Opasna zaraza koja je zahvatila sve zemlje prestala je biti vijest broj jedan u medijima. Međutim, stvarnost prijetnje i dalje privlači pažnju ljudi, što kibernetički kriminalci uspješno iskorištavaju. Prema Trend Microu, tema koronavirusa u cyber kampanjama još uvijek vodi s velikom razlikom. U ovom ćemo postu govoriti o trenutnoj situaciji i također podijeliti svoje viđenje sprječavanja trenutnih cyber prijetnji.
Neke statistike
Karta distribucijskih vektora koje koriste kampanje s markom COVID-19. Izvor: Trend Micro
Glavni alat kibernetičkih kriminalaca i dalje su neželjene pošte, a unatoč upozorenjima državnih agencija, građani i dalje otvaraju privitke i klikaju na poveznice u lažnim e-porukama, doprinoseći daljnjem širenju prijetnje. Strah od zaraze opasnom infekcijom dovodi do toga da se, osim s pandemijom COVID-19, moramo suočiti i s cyberpandemijom – cijelom obitelji cyber prijetnji “koronavirusa”.
Distribucija korisnika koji su slijedili zlonamjerne poveznice izgleda sasvim logično:
Distribucija po zemlji korisnika koji su otvorili zlonamjernu vezu iz e-pošte u razdoblju od siječnja do svibnja 2020. Izvor: Trend Micro
Na prvom mjestu s velikom razlikom su korisnici iz Sjedinjenih Država, gdje je u trenutku pisanja ovog posta bilo gotovo 5 milijuna slučajeva. Rusija, koja je također jedna od vodećih zemalja po broju slučajeva COVID-19, našla se u prvih pet i po broju posebno lakovjernih građana.
Pandemija cyber napada
Glavne teme koje kibernetički kriminalci koriste u lažnim e-porukama su kašnjenja u isporuci zbog pandemije i obavijesti Ministarstva zdravstva ili Svjetske zdravstvene organizacije povezane s koronavirusom.
Dvije najpopularnije teme za prijevarne e-poruke. Izvor: Trend Micro
Najčešće se kao “payload” u takvim pismima koristi Emotet, ransomware ransomware koji se pojavio još 2014. godine. Covid rebranding pomogao je operaterima zlonamjernog softvera povećati profitabilnost svojih kampanja.
U arsenalu Covid prevaranata može se primijetiti i sljedeće:
- lažne vladine web stranice za prikupljanje podataka o bankovnim karticama i osobnih podataka,
- informativne stranice o širenju COVID-19,
- lažni portali Svjetske zdravstvene organizacije i centara za kontrolu bolesti,
- mobilnih špijuna i blokatora koji se maskiraju u korisne programe za informiranje o infekcijama.
Sprječavanje napada
U globalnom smislu, strategija za suočavanje s cyberpandemijom slična je strategiji koja se koristi za borbu protiv konvencionalnih infekcija:
- otkrivanje,
- odgovor,
- prevencija,
- predviđanje.
Očito je da se problem može prevladati samo provođenjem niza dugoročno usmjerenih mjera. Prevencija bi trebala biti temelj popisa mjera.
Baš kao što se za zaštitu od COVID-19 preporučuje održavanje udaljenosti, pranje ruku, dezinfekcija kupljenih proizvoda i nošenje maski, sustavi za praćenje phishing napada, kao i alati za sprječavanje i kontrolu upada, mogu pomoći u uklanjanju mogućnosti uspješnog cyber napada .
Problem kod ovakvih alata je veliki broj lažno pozitivnih rezultata, čija obrada zahtijeva ogromne resurse. Broj obavijesti o lažno pozitivnim događajima može se značajno smanjiti korištenjem osnovnih sigurnosnih mehanizama - konvencionalnih antivirusa, alata za kontrolu aplikacija i procjene reputacije web mjesta. U tom će slučaju odjel za sigurnost moći obratiti pozornost na nove prijetnje jer će se poznati napadi automatski blokirati. Ovaj pristup omogućuje ravnomjernu raspodjelu opterećenja i održavanje ravnoteže učinkovitosti i sigurnosti.
