La perillosa infecció que ha arrasat tots els països ha deixat de ser la notícia número u als mitjans. Tanmateix, la realitat de l'amenaça continua cridant l'atenció de la gent, que els ciberdelinqüents aprofiten amb èxit. Segons Trend Micro, el tema del coronavirus a les campanyes cibernètiques continua liderant amb un ampli marge. En aquest post, parlarem de la situació actual i també compartirem la nostra visió sobre la prevenció de les ciberamenaces actuals.
Algunes estadístiques
Mapa dels vectors de distribució utilitzats per les campanyes de marca COVID-19. Font: Trend Micro
La principal eina dels ciberdelinqüents continuen sent els correus brossa i, malgrat les advertències de les agències governamentals, els ciutadans continuen obrint fitxers adjunts i fent clic als enllaços dels correus electrònics fraudulents, contribuint a la propagació de l'amenaça. La por a contraure una infecció perillosa porta al fet que, a més de la pandèmia de la COVID-19, hem de fer front a una ciberpandèmia: tota una família d'amenaces cibernètiques de "coronavirus".
La distribució dels usuaris que van seguir enllaços maliciosos sembla força lògica:
Distribució per país dels usuaris que van obrir un enllaç maliciós des d'un correu electrònic entre gener i maig de 2020. Font: Trend Micro
En primer lloc, amb un ampli marge, hi ha usuaris dels Estats Units, on en el moment d'escriure aquesta entrada hi havia gairebé 5 milions de casos. Rússia, que també és un dels països líders en casos de COVID-19, també es trobava entre els cinc primers pel que fa al nombre de ciutadans especialment crédules.
Pandèmia d'atac cibernètic
Els principals temes que utilitzen els ciberdelinqüents en els correus electrònics fraudulents són els retards d'entrega a causa de la pandèmia i les notificacions relacionades amb el coronavirus del Ministeri de Salut o l'Organització Mundial de la Salut.
Els dos temes més populars per als correus electrònics d'estafa. Font: Trend Micro
Molt sovint, Emotet, un ransomware de ransomware que va aparèixer el 2014, s'utilitza com a "càrrega útil" en aquestes cartes. El canvi de marca de Covid va ajudar els operadors de programari maliciós a augmentar la rendibilitat de les seves campanyes.
També es pot observar el següent a l'arsenal d'estafadors de Covid:
- llocs web falsos del govern per recollir dades de targetes bancàries i informació personal,
- llocs d'informació sobre la propagació de la COVID-19,
- portals falsos de l'Organització Mundial de la Salut i Centres per al Control de Malalties,
- espies mòbils i bloquejadors disfressats de programes útils per informar sobre infeccions.
Prevenció d'atacs
En un sentit global, l'estratègia per fer front a una ciberpandèmia és similar a l'estratègia utilitzada per combatre les infeccions convencionals:
- detecció,
- resposta,
- prevenció,
- previsió.
És evident que el problema només es pot superar amb la implementació d'un conjunt de mesures orientades a llarg termini. La prevenció ha de ser la base de la llista de mesures.
De la mateixa manera que per protegir-se de la COVID-19, es recomana mantenir la distància, rentar-se les mans, desinfectar les compres i portar mascaretes, els sistemes de monitorització d'atacs de pesca, així com les eines de prevenció i control d'intrusions, poden ajudar a eliminar la possibilitat d'un ciberatac reeixit. .
El problema amb aquestes eines és un gran nombre de falsos positius, que requereixen enormes recursos per processar. El nombre de notificacions sobre esdeveniments falsos positius es pot reduir significativament utilitzant mecanismes de seguretat bàsics: antivirus convencionals, eines de control d'aplicacions i avaluacions de la reputació del lloc. En aquest cas, el departament de seguretat podrà parar atenció a les noves amenaces, ja que els atacs coneguts es bloquejaran automàticament. Aquest enfocament us permet distribuir uniformement la càrrega i mantenir un equilibri d'eficiència i seguretat.
