Die gefährliche Infektion, die alle Länder erfasst hat, ist nicht mehr die wichtigste Nachrichtenmeldung in den Medien. Die Realität der Bedrohung zieht jedoch weiterhin die Aufmerksamkeit der Menschen auf sich, was Cyberkriminelle erfolgreich ausnutzen. Laut Trend Micro liegt das Thema Coronavirus bei Cyberkampagnen immer noch mit großem Abstand an der Spitze. In diesem Beitrag werden wir über die aktuelle Situation sprechen und auch unsere Sicht auf die Abwehr aktueller Cyber-Bedrohungen teilen.
Einige Statistiken
Karte der Verbreitungsvektoren, die von COVID-19-Markenkampagnen verwendet werden. Quelle: Trend Micro
Das Hauptinstrument von Cyberkriminellen sind nach wie vor Spam-Mails, und trotz Warnungen von Regierungsbehörden öffnen Bürger weiterhin Anhänge und klicken auf Links in betrügerischen E-Mails, was zur weiteren Verbreitung der Bedrohung beiträgt. Die Angst vor einer gefährlichen Infektion führt dazu, dass wir uns zusätzlich zur COVID-19-Pandemie mit einer Cyberpandemie auseinandersetzen müssen – einer ganzen Familie von „Coronavirus“-Cyberbedrohungen.
Die Verteilung der Benutzer, die bösartigen Links gefolgt sind, sieht recht logisch aus:
Verteilung nach Land der Benutzer, die im Januar-Mai 2020 einen schädlichen Link aus einer E-Mail geöffnet haben. Quelle: Trend Micro
An erster Stelle stehen mit großem Abstand Nutzer aus den Vereinigten Staaten, wo es zum Zeitpunkt der Erstellung dieses Beitrags fast 5 Millionen Fälle gab. Russland, das auch bei den COVID-19-Fällen zu den führenden Ländern zählt, lag auch bei der Zahl der besonders leichtgläubigen Bürger unter den ersten fünf.
Cyberangriff-Pandemie
Die Hauptthemen, die Cyberkriminelle in betrügerischen E-Mails verwenden, sind Lieferverzögerungen aufgrund der Pandemie und Coronavirus-bedingte Meldungen des Gesundheitsministeriums oder der Weltgesundheitsorganisation.
Die beiden beliebtesten Themen für Betrugs-E-Mails. Quelle: Trend Micro
Am häufigsten wird in solchen Briefen Emotet als „Nutzlast“ verwendet, eine Ransomware, die bereits im Jahr 2014 auftauchte. Das Rebranding von Covid half Malware-Betreibern, die Rentabilität ihrer Kampagnen zu steigern.
Im Arsenal der Covid-Betrüger ist außerdem folgendes zu vermerken:
- gefälschte Regierungswebsites, um Bankkartendaten und persönliche Informationen zu sammeln,
- Informationsseiten zur Verbreitung von COVID-19,
- gefälschte Portale der Weltgesundheitsorganisation und der Centers for Disease Control,
- mobile Spione und Blocker, die sich als nützliche Programme zur Aufklärung über Infektionen ausgeben.
Angriffe verhindern
Im globalen Sinne ähnelt die Strategie zur Bewältigung einer Cyberpandemie der Strategie zur Bekämpfung konventioneller Infektionen:
- Erkennung,
- Antwort,
- Verhütung,
- Prognose.
Es liegt auf der Hand, dass das Problem nur durch die Umsetzung eines langfristig angelegten Maßnahmenpakets bewältigt werden kann. Grundlage des Maßnahmenkatalogs sollte die Prävention sein.
Ebenso wie zum Schutz vor COVID-19 wird empfohlen, Abstand zu halten, Hände zu waschen, Einkäufe zu desinfizieren und Masken zu tragen. Überwachungssysteme für Phishing-Angriffe sowie Intrusion Prevention- und Control-Tools können dazu beitragen, die Möglichkeit eines erfolgreichen Cyberangriffs auszuschließen .
Das Problem bei solchen Tools ist eine große Anzahl falsch positiver Ergebnisse, deren Verarbeitung enorme Ressourcen erfordert. Die Anzahl der Benachrichtigungen über falsch positive Ereignisse kann durch den Einsatz grundlegender Sicherheitsmechanismen – herkömmliche Antivirenprogramme, Anwendungskontrolltools und Bewertung der Site-Reputation – erheblich reduziert werden. In diesem Fall kann die Sicherheitsabteilung auf neue Bedrohungen achten, da bekannte Angriffe automatisch blockiert werden. Mit diesem Ansatz können Sie die Last gleichmäßig verteilen und ein Gleichgewicht zwischen Effizienz und Sicherheit aufrechterhalten.
