Kaikkiin maihin levinnyt vaarallinen tartunta on lakannut olemasta tiedotusvälineiden ykkösuutinen. Uhan todellisuus kiinnittää kuitenkin edelleen ihmisten huomion, jota kyberrikolliset hyödyntävät menestyksekkäästi. Trend Micron mukaan koronaviruksen aihe kyberkampanjoissa on edelleen laajalla kärjellä. Tässä postauksessa puhumme nykytilanteesta ja jaamme myös näkemyksemme nykyisten kyberuhkien ehkäisystä.
Osa tilastoista
Kartta COVID-19-brändättyjen kampanjoiden käyttämistä leviämisvektoreista. Lähde: Trend Micro
Verkkorikollisten päätyökalu on edelleen roskapostit, ja valtion virastojen varoituksista huolimatta kansalaiset jatkavat petossähköpostien liitteiden avaamista ja linkkien napsauttamista, mikä edistää uhan leviämistä. Pelko vaarallisen tartunnan saamisesta johtaa siihen, että COVID-19-pandemian lisäksi joudumme käsittelemään kyberpandemiaa – koko perheen ”koronavirus”-kyberuhkia.
Haitallisia linkkejä seuranneiden käyttäjien jakautuminen näyttää varsin loogiselta:
Jakauma maittain käyttäjistä, jotka avasivat haitallisen linkin sähköpostista tammi-toukokuussa 2020. Lähde: Trend Micro
Ensimmäisellä sijalla laajalla marginaalilla ovat käyttäjät Yhdysvalloista, joissa tätä viestiä kirjoitettaessa tapauksia oli lähes 5 miljoonaa. Venäjä, joka on myös yksi johtavista maista COVID-19-tapauksissa mitattuna, oli viiden parhaan joukossa myös erityisen herkkäuskoisten kansalaisten lukumäärässä.
Kyberhyökkäyspandemia
Pääaiheet, joita kyberrikolliset käyttävät petossähköpostissa, ovat pandemian ja koronavirukseen liittyvät ilmoitukset terveysministeriöltä tai Maailman terveysjärjestöltä.
Kaksi suosituinta huijaussähköpostien aihetta. Lähde: Trend Micro
Useimmiten Emotet, vuonna 2014 ilmestynyt kiristysohjelma, käytetään "hyötykuormana" tällaisissa kirjeissä. Covid-brändäys auttoi haittaohjelmaoperaattoreita lisäämään kampanjoidensa kannattavuutta.
Covid-huijaajien arsenaalissa on myös seuraavat asiat:
- väärennetyt valtion verkkosivustot pankkikorttitietojen ja henkilökohtaisten tietojen keräämiseksi,
- tiedottajasivustot COVID-19:n leviämisestä,
- Maailman terveysjärjestön ja taudintorjuntakeskusten väärennetyt portaalit,
- mobiilivakoojat ja estäjät, jotka naamioituvat hyödyllisiksi ohjelmiksi tiedottamaan infektioista.
Hyökkäysten estäminen
Globaalissa mielessä kyberpandemian torjuntastrategia on samanlainen kuin strategia, jota käytetään tavanomaisten infektioiden torjuntaan:
- havaitseminen,
- vastaus,
- ehkäisy,
- ennustaminen.
On selvää, että ongelma voidaan ratkaista vain toteuttamalla pitkän aikavälin toimenpiteitä. Ennaltaehkäisyn tulisi olla toimenpiteiden luettelon perusta.
Aivan kuten COVID-19:ltä suojautumiseen, on suositeltavaa pitää etäisyyttä, pestä käsiä, desinfioida ostokset ja käyttää maskeja. Tietojenkalasteluhyökkäysten valvontajärjestelmät sekä tunkeutumisen esto- ja valvontatyökalut voivat auttaa estämään onnistuneen kyberhyökkäyksen mahdollisuuden. .
Tällaisten työkalujen ongelmana on suuri määrä vääriä positiivisia tuloksia, joiden käsittely vaatii valtavia resursseja. Vääriä positiivisia tapahtumia koskevien ilmoitusten määrää voidaan vähentää merkittävästi käyttämällä perusturvamekanismeja - perinteisiä virustorjuntaohjelmia, sovellustenhallintatyökaluja ja sivuston mainearviointeja. Tässä tapauksessa turvallisuusosasto pystyy kiinnittämään huomiota uusiin uhkiin, koska tunnetut hyökkäykset estetään automaattisesti. Tämän lähestymistavan avulla voit jakaa kuorman tasaisesti ja ylläpitää tehokkuuden ja turvallisuuden tasapainoa.