Localitzar la font d'infecció és important durant una pandèmia. De la mateixa manera, identificar el punt de partida de la implementació de l'amenaça durant els ciberatacs ens permet garantir de manera sistemàtica la protecció del perímetre de l'empresa. Per garantir la seguretat en tots els punts d'entrada als sistemes informàtics, s'utilitzen eines de classe EDR (Endpoint Detection and Response). Mitjançant l'enregistrament de tot el que passa als punts finals de la xarxa, permeten restaurar la cronologia de qualsevol atac i esbrinar quin node van utilitzar els ciberdelinqüents per penetrar al sistema i estendre's per la xarxa.
El desavantatge de l'EDR és un gran nombre d'alertes no relacionades de diferents fonts: servidors, equips de xarxa, infraestructura de núvol i correu electrònic. La recerca de dades dispars és un procés manual que requereix molta mà d'obra que pot portar a perdre alguna cosa important.
XDR com a vacuna cibernètica
La tecnologia XDR, que és un desenvolupament de l'EDR, està dissenyada per resoldre problemes associats a un gran nombre d'alertes. La "X" d'aquest acrònim significa qualsevol objecte d'infraestructura al qual es pugui aplicar la tecnologia de detecció: correu, xarxa, servidors, serveis al núvol i bases de dades. A diferència de l'EDR, la informació recollida no es transfereix simplement a SIEM, sinó que es recull en un emmagatzematge universal, en el qual es sistematitza i s'analitza mitjançant tecnologies Big Data.
Diagrama de blocs d'interacció entre XDR i altres solucions de Trend Micro
Aquest enfocament, en comparació amb simplement acumular informació, us permet detectar més amenaces utilitzant no només dades internes, sinó també una base de dades global d'amenaces. A més, com més dades es recullin, més ràpid s'identificaran les amenaces i més precisió de les alertes.
L'ús de la intel·ligència artificial permet minimitzar el nombre d'alertes, ja que XDR genera alertes d'alta prioritat enriquides amb un context ampli. Com a resultat, els analistes SOC poden centrar-se en les notificacions que requereixen una acció immediata, en lloc de revisar manualment cada missatge per determinar les relacions i el context. Això millorarà significativament la qualitat de les previsions de futurs ciberatacs, la qual cosa afecta directament l'eficàcia de la lluita contra la ciberpandèmia.
La previsió precisa s'aconsegueix recopilant i correlacionant diferents tipus de dades de detecció i activitat dels sensors Trend Micro instal·lats a diferents nivells de l'organització: punts finals, dispositius de xarxa, correu electrònic i infraestructura de núvol.
L'ús d'una única plataforma simplifica enormement la feina del servei de seguretat de la informació, ja que rep una llista d'alertes estructurada i prioritzada, treballant amb una única finestra per presentar esdeveniments. La ràpida identificació de les amenaces permet respondre-hi ràpidament i minimitzar-ne les conseqüències.
Les nostres recomanacions
Segles d'experiència en la lluita contra les epidèmies demostren que la prevenció no només és més eficaç que el tractament, sinó que també té un cost més baix. Com demostra la pràctica moderna, les epidèmies informàtiques no són una excepció. Prevenir la infecció de la xarxa d'una empresa és molt més barat que pagar un rescat als extorsionadors i pagar una compensació als contractistes per obligacions incomplertes.
Més recentment per obtenir un programa de desxifrat per a les vostres dades. A aquesta quantitat s'han d'afegir pèrdues per indisponibilitat de serveis i danys a la reputació. Una simple comparació dels resultats obtinguts amb el cost d'una solució de seguretat moderna ens permet treure una conclusió inequívoca: prevenir les amenaces a la seguretat de la informació no és el cas on l'estalvi està justificat. Les conseqüències d'un ciberatac reeixit costaran a l'empresa molt més.
Font: www.habr.com