A perigosa infección que arrasou todos os países deixou de ser a noticia número un dos medios. Non obstante, a realidade da ameaza segue atraendo a atención da xente, que os ciberdelincuentes aproveitan con éxito. Segundo Trend Micro, o tema do coronavirus nas campañas cibernéticas segue liderando cunha ampla marxe. Neste post, falaremos da situación actual e tamén compartiremos a nosa visión sobre a prevención das ciberameazas actuais.
Algunhas estatísticas
Mapa dos vectores de distribución utilizados polas campañas de marca COVID-19. Fonte: Trend Micro
A principal ferramenta dos ciberdelincuentes seguen sendo os correos lixo e, a pesar das advertencias das axencias gobernamentais, os cidadáns seguen abrindo anexos e facendo clic nas ligazóns dos correos electrónicos fraudulentos, o que contribúe a unha maior propagación da ameaza. O medo a contraer unha infección perigosa leva ao feito de que, ademais da pandemia de COVID-19, teñamos que facer fronte a unha ciberpandemia: toda unha familia de ameazas cibernéticas de "coronavirus".
A distribución dos usuarios que seguiron ligazóns maliciosas parece bastante lóxica:
Distribución por país dos usuarios que abriron unha ligazón maliciosa desde un correo electrónico entre xaneiro e maio de 2020. Fonte: Trend Micro
En primeiro lugar por ampla marxe sitúanse os usuarios dos Estados Unidos, onde no momento de escribir esta publicación había case 5 millóns de casos. Rusia, que tamén é un dos países líderes en casos de COVID-19, tamén estaba entre os cinco primeiros en canto ao número de cidadáns especialmente crédulos.
Pandemia de ciberataques
Os principais temas que usan os ciberdelincuentes nos correos electrónicos fraudulentos son os atrasos de entrega debido á pandemia e as notificacións relacionadas co coronavirus do Ministerio de Sanidade ou da Organización Mundial da Saúde.
Os dous temas máis populares para correos electrónicos de estafa. Fonte: Trend Micro
A maioría das veces, Emotet, un ransomware de ransomware que apareceu en 2014, úsase como "carga útil" en tales letras. O cambio de marca de Covid axudou aos operadores de malware a aumentar a rendibilidade das súas campañas.
Tamén se pode observar o seguinte no arsenal de estafadores de Covid:
- sitios web do goberno falsos para recoller datos de tarxetas bancarias e información persoal,
- sitios de información sobre a propagación da COVID-19,
- portais falsos da Organización Mundial da Saúde e Centros para o Control de Enfermidades,
- espías e bloqueadores móbiles disfrazados de programas útiles para informar sobre infeccións.
Prevención de ataques
Nun sentido global, a estratexia para facer fronte a unha ciberpandemia é similar á estratexia utilizada para combater as infeccións convencionais:
- detección,
- resposta,
- prevención,
- previsión.
É obvio que o problema só se pode superar aplicando un conxunto de medidas orientadas a longo prazo. A prevención debe ser a base da lista de medidas.
Do mesmo xeito que para protexerse contra o COVID-19, recoméndase manter a distancia, lavarse as mans, desinfectar as compras e usar máscaras, os sistemas de seguimento dos ataques de phishing, así como as ferramentas de prevención e control de intrusións, poden axudar a eliminar a posibilidade dun ciberataque exitoso. .
O problema con tales ferramentas é unha gran cantidade de falsos positivos, que requiren enormes recursos para procesar. O número de notificacións sobre eventos falsos positivos pódese reducir significativamente utilizando mecanismos de seguridade básicos: antivirus convencionais, ferramentas de control de aplicacións e avaliacións da reputación do sitio. Neste caso, o departamento de seguridade poderá prestar atención ás novas ameazas, xa que os ataques coñecidos bloquearanse automaticamente. Este enfoque permítelle distribuír uniformemente a carga e manter un equilibrio de eficiencia e seguridade.
Rastrexar a fonte da infección é importante durante unha pandemia. Do mesmo xeito, identificar o punto de partida da implementación da ameaza durante os ciberataques permítenos garantir de forma sistemática a protección do perímetro da empresa. Para garantir a seguridade en todos os puntos de entrada aos sistemas informáticos, utilízanse ferramentas de clase EDR (Endpoint Detection and Response). Ao gravar todo o que ocorre nos extremos da rede, permítenche restaurar a cronoloxía de calquera ataque e descubrir que nodo foi utilizado polos ciberdelincuentes para penetrar no sistema e espallarse pola rede.
A desvantaxe de EDR é unha gran cantidade de alertas non relacionadas de diferentes fontes: servidores, equipos de rede, infraestrutura na nube e correo electrónico. A investigación de datos dispares é un proceso manual de traballo intensivo que pode levar a perder algo importante.
XDR como vacina cibernética
A tecnoloxía XDR, que é un desenvolvemento de EDR, está deseñada para resolver problemas asociados a un gran número de alertas. A "X" destas siglas significa calquera obxecto de infraestrutura ao que se pode aplicar tecnoloxía de detección: correo, rede, servidores, servizos na nube e bases de datos. A diferenza do EDR, a información recollida non se transfire simplemente a SIEM, senón que se recolle nun almacenamento universal, no que se sistematiza e analiza mediante tecnoloxías Big Data.
Diagrama de bloques da interacción entre XDR e outras solucións de Trend Micro
Este enfoque, en comparación coa simple acumulación de información, permítelle detectar máis ameazas utilizando non só datos internos, senón tamén unha base de datos de ameazas global. Ademais, cantos máis datos se recollan, máis rápido se identificarán as ameazas e maior será a precisión das alertas.
O uso da intelixencia artificial permite minimizar o número de alertas, xa que XDR xera alertas de alta prioridade enriquecidas cun contexto amplo. Como resultado, os analistas de SOC poden centrarse nas notificacións que requiren unha acción inmediata, en lugar de revisar manualmente cada mensaxe para determinar as relacións e o contexto. Isto mellorará significativamente a calidade das previsións de futuros ciberataques, o que afecta directamente á eficacia da loita contra a ciberpandemia.
A previsión precisa conséguese recollendo e correlacionando diferentes tipos de datos de detección e actividade dos sensores Trend Micro instalados en diferentes niveis da organización: puntos finais, dispositivos de rede, correo electrónico e infraestrutura na nube.
A utilización dunha única plataforma simplifica moito o traballo do servizo de seguridade da información, xa que recibe unha listaxe de alertas estruturada e priorizada, traballando cunha única ventá de presentación de eventos. A rápida identificación das ameazas permite responder rapidamente a elas e minimizar as súas consecuencias.
As nosas recomendacións
Séculos de experiencia na loita contra as epidemias demostran que a prevención non só é máis eficaz que o tratamento, senón que tamén ten un custo inferior. Como mostra a práctica moderna, as epidemias informáticas non son unha excepción. Evitar a infección da rede dunha empresa é moito máis barato que pagar un rescate aos extorsionadores e pagar unha compensación aos contratistas polas obrigas incumpridas.
Recientemente para obter un programa de descifrado para os seus datos. A esta cantidade habería que engadir as perdas por non dispoñibilidade de servizos e danos á reputación. Unha simple comparación dos resultados obtidos co custo dunha solución de seguridade moderna permítenos extraer unha conclusión inequívoca: previr ameazas á seguridade da información non é o caso onde se xustifica o aforro. As consecuencias dun ciberataque exitoso custarán á empresa moito máis.
Fonte: www.habr.com