A veszélyes fertőzés, amely minden országban végigsöpört, megszűnt a média első számú híre lenni. A fenyegetés valósága azonban továbbra is felkelti az emberek figyelmét, amit a kiberbűnözők sikeresen kihasználnak. A Trend Micro szerint a koronavírus témája a kiberkampányokban továbbra is nagy fölénnyel vezet. Ebben a bejegyzésben a jelenlegi helyzetről fogunk beszélni, és megosztjuk a véleményünket a jelenlegi kiberfenyegetések megelőzésével kapcsolatban.
Néhány statisztika
A COVID-19 márkajelzéssel ellátott kampányok által használt eloszlási vektorok térképe. Forrás: Trend Micro
A kiberbűnözők fő eszköze továbbra is a kéretlen levelek, és a kormányhivatalok figyelmeztetései ellenére az állampolgárok továbbra is megnyitják a csalárd e-mailekben található mellékleteket és kattintanak a linkekre, ezzel is hozzájárulva a fenyegetés további terjedéséhez. A veszélyes fertőzéstől való félelem oda vezet, hogy a COVID-19 világjárvány mellett egy kiberpandémiával is meg kell küzdenünk – a „koronavírus” kiberfenyegetések egész családjával.
A rosszindulatú linkeket követő felhasználók megoszlása meglehetősen logikusnak tűnik:
Azon felhasználók országonkénti megoszlása, akik rosszindulatú linket nyitottak meg egy e-mailből 2020. január-májusban. Forrás: Trend Micro
Az első helyen nagy különbséggel az Egyesült Államokból származó felhasználók állnak, ahol a bejegyzés írásakor közel 5 millió eset volt. Oroszország, amely a COVID-19-es esetek tekintetében is az egyik vezető ország, a különösen hiszékeny állampolgárok számát tekintve is az első ötbe került.
Kibertámadás világjárvány
A kiberbűnözők által a csalárd e-mailekben használt fő témák a világjárvány és a koronavírussal kapcsolatos egészségügyi minisztérium vagy az Egészségügyi Világszervezet értesítései miatti kézbesítési késések.
A csaló e-mailek két legnépszerűbb témája. Forrás: Trend Micro
Leggyakrabban az Emotet, egy ransomware ransomware-t, amely még 2014-ben jelent meg, „hasznos teherként” használják az ilyen levelekben. A Covid márkaváltás segített a rosszindulatú programok üzemeltetőinek növelni kampányaik jövedelmezőségét.
A Covid csalók arzenáljában a következők is megjegyezhetők:
- hamis kormányzati webhelyek bankkártyaadatok és személyes adatok gyűjtésére,
- informátor oldalak a COVID-19 terjedéséről,
- az Egészségügyi Világszervezet és a Betegségellenőrzési Központok hamis portáljai,
- mobil kémek és blokkolók, amelyek hasznos programoknak álcázzák magukat a fertőzésekről való tájékoztatás érdekében.
A támadások megelőzése
Globális értelemben a kiberpandémia kezelésének stratégiája hasonló a hagyományos fertőzések leküzdésére használt stratégiához:
- érzékelés,
- válasz,
- megelőzés,
- előrejelzés.
Nyilvánvaló, hogy a probléma csak egy hosszú távú intézkedéscsomag végrehajtásával oldható meg. Az intézkedések listájának a megelőzésnek kell alapulnia.
A COVID-19 elleni védekezéshez hasonlóan ajánlott a távolságtartás, a kézmosás, a vásárlások fertőtlenítése és a maszk viselése, az adathalász támadások ellenőrző rendszerei, valamint a behatolásgátló és -ellenőrző eszközök segíthetnek a sikeres kibertámadás lehetőségének kiküszöbölésében. .
Az ilyen eszközökkel kapcsolatos probléma a téves pozitív eredmények nagy száma, amelyek feldolgozása hatalmas erőforrásokat igényel. A hamis pozitív eseményekről szóló értesítések száma jelentősen csökkenthető alapvető biztonsági mechanizmusok – hagyományos vírusirtó, alkalmazásvezérlő eszközök és a webhely hírnevének felmérése – használatával. Ebben az esetben a biztonsági osztály képes lesz figyelni az új fenyegetésekre, mivel az ismert támadások automatikusan blokkolva lesznek. Ez a megközelítés lehetővé teszi a terhelés egyenletes elosztását és a hatékonyság és a biztonság egyensúlyának fenntartását.
Világjárvány idején fontos a fertőzés forrásának felkutatása. Hasonlóképpen, a kibertámadások során a fenyegetés megvalósításának kiindulópontjának azonosítása lehetővé teszi számunkra, hogy szisztematikusan biztosítsuk a vállalat határának védelmét. Az informatikai rendszerek minden belépési pontján a biztonság biztosítása érdekében EDR (végpontészlelés és válasz) osztályú eszközöket használnak. A hálózat végpontjain történõ események rögzítésével visszaállíthatja a támadások kronológiáját, és megtudhatja, melyik csomópontot használták a kiberbûnözõk a rendszerbe való behatoláshoz és a hálózaton való elterjedéshez.
Az EDR hátránya a különböző forrásokból – szerverekről, hálózati berendezésekről, felhőinfrastruktúráról és e-mailekből – származó, nem kapcsolódó riasztások nagy száma. Az eltérő adatok kutatása munkaigényes manuális folyamat, amely valami fontos kihagyásához vezethet.
XDR mint kiberoltás
Az XDR technológiát, amely az EDR továbbfejlesztése, úgy tervezték, hogy megoldja a nagyszámú riasztással kapcsolatos problémákat. Az "X" ebben a mozaikszóban minden olyan infrastruktúra-objektumot jelöl, amelyre az észlelési technológia alkalmazható: levelezés, hálózat, szerverek, felhőszolgáltatások és adatbázisok. Az EDR-től eltérően az összegyűjtött információk nem egyszerűen átkerülnek a SIEM-be, hanem egy univerzális tárolóba gyűjtik, ahol Big Data technológiák segítségével rendszerezik és elemzik.
Az XDR és más Trend Micro megoldások közötti interakció blokkdiagramja
Ez a megközelítés az információk egyszerű felhalmozásához képest több fenyegetés észlelését teszi lehetővé nemcsak belső adatok, hanem globális fenyegetés-adatbázis használatával is. Ezenkívül minél több adatot gyűjtenek össze, annál gyorsabban azonosítják a fenyegetéseket, és annál pontosabbak a riasztások.
A mesterséges intelligencia használata lehetővé teszi a riasztások számának minimalizálását, mivel az XDR magas prioritású riasztásokat generál széles kontextussal gazdagítva. Ennek eredményeként az SOC elemzői az azonnali cselekvést igénylő értesítésekre tudnak összpontosítani, ahelyett, hogy manuálisan ellenőriznék az egyes üzeneteket a kapcsolatok és a kontextus meghatározása érdekében. Ez jelentősen javítja a jövőbeli kibertámadásokra vonatkozó előrejelzések minőségét, ami közvetlenül befolyásolja a kiberjárvány elleni küzdelem hatékonyságát.
A pontos előrejelzés a szervezet különböző szintjein – végpontokon, hálózati eszközökön, e-mailben és felhő infrastruktúrában – telepített Trend Micro érzékelők különböző típusú észlelési és tevékenységi adatainak összegyűjtésével és korrelációjával érhető el.
Egyetlen platform