Pronalaženje izvora infekcije važno je tijekom pandemije. Slično tome, identificiranje početne točke implementacije prijetnje tijekom kibernetičkih napada omogućuje nam da sustavno osiguramo zaštitu perimetra tvrtke. Za osiguranje sigurnosti na svim ulaznim točkama u IT sustave koriste se alati klase EDR (Endpoint Detection and Response). Snimajući sve što se događa na krajnjim točkama mreže, omogućuju vam da vratite kronologiju bilo kojeg napada i saznate koji su čvor cyber kriminalci koristili za prodor u sustav i širenje po mreži.
Nedostatak EDR-a je velik broj nepovezanih upozorenja iz različitih izvora – poslužitelja, mrežne opreme, infrastrukture oblaka i e-pošte. Istraživanje različitih podataka je naporan ručni proces koji može dovesti do gubitka nečeg važnog.
XDR kao cyber cjepivo
XDR tehnologija, koja je razvoj EDR-a, dizajnirana je za rješavanje problema povezanih s velikim brojem upozorenja. "X" u ovoj kratici označava bilo koji infrastrukturni objekt na koji se može primijeniti tehnologija detekcije: pošta, mreža, poslužitelji, usluge u oblaku i baze podataka. Za razliku od EDR-a, prikupljene informacije ne prenose se jednostavno u SIEM, već se skupljaju u univerzalnu pohranu, u kojoj se sistematiziraju i analiziraju pomoću Big Data tehnologija.
Blok dijagram interakcije između XDR i drugih Trend Micro rješenja
Ovaj pristup, u usporedbi s jednostavnim prikupljanjem informacija, omogućuje otkrivanje više prijetnji korištenjem ne samo internih podataka, već i globalne baze podataka o prijetnjama. Štoviše, što se više podataka prikupi, prijetnje će se brže prepoznati i točnost upozorenja će biti veća.
Korištenje umjetne inteligencije omogućuje minimiziranje broja upozorenja jer XDR generira upozorenja visokog prioriteta obogaćena širokim kontekstom. Kao rezultat toga, analitičari SOC-a mogu se usredotočiti na obavijesti koje zahtijevaju trenutnu akciju, umjesto da ručno pregledavaju svaku poruku kako bi odredili odnose i kontekst. Time će se značajno poboljšati kvaliteta predviđanja budućih kibernetičkih napada, što izravno utječe na učinkovitost borbe protiv kibernetičke pandemije.
Precizno predviđanje postiže se prikupljanjem i korelacijom različitih vrsta detekcije i podataka o aktivnostima iz Trend Micro senzora instaliranih na različitim razinama unutar organizacije – krajnje točke, mrežni uređaji, e-pošta i infrastruktura u oblaku.
Korištenje jedinstvene platforme uvelike pojednostavljuje rad službe informacijske sigurnosti, budući da dobiva strukturiranu i prioritetiziranu listu upozorenja, radeći s jednim prozorom za prikaz događaja. Brzo prepoznavanje prijetnji omogućuje brzo reagiranje na njih i minimiziranje njihovih posljedica.
Naše preporuke
Stoljetna iskustva u borbi protiv epidemija pokazuju da je prevencija ne samo učinkovitija od liječenja, već ima i nižu cijenu. Kao što pokazuje moderna praksa, računalne epidemije nisu iznimka. Sprječavanje zaraze mreže tvrtke puno je jeftinije od plaćanja otkupnine iznuđivačima i plaćanja kompenzacije izvođačima za neispunjene obveze.
Nedavno da biste dobili program za dešifriranje svojih podataka. Ovom iznosu treba dodati gubitke od nedostupnosti usluga i štetu po ugledu. Jednostavna usporedba dobivenih rezultata s cijenom modernog sigurnosnog rješenja omogućuje nam nedvosmislen zaključak: sprječavanje prijetnji informacijskoj sigurnosti nije slučaj gdje su uštede opravdane. Posljedice uspješnog cyber napada koštat će tvrtku znatno više.
Izvor: www.habr.com