La dangereuse infection qui s’est répandue dans tous les pays a cessé d’être l’actualité numéro un des médias. Cependant, la réalité de la menace continue d'attirer l'attention des gens, dont les cybercriminels réussissent à tirer parti. Selon Trend Micro, le thème du coronavirus dans les cyber-campagnes reste largement en tête. Dans cet article, nous parlerons de la situation actuelle et partagerons également notre point de vue sur la prévention des cybermenaces actuelles.
Quelques statistiques
Carte des vecteurs de distribution utilisés par les campagnes de marque COVID-19. Source : Trend Micro
Le principal outil des cybercriminels reste le spam et, malgré les avertissements des agences gouvernementales, les citoyens continuent d'ouvrir des pièces jointes et de cliquer sur des liens contenus dans des e-mails frauduleux, contribuant ainsi à la propagation de la menace. La peur de contracter une infection dangereuse conduit au fait qu'en plus de la pandémie de COVID-19, nous devons faire face à une cyberpandémie - toute une famille de cybermenaces « coronavirus ».
La répartition des utilisateurs ayant suivi des liens malveillants semble assez logique :
Répartition par pays des utilisateurs ayant ouvert un lien malveillant à partir d'un email en janvier-mai 2020. Source : Trend Micro
En première position se trouvent de loin les utilisateurs des États-Unis, où au moment de la rédaction de cet article, il y avait près de 5 millions de cas. La Russie, qui est également l’un des principaux pays en termes de cas de COVID-19, figurait également parmi les cinq premiers en termes de nombre de citoyens particulièrement crédules.
Pandémie de cyberattaque
Les principaux sujets utilisés par les cybercriminels dans les e-mails frauduleux sont les retards de livraison dus à la pandémie et les notifications liées au coronavirus du ministère de la Santé ou de l'Organisation mondiale de la santé.
Les deux sujets les plus populaires pour les e-mails frauduleux. Source : Trend Micro
Le plus souvent, Emotet, un ransomware apparu en 2014, est utilisé comme « charge utile » dans ces lettres. Le changement de marque Covid a aidé les opérateurs de logiciels malveillants à augmenter la rentabilité de leurs campagnes.
On peut également noter dans l’arsenal des escrocs du Covid :
- de faux sites Web gouvernementaux pour collecter des données de cartes bancaires et des informations personnelles,
- sites d'information sur la propagation du COVID-19,
- faux portails de l'Organisation mondiale de la santé et des Centers for Disease Control,
- espions et bloqueurs mobiles se faisant passer pour des programmes utiles pour informer sur les infections.
Prévenir les attaques
D’une manière globale, la stratégie pour faire face à une cyberpandémie est similaire à la stratégie utilisée pour lutter contre les infections conventionnelles :
- détection,
- réponse,
- la prévention,
- prévision.
Il est évident que le problème ne peut être résolu qu’en mettant en œuvre un ensemble de mesures visant le long terme. La prévention devrait être la base de la liste de mesures.
Tout comme pour se protéger contre le COVID-19, il est recommandé de garder ses distances, de se laver les mains, de désinfecter les achats et de porter des masques. Les systèmes de surveillance des attaques de phishing, ainsi que les outils de prévention et de contrôle des intrusions, peuvent contribuer à éliminer la possibilité d'une cyberattaque réussie. .
Le problème de ces outils réside dans le grand nombre de faux positifs, dont le traitement nécessite d’énormes ressources. Le nombre de notifications concernant des événements faussement positifs peut être considérablement réduit en utilisant des mécanismes de sécurité de base : antivirus conventionnels, outils de contrôle des applications et évaluations de la réputation des sites. Dans ce cas, le service de sécurité pourra prêter attention aux nouvelles menaces, puisque les attaques connues seront automatiquement bloquées. Cette approche vous permet de répartir uniformément la charge et de maintenir un équilibre entre efficacité et sécurité.
