Kõikides riikides levinud ohtlik nakkus on lakanud olemast ajakirjanduses number üks uudis. Inimeste tähelepanu köidab aga jätkuvalt ohu reaalsus, mida küberkurjategijad edukalt ära kasutavad. Trend Micro hinnangul on koronaviiruse teema küberkampaaniates endiselt suure ülekaaluga juhtpositsioonil. Selles postituses räägime hetkeolukorrast ning jagame ka oma vaadet praeguste küberohtude ennetamisele.
Mõned statistika
COVID-19 kaubamärgiga kampaaniates kasutatud levivektorite kaart. Allikas: Trend Micro
Küberkurjategijate peamiseks töövahendiks on jätkuvalt rämpspostid ning vaatamata riigiasutuste hoiatustele jätkavad kodanikud petukirjade manuste avamist ja linkide klõpsamist, aidates kaasa ohu edasisele levikule. Hirm nakatuda ohtlikku nakkust viib selleni, et lisaks COVID-19 pandeemiale tuleb tegeleda ka küberpandeemiaga – terve “koroonaviiruse” küberohtude perekonnaga.
Pahatahtlikke linke jälginud kasutajate jaotus tundub üsna loogiline:
2020. aasta jaanuaris-mais e-kirjast pahatahtliku lingi avanud kasutajate jaotus riigiti. Allikas: Trend Micro
Esikohal on suure vahega kasutajad Ameerika Ühendriikidest, kus selle postituse kirjutamise ajal oli juhtumeid peaaegu 5 miljonit. Venemaa, mis on ka üks juhtivaid riike COVID-19 juhtude poolest, oli esiviisikus ka eriti kergeusklike kodanike arvu poolest.
Küberrünnaku pandeemia
Peamised teemad, mida küberkurjategijad petukirjades kasutavad, on pandeemiast tingitud kohaletoimetamise viivitused ja koroonaviirusega seotud teated tervishoiuministeeriumilt või Maailma Terviseorganisatsioonilt.
Kaks kõige populaarsemat petukirjade teemat. Allikas: Trend Micro
Kõige sagedamini kasutatakse sellistes kirjades “kasuliku koormana” Emotet, 2014. aastal ilmunud lunavara lunavara. Covidi kaubamärgi muutmine aitas pahavara operaatoritel suurendada oma kampaaniate kasumlikkust.
Covidi petturite arsenalis võib märkida ka järgmist:
- võltsitud valitsuse veebisaidid pangakaardiandmete ja isikuandmete kogumiseks,
- COVID-19 leviku informaatori saidid,
- Maailma Terviseorganisatsiooni ja Haiguste Kontrollikeskuste võltsportaalid,
- mobiilispioonid ja blokaatorid, mis maskeeruvad kasulikeks programmideks nakkustest teavitamiseks.
Rünnakute ennetamine
Globaalses mõttes on küberpandeemiaga toimetuleku strateegia sarnane tavapäraste nakkustega võitlemise strateegiale.
- märkamine,
- vastus,
- ärahoidmine,
- prognoosimine.
On ilmne, et probleemist saab üle vaid pikaajalisele meetmetele suunatud meetmete rakendamisega. Meetmete loetelu aluseks peaks olema ennetamine.
Nii nagu COVID-19 eest kaitsmiseks on soovitatav hoida distantsi, pesta käsi, desinfitseerida oste ja kanda maske, andmepüügirünnakute jälgimissüsteemid, samuti sissetungimise ennetamise ja kontrolli vahendid aitavad välistada eduka küberrünnaku võimaluse .
Selliste tööriistade probleemiks on suur hulk valepositiivseid tulemusi, mille töötlemiseks on vaja tohutult ressursse. Valepositiivsete sündmuste teavituste arvu saab oluliselt vähendada, kasutades põhilisi turvamehhanisme – tavalisi viirusetõrjeid, rakenduste kontrollitööriistu ja saidi maine hinnanguid. Sel juhul saab turvaosakond pöörata tähelepanu uutele ohtudele, kuna teadaolevad rünnakud blokeeritakse automaatselt. Selline lähenemine võimaldab teil koormust ühtlaselt jaotada ning säilitada tõhususe ja ohutuse tasakaal.