Tartunnan lähteen jäljittäminen on tärkeää pandemian aikana. Samoin uhan toteuttamisen lähtökohdan tunnistaminen kyberhyökkäysten aikana mahdollistaa sen, että pystymme järjestelmällisesti varmistamaan yrityksen alueen suojan. Turvallisuuden varmistamiseksi kaikissa IT-järjestelmien sisääntulopisteissä käytetään EDR (Endpoint Detection and Response) -luokan työkaluja. Tallentamalla kaiken, mitä verkon päätepisteissä tapahtuu, voit palauttaa minkä tahansa hyökkäyksen kronologian ja selvittää, mitä solmua kyberrikolliset käyttivät tunkeutuessaan järjestelmään ja levittäessään verkon yli.
EDR:n haittana on suuri määrä toisiinsa liittymättömiä hälytyksiä eri lähteistä - palvelimilta, verkkolaitteilta, pilviinfrastruktuurilta ja sähköpostilta. Erilaisten tietojen tutkiminen on työlästä manuaalista prosessia, joka voi johtaa jonkin tärkeän puuttumiseen.
XDR kyberrokotteena
XDR-tekniikka, joka on EDR:n kehitystyö, on suunniteltu ratkaisemaan lukuisiin hälytyksiin liittyviä ongelmia. "X" tässä lyhenteessä tarkoittaa mitä tahansa infrastruktuuriobjektia, johon tunnistustekniikkaa voidaan soveltaa: posti, verkko, palvelimet, pilvipalvelut ja tietokannat. Toisin kuin EDR, kerättyä tietoa ei yksinkertaisesti siirretä SIEM:iin, vaan se kerätään yleismuistiin, jossa se systematisoidaan ja analysoidaan Big Data -tekniikoilla.
Lohkokaavio XDR:n ja muiden Trend Micro -ratkaisujen välisestä vuorovaikutuksesta
Tämä lähestymistapa, verrattuna pelkkään tiedon keräämiseen, mahdollistaa useiden uhkien havaitsemisen käyttämällä sisäisten tietojen lisäksi myös globaalia uhkatietokantaa. Lisäksi mitä enemmän tietoja kerätään, sitä nopeammin uhat tunnistetaan ja hälytykset ovat tarkempia.
Tekoälyn käyttö mahdollistaa hälytysten määrän minimoimisen, sillä XDR tuottaa korkean prioriteetin hälytyksiä laajalla kontekstilla. Tämän seurauksena SOC-analyytikot voivat keskittyä ilmoituksiin, jotka vaativat välitöntä toimintaa, sen sijaan, että tarkastelevat jokaista viestiä manuaalisesti suhteiden ja kontekstin määrittämiseksi. Tämä parantaa merkittävästi tulevien kyberhyökkäysten ennusteiden laatua, mikä vaikuttaa suoraan kyberpandemian torjunnan tehokkuuteen.
Tarkka ennustaminen saavutetaan keräämällä ja korreloimalla erityyppisiä havainnointi- ja toimintatietoja Trend Micro -antureista, jotka on asennettu organisaation eri tasoille - päätepisteisiin, verkkolaitteisiin, sähköpostiin ja pilviinfrastruktuuriin.
Yhden alustan käyttö yksinkertaistaa huomattavasti tietoturvapalvelun työtä, koska se vastaanottaa jäsennellyn ja priorisoidun hälytysluettelon, joka toimii yhdessä ikkunassa tapahtumien esittämiseen. Uhkien nopea tunnistaminen mahdollistaa niihin nopean reagoinnin ja niiden seurausten minimoimisen.
Suosituksemme
Vuosisatojen kokemus epidemioiden torjunnasta osoittaa, että ennaltaehkäisy ei ole vain tehokkaampaa kuin hoito, vaan sen kustannukset ovat myös alhaisemmat. Kuten nykyaikainen käytäntö osoittaa, tietokoneepidemiat eivät ole poikkeus. Yrityksen verkoston tartunnan estäminen on paljon halvempaa kuin lunnaiden maksaminen kiristäjille ja urakoitsijoille korvausten maksaminen täyttämättä jääneistä velvoitteista.
Viimeksi saadaksesi salauksenpurkuohjelman tiedoillesi. Tähän summaan on lisättävä menetykset, jotka johtuvat palveluiden saatavuudesta ja mainevaurioista. Saatujen tulosten yksinkertainen vertailu nykyaikaisen tietoturvaratkaisun kustannuksiin antaa mahdollisuuden tehdä yksiselitteinen johtopäätös: tietoturvauhkien ennaltaehkäisy ei ole tapausta, jossa säästöt ovat perusteltuja. Onnistuneen kyberhyökkäyksen seuraukset maksavat yritykselle huomattavasti enemmän.
Lähde: will.com