La peligrosa infección que se ha extendido por todos los países ha dejado de ser la noticia número uno en los medios. Sin embargo, la realidad de la amenaza sigue atrayendo la atención de la gente, algo que los ciberdelincuentes aprovechan con éxito. Según Trend Micro, el tema del coronavirus en las campañas cibernéticas sigue liderando por un amplio margen. En esta publicación, hablaremos sobre la situación actual y también compartiremos nuestra opinión sobre la prevención de las amenazas cibernéticas actuales.
Algunas estadísticas
Mapa de vectores de distribución utilizados por campañas de marca COVID-19. Fuente: Tendencia Micro
La principal herramienta de los ciberdelincuentes siguen siendo los correos spam y, a pesar de las advertencias de las agencias gubernamentales, los ciudadanos continúan abriendo archivos adjuntos y haciendo clic en enlaces en correos electrónicos fraudulentos, lo que contribuye a una mayor propagación de la amenaza. El miedo a contraer una infección peligrosa lleva al hecho de que, además de la pandemia de COVID-19, tenemos que hacer frente a una ciberpandemia: toda una familia de ciberamenazas de "coronavirus".
La distribución de usuarios que siguieron enlaces maliciosos parece bastante lógica:
Distribución por país de usuarios que abrieron un enlace malicioso desde un correo electrónico en enero-mayo de 2020. Fuente: Tendencia Micro
En primer lugar con diferencia se encuentran los usuarios de Estados Unidos, donde en el momento de escribir este post había casi 5 millones de casos. Rusia, que también es uno de los países líderes en términos de casos de COVID-19, también se encontraba entre los cinco primeros en términos de número de ciudadanos especialmente crédulos.
Pandemia de ciberataques
Los principales temas que utilizan los ciberdelincuentes en los correos electrónicos fraudulentos son los retrasos en las entregas debido a la pandemia y las notificaciones relacionadas con el coronavirus del Ministerio de Salud o la Organización Mundial de la Salud.
Los dos temas más populares para los correos electrónicos fraudulentos. Fuente: Tendencia Micro
La mayoría de las veces, Emotet, un ransomware ransomware que apareció en 2014, se utiliza como "carga útil" en dichas cartas. El cambio de marca de Covid ayudó a los operadores de malware a aumentar la rentabilidad de sus campañas.
En el arsenal de los estafadores de Covid también se puede observar lo siguiente:
- sitios web gubernamentales falsos para recopilar datos de tarjetas bancarias e información personal,
- sitios informantes sobre la propagación del COVID-19,
- portales falsos de la Organización Mundial de la Salud y Centros para el Control de Enfermedades,
- Espías y bloqueadores de móviles disfrazados de programas útiles para informar sobre infecciones.
Previniendo ataques
En un sentido global, la estrategia para hacer frente a una ciberpandemia es similar a la estrategia utilizada para combatir las infecciones convencionales:
- detección,
- respuesta,
- prevención,
- pronóstico.
Es evidente que el problema sólo podrá superarse aplicando un conjunto de medidas orientadas al largo plazo. La prevención debería ser la base de la lista de medidas.
Así como para protegerse contra el COVID-19 se recomienda mantener distancia, lavarse las manos, desinfectar las compras y usar mascarillas, los sistemas de monitoreo de ataques de phishing, así como herramientas de prevención y control de intrusiones, pueden ayudar a eliminar la posibilidad de un ciberataque exitoso. .
El problema con este tipo de herramientas es la gran cantidad de falsos positivos, cuyo procesamiento requiere enormes recursos. La cantidad de notificaciones sobre eventos falsos positivos se puede reducir significativamente mediante el uso de mecanismos de seguridad básicos: antivirus convencionales, herramientas de control de aplicaciones y evaluaciones de reputación de sitios. En este caso, el departamento de seguridad podrá prestar atención a nuevas amenazas, ya que los ataques conocidos se bloquearán automáticamente. Este enfoque le permite distribuir uniformemente la carga y mantener un equilibrio entre eficiencia y seguridad.
Rastrear la fuente de infección es importante durante una pandemia. Del mismo modo, identificar el punto de partida de la implementación de la amenaza durante los ciberataques nos permite garantizar sistemáticamente la protección del perímetro de la empresa. Para garantizar la seguridad en todos los puntos de entrada a los sistemas de TI, se utilizan herramientas de clase EDR (Detección y respuesta de puntos finales). Al registrar todo lo que sucede en los puntos finales de la red, permiten restaurar la cronología de cualquier ataque y descubrir qué nodo fue utilizado por los ciberdelincuentes para penetrar el sistema y propagarse por la red.
La desventaja de EDR es una gran cantidad de alertas no relacionadas de diferentes fuentes: servidores, equipos de red, infraestructura de nube y correo electrónico. La investigación de datos dispares es un proceso manual que requiere mucha mano de obra y que puede llevar a perder algo importante.
XDR como vacuna cibernética
La tecnología XDR, que es un desarrollo de EDR, está diseñada para resolver problemas asociados con una gran cantidad de alertas. La "X" de este acrónimo representa cualquier objeto de infraestructura al que se pueda aplicar tecnología de detección: correo, red, servidores, servicios en la nube y bases de datos. A diferencia de EDR, la información recopilada no simplemente se transfiere a SIEM, sino que se recopila en un almacenamiento universal, en el que se sistematiza y analiza utilizando tecnologías Big Data.
Diagrama de bloques de interacción entre XDR y otras soluciones de Trend Micro
Este enfoque, en comparación con la simple acumulación de información, le permite detectar más amenazas utilizando no solo datos internos, sino también una base de datos de amenazas global. Además, cuantos más datos se recopilen, más rápido se identificarán las amenazas y mayor será la precisión de las alertas.
El uso de inteligencia artificial permite minimizar la cantidad de alertas, ya que XDR genera alertas de alta prioridad enriquecidas con un contexto amplio. Como resultado, los analistas de SOC pueden centrarse en las notificaciones que requieren una acción inmediata, en lugar de revisar manualmente cada mensaje para determinar las relaciones y el contexto. Esto mejorará significativamente la calidad de las previsiones de futuros ciberataques, lo que incide directamente en la eficacia de la lucha contra la ciberpandemia.
Se logra una previsión precisa recopilando y correlacionando diferentes tipos de datos de detección y actividad de los sensores de Trend Micro instalados en diferentes niveles dentro de la organización: terminales, dispositivos de red, correo electrónico e infraestructura de nube.
Utilizar una única plataforma simplifica enormemente el trabajo del servicio de seguridad de la información, ya que recibe una lista estructurada y priorizada de alertas, trabajando con una única ventana de presentación de eventos. La rápida identificación de amenazas permite responder rápidamente a ellas y minimizar sus consecuencias.
Nuestras recomendaciones
Siglos de experiencia en la lucha contra las epidemias demuestran que la prevención no sólo es más eficaz que el tratamiento, sino que también tiene un coste menor. Como muestra la práctica moderna, las epidemias informáticas no son una excepción. Prevenir la infección de la red de una empresa es mucho más barato que pagar un rescate a los extorsionadores y compensar a los contratistas por obligaciones incumplidas.
Más recientemente, para obtener un programa descifrador de sus datos. A esta cantidad habría que sumar las pérdidas por indisponibilidad de servicios y daños a la reputación. Una simple comparación de los resultados obtenidos con el coste de una solución de seguridad moderna nos permite sacar una conclusión inequívoca: prevenir las amenazas a la seguridad de la información no es el caso en el que se justifica el ahorro. Las consecuencias de un ciberataque exitoso le costarán mucho más a la empresa.
Fuente: habr.com