Nebezpečná infekce, která se prohnala všemi zeměmi, přestala být zprávou číslo jedna v médiích. Realita hrozby však nadále přitahuje pozornost lidí, čehož kyberzločinci úspěšně využívají. Podle Trend Micro stále s velkým náskokem vede téma koronaviru v kybernetických kampaních. V tomto příspěvku si povíme o aktuální situaci a také se podělíme o náš pohled na prevenci současných kybernetických hrozeb.
Některé statistiky
Mapa distribučních vektorů používaných značkovými kampaněmi COVID-19. Zdroj: Trend Micro
Hlavním nástrojem kyberzločinců jsou i nadále spamové korespondence a i přes varování vládních úřadů občané nadále otevírají přílohy a klikají na odkazy v podvodných e-mailech, čímž přispívají k dalšímu šíření hrozby. Strach z nákazy nebezpečnou infekcí vede k tomu, že kromě pandemie COVID-19 se musíme vypořádat i s kyberpandemií – celou rodinou „koronavirových“ kybernetických hrozeb.
Rozdělení uživatelů, kteří sledovali škodlivé odkazy, vypadá celkem logicky:
Distribuce podle zemí uživatelů, kteří v lednu až květnu 2020 otevřeli škodlivý odkaz z e-mailu. Zdroj: Trend Micro
Na prvním místě jsou s velkým náskokem uživatelé ze Spojených států, kde v době psaní tohoto příspěvku bylo téměř 5 milionů případů. Rusko, které je také jednou z předních zemí v počtu případů COVID-19, bylo také v první pětce, pokud jde o počet zvláště důvěřivých občanů.
Pandemie kybernetických útoků
Mezi hlavní témata, která kyberzločinci používají v podvodných e-mailech, patří zpoždění doručení kvůli pandemii a oznámením souvisejícím s koronaviry od ministerstva zdravotnictví nebo Světové zdravotnické organizace.
Dvě nejoblíbenější témata pro podvodné e-maily. Zdroj: Trend Micro
Emotet, ransomware ransomware, který se objevil již v roce 2014, se v těchto dopisech nejčastěji používá jako „užitná zátěž“. Rebranding Covid pomohl provozovatelům malwaru zvýšit ziskovost jejich kampaní.
V arzenálu podvodníků Covid lze také zaznamenat následující:
- falešné vládní webové stránky za účelem shromažďování údajů o bankovních kartách a osobních údajů,
- informační stránky o šíření COVID-19,
- falešné portály Světové zdravotnické organizace a Centers for Disease Control,
- mobilní špioni a blokátoři vydávající se za užitečné programy informující o infekcích.
Předcházení útokům
V globálním smyslu je strategie řešení kyberpandemie podobná strategii používané pro boj s konvenčními infekcemi:
- detekce,
- Odezva,
- prevence,
- prognózování.
Je zřejmé, že problém lze překonat pouze zavedením souboru dlouhodobě zaměřených opatření. Základem seznamu opatření by měla být prevence.
Stejně jako k ochraně před COVID-19 se doporučuje udržovat si odstup, mýt si ruce, dezinfikovat nákupy a nosit roušky, monitorovací systémy pro phishingové útoky a také nástroje prevence a kontroly narušení mohou pomoci eliminovat možnost úspěšného kybernetického útoku. .
Problémem takových nástrojů je velké množství falešných poplachů, jejichž zpracování vyžaduje obrovské prostředky. Počet upozornění na falešně pozitivní události lze výrazně snížit použitím základních bezpečnostních mechanismů – konvenčních antivirů, nástrojů pro kontrolu aplikací a hodnocení reputace webu. V tomto případě bude bezpečnostní oddělení moci věnovat pozornost novým hrozbám, protože známé útoky budou automaticky blokovány. Tento přístup umožňuje rovnoměrné rozložení zátěže a udržení rovnováhy mezi účinností a bezpečností.
Během pandemie je důležité vysledovat zdroj infekce. Stejně tak identifikace výchozího bodu implementace hrozeb během kybernetických útoků nám umožňuje systematicky zajišťovat ochranu perimetru společnosti. Pro zajištění bezpečnosti na všech vstupních bodech do IT systémů se používají nástroje třídy EDR (Endpoint Detection and Response). Tím, že zaznamenávají vše, co se děje na koncových bodech sítě, umožňují obnovit chronologii jakéhokoli útoku a zjistit, který uzel byl použit kyberzločinci k průniku do systému a šíření po síti.
Nevýhodou EDR je velké množství nesouvisejících upozornění z různých zdrojů – servery, síťová zařízení, cloudová infrastruktura a e-mail. Zkoumání různorodých dat je pracný manuální proces, který může vést k tomu, že vám něco důležitého unikne.
XDR jako kybernetická vakcína
Technologie XDR, která je vývojem EDR, je navržena k řešení problémů spojených s velkým počtem výstrah. „X“ v této zkratce znamená jakýkoli objekt infrastruktury, na který lze použít technologii detekce: pošta, síť, servery, cloudové služby a databáze. Na rozdíl od EDR nejsou shromážděné informace jednoduše přenášeny do SIEM, ale jsou shromažďovány v univerzálním úložišti, ve kterém jsou systematizovány a analyzovány pomocí technologií Big Data.
Blokové schéma interakce mezi XDR a dalšími řešeními Trend Micro
Tento přístup, ve srovnání s prostým shromažďováním informací, umožňuje odhalit více hrozeb pomocí nejen interních dat, ale také globální databáze hrozeb. Navíc, čím více údajů bude shromážděno, tím rychleji budou identifikovány hrozby a tím vyšší bude přesnost výstrah.
Použití umělé inteligence umožňuje minimalizovat počet výstrah, protože XDR generuje výstrahy s vysokou prioritou obohacené o široký kontext. Výsledkem je, že analytici SOC se mohou zaměřit na oznámení, která vyžadují okamžitou akci, spíše než ručně kontrolovat každou zprávu, aby určovali vztahy a kontext. Výrazně se tak zkvalitní předpovědi budoucích kybernetických útoků, což přímo ovlivňuje efektivitu boje s kybernetickou pandemií.
Přesného předpovídání je dosaženo shromažďováním a korelací různých typů dat detekce a aktivity ze senzorů Trend Micro instalovaných na různých úrovních v rámci organizace – koncové body, síťová zařízení, e-mail a cloudová infrastruktura.
Použití jediné platformy značně zjednodušuje práci služby informační bezpečnosti, protože přijímá strukturovaný a prioritní seznam výstrah, pracující s jediným oknem pro prezentaci událostí. Rychlá identifikace hrozeb umožňuje na ně rychle reagovat a minimalizovat jejich následky.
Naše doporučení
Staleté zkušenosti v boji s epidemiemi ukazují, že prevence je nejen účinnější než léčba, ale má také nižší náklady. Jak ukazuje moderní praxe, počítačové epidemie nejsou výjimkou. Zabránit infekci firemní sítě je mnohem levnější než platit výkupné vyděračům a platit dodavatelům kompenzaci za nesplněné závazky.
V poslední době získat dešifrovací program pro vaše data. K této částce je třeba připočítat ztráty z nedostupnosti služeb a poškození reputace. Jednoduché srovnání získaných výsledků s náklady na moderní bezpečnostní řešení nám umožňuje vyvodit jednoznačný závěr: předcházení hrozbám informační bezpečnosti není případ, kdy jsou úspory oprávněné. Důsledky úspěšného kybernetického útoku budou společnost stát výrazně více.
Zdroj: www.habr.com