Während einer Pandemie ist es wichtig, die Infektionsquelle aufzuspüren. Ebenso ermöglicht uns die Identifizierung des Ausgangspunkts der Bedrohungsumsetzung bei Cyberangriffen, den Schutz des Unternehmensperimeters systematisch sicherzustellen. Um die Sicherheit an allen Eintrittspunkten in IT-Systeme zu gewährleisten, werden Tools der Klasse EDR (Endpoint Detection and Response) eingesetzt. Indem sie alles aufzeichnen, was an den Endpunkten des Netzwerks geschieht, können Sie die Chronologie jedes Angriffs wiederherstellen und herausfinden, über welchen Knoten Cyberkriminelle in das System eingedrungen sind und sich über das Netzwerk verbreitet haben.
Der Nachteil von EDR ist eine große Anzahl unabhängiger Warnungen aus verschiedenen Quellen – Servern, Netzwerkgeräten, Cloud-Infrastruktur und E-Mail. Die Recherche unterschiedlicher Daten ist ein arbeitsintensiver manueller Prozess, der dazu führen kann, dass etwas Wichtiges übersehen wird.
XDR als Cyber-Impfstoff
Die XDR-Technologie, eine Weiterentwicklung von EDR, soll Probleme lösen, die mit einer großen Anzahl von Warnungen verbunden sind. Das „X“ in diesem Akronym steht für jedes Infrastrukturobjekt, auf das Erkennungstechnologie angewendet werden kann: E-Mail, Netzwerk, Server, Cloud-Dienste und Datenbanken. Im Gegensatz zu EDR werden die gesammelten Informationen nicht einfach an SIEM übertragen, sondern in einem universellen Speicher gesammelt, in dem sie mithilfe von Big-Data-Technologien systematisiert und analysiert werden.
Blockdiagramm der Interaktion zwischen XDR und anderen Trend Micro-Lösungen
Mit diesem Ansatz können Sie im Vergleich zum einfachen Sammeln von Informationen mehr Bedrohungen erkennen, indem Sie nicht nur interne Daten, sondern auch eine globale Bedrohungsdatenbank verwenden. Darüber hinaus gilt: Je mehr Daten gesammelt werden, desto schneller werden Bedrohungen erkannt und desto höher ist die Genauigkeit der Warnungen.
Der Einsatz künstlicher Intelligenz ermöglicht es, die Anzahl der Warnungen zu minimieren, da XDR Warnungen mit hoher Priorität generiert, die mit einem breiten Kontext angereichert sind. Dadurch können sich SOC-Analysten auf Benachrichtigungen konzentrieren, die sofortiges Handeln erfordern, anstatt jede Nachricht manuell zu überprüfen, um Beziehungen und Kontext zu ermitteln. Dadurch wird die Qualität der Prognosen zukünftiger Cyberangriffe deutlich verbessert, was sich direkt auf die Wirksamkeit der Bekämpfung der Cyberpandemie auswirkt.
Präzise Prognosen werden durch das Sammeln und Korrelieren verschiedener Arten von Erkennungs- und Aktivitätsdaten von Trend Micro-Sensoren erreicht, die auf verschiedenen Ebenen innerhalb des Unternehmens installiert sind – Endpunkte, Netzwerkgeräte, E-Mail und Cloud-Infrastruktur.
Die Verwendung einer einzigen Plattform vereinfacht die Arbeit des Informationssicherheitsdienstes erheblich, da er eine strukturierte und priorisierte Liste von Warnungen erhält und mit einem einzigen Fenster zur Darstellung von Ereignissen arbeitet. Die schnelle Erkennung von Bedrohungen ermöglicht es, schnell auf sie zu reagieren und ihre Folgen zu minimieren.
Unsere Empfehlungen
Die jahrhundertelange Erfahrung im Kampf gegen Epidemien zeigt, dass Prävention nicht nur wirksamer ist als Behandlung, sondern auch kostengünstiger ist. Wie die moderne Praxis zeigt, sind Computerepidemien keine Ausnahme. Die Verhinderung einer Infektion des Netzwerks eines Unternehmens ist viel kostengünstiger als die Zahlung eines Lösegelds an Erpresser und die Zahlung einer Entschädigung an Auftragnehmer für nicht erfüllte Verpflichtungen.
Zuletzt um ein Entschlüsselungsprogramm für Ihre Daten zu erhalten. Zu diesem Betrag kommen Verluste aus der Nichtverfügbarkeit von Diensten und Reputationsschäden hinzu. Ein einfacher Vergleich der erzielten Ergebnisse mit den Kosten einer modernen Sicherheitslösung lässt uns eine eindeutige Schlussfolgerung ziehen: Die Vermeidung von Bedrohungen der Informationssicherheit ist nicht der Fall, wenn Einsparungen gerechtfertigt sind. Die Folgen eines erfolgreichen Cyberangriffs werden das Unternehmen deutlich mehr kosten.
Source: habr.com