Il est important de retracer la source de l’infection pendant une pandémie. De même, identifier le point de départ de la mise en œuvre des menaces lors des cyberattaques permet d’assurer systématiquement la protection du périmètre de l’entreprise. Pour assurer la sécurité à tous les points d'entrée dans les systèmes informatiques, des outils de classe EDR (Endpoint Detection and Response) sont utilisés. En enregistrant tout ce qui se passe aux extrémités du réseau, ils permettent de restaurer la chronologie de toute attaque et de savoir quel nœud a été utilisé par les cybercriminels pour pénétrer dans le système et se propager dans tout le réseau.
L'inconvénient de l'EDR réside dans le grand nombre d'alertes non liées provenant de différentes sources : serveurs, équipements réseau, infrastructure cloud et courrier électronique. La recherche de données disparates est un processus manuel fastidieux qui peut conduire à manquer quelque chose d'important.
XDR comme cyber-vaccin
La technologie XDR, qui est un développement de l'EDR, est conçue pour résoudre les problèmes associés à un grand nombre d'alertes. Le « X » de cet acronyme désigne tout objet d'infrastructure auquel la technologie de détection peut être appliquée : messagerie, réseau, serveurs, services cloud et bases de données. Contrairement à l'EDR, les informations collectées ne sont pas simplement transférées vers SIEM, mais sont collectées dans un stockage universel, dans lequel elles sont systématisées et analysées à l'aide des technologies Big Data.
Schéma fonctionnel de l'interaction entre XDR et d'autres solutions Trend Micro
Cette approche, par rapport à la simple accumulation d'informations, vous permet de détecter davantage de menaces en utilisant non seulement des données internes, mais également une base de données mondiale sur les menaces. De plus, plus les données collectées seront nombreuses, plus les menaces seront identifiées rapidement et plus les alertes seront précises.
L'utilisation de l'intelligence artificielle permet de minimiser le nombre d'alertes, car XDR génère des alertes hautement prioritaires enrichies d'un large contexte. En conséquence, les analystes SOC peuvent se concentrer sur les notifications qui nécessitent une action immédiate, plutôt que d'examiner manuellement chaque message pour déterminer les relations et le contexte. Cela améliorera considérablement la qualité des prévisions sur les futures cyberattaques, ce qui affectera directement l’efficacité de la lutte contre la cyberpandémie.
Des prévisions précises sont obtenues en collectant et en corrélant différents types de données de détection et d'activité provenant de capteurs Trend Micro installés à différents niveaux de l'organisation : points finaux, périphériques réseau, messagerie électronique et infrastructure cloud.
L'utilisation d'une plateforme unique simplifie grandement le travail du service de sécurité de l'information, puisqu'il reçoit une liste d'alertes structurée et hiérarchisée, travaillant avec une fenêtre unique de présentation des événements. L'identification rapide des menaces permet d'y répondre rapidement et de minimiser leurs conséquences.
Nos recommandations
Des siècles d'expérience dans la lutte contre les épidémies montrent que la prévention est non seulement plus efficace que le traitement, mais qu'elle est également moins coûteuse. Comme le montre la pratique moderne, les épidémies informatiques ne font pas exception. Prévenir l’infection du réseau d’une entreprise coûte beaucoup moins cher que de payer une rançon aux extorsionnistes et de verser des indemnités aux entrepreneurs pour leurs obligations non remplies.
Plus récemment, pour obtenir un programme de décryptage de vos données. À ce montant, il faut ajouter les pertes dues à l’indisponibilité des services et à l’atteinte à la réputation. Une simple comparaison des résultats obtenus avec le coût d'une solution de sécurité moderne nous permet de tirer une conclusion sans ambiguïté : la prévention des menaces à la sécurité de l'information n'est pas un cas où les économies sont justifiées. Les conséquences d’une cyberattaque réussie coûteront beaucoup plus cher à l’entreprise.
Source: habr.com