Nakkuse allika jälgimine on pandeemia ajal oluline. Samamoodi võimaldab küberrünnakute ajal ohu realiseerimise lähtepunkti tuvastamine süstemaatiliselt tagada ettevõtte perimeetri kaitse. Turvalisuse tagamiseks kõikides IT-süsteemide sisenemispunktides kasutatakse EDR (Endpoint Detection and Response) klassi tööriistu. Salvestades kõike võrgu lõpp-punktides toimuvat, võimaldavad need taastada mis tahes rünnaku kronoloogia ja teada saada, millist sõlme kasutasid küberkurjategijad süsteemi tungimiseks ja üle võrgu levimiseks.
EDR-i miinuseks on suur hulk mitteseotud hoiatusi erinevatest allikatest – serveritest, võrguseadmetest, pilveinfrastruktuurist ja meilist. Erinevate andmete uurimine on töömahukas käsitsi protsess, mis võib viia millestki olulisest ilmajäämiseni.
XDR kui kübervaktsiin
XDR-tehnoloogia, mis on EDR-i arendus, on loodud suure hulga hoiatustega seotud probleemide lahendamiseks. "X" tähistab selles akronüümis mis tahes infrastruktuuriobjekti, millele saab tuvastustehnoloogiat rakendada: post, võrk, serverid, pilveteenused ja andmebaasid. Erinevalt EDR-ist ei edastata kogutud infot lihtsalt SIEM-i, vaid kogutakse universaalsesse salvestusruumi, kuhu see Big Data tehnoloogiate abil süstematiseeritakse ja analüüsitakse.
XDR-i ja teiste Trend Micro lahenduste interaktsiooni plokkskeem
See lähenemine, võrreldes lihtsalt teabe kogumisega, võimaldab avastada rohkem ohte, kasutades lisaks siseandmetele ka globaalset ohtude andmebaasi. Veelgi enam, mida rohkem andmeid kogutakse, seda kiiremini tuvastatakse ohud ja seda suurem on hoiatuste täpsus.
Tehisintellekti kasutamine võimaldab minimeerida hoiatuste arvu, kuna XDR genereerib kõrge prioriteediga hoiatusi, mis on rikastatud laia kontekstiga. Selle tulemusena saavad SOC-i analüütikud keskenduda teatistele, mis nõuavad viivitamatut tegutsemist, selle asemel, et iga sõnumit käsitsi üle vaadata, et määrata kindlaks seosed ja kontekst. See parandab oluliselt tulevaste küberrünnakute prognooside kvaliteeti, mis mõjutab otseselt küberpandeemia vastase võitluse tõhusust.
Täpne prognoosimine saavutatakse, kogudes ja korreleerides erinevat tüüpi tuvastus- ja tegevusandmeid Trend Micro anduritelt, mis on paigaldatud organisatsiooni eri tasanditele – lõpp-punktid, võrguseadmed, meili- ja pilveinfrastruktuur.
Ühtse platvormi kasutamine lihtsustab oluliselt infoturbeteenuse tööd, kuna see saab struktureeritud ja prioriteetsete hoiatuste loendi, töötades sündmuste esitlemiseks ühes aknas. Ohtude kiire tuvastamine võimaldab neile kiiresti reageerida ja minimeerida nende tagajärgi.
Meie soovitused
Sajanditepikkune epideemiate vastu võitlemise kogemus näitab, et ennetamine pole mitte ainult tõhusam kui ravi, vaid ka kulukam. Nagu kaasaegne praktika näitab, ei ole arvutiepideemia erand. Ettevõtte võrgu nakatumise vältimine on palju odavam, kui maksta väljapressijatele lunaraha ja maksta töövõtjatele hüvitist täitmata kohustuste eest.
Just hiljuti et hankida oma andmete jaoks dekrüpteerimisprogramm. Sellele summale tuleks lisada kahjud teenuste puudumisest ja mainekahjust. Lihtne saadud tulemuste võrdlemine kaasaegse turvalahenduse maksumusega võimaldab teha ühemõttelise järelduse: infoturbeohtude ennetamine ei ole nii, kui kokkuhoid on põhjendatud. Eduka küberrünnaku tagajärjed lähevad ettevõttele oluliselt rohkem maksma.
Allikas: www.habr.com