфраструктуры.
Выкарыстанне адзінай платформы значна палягчае працу ИБ-службы, паколькі яна атрымлівае структураваны і адсартаваны па прыярытэце спіс абвестак, працуючы з адзіным акном для прадстаўлення падзей. Хуткае выяўленне пагроз дае магчымасць хутка адрэагаваць на іх і звесці да мінімуму наступствы ад іх.
Нашы рэкамендацыі
Шматвяковы вопыт барацьбы з эпідэміямі сведчыць, што прафілактыка не толькі больш эфектыўная за лячэнне, але і мае меншы кошт. Як паказвае сучасная практыка, камп'ютарныя эпідэміі не выключэнне. Папярэдзіць заражэнне сеткі кампаніі значна танней, чым плаціць выкуп вымагальнікам і выплачваць контрагентам кампенсацыі за нявыкананыя абавязацельствы.
Зусім нядаўна
Крыніца: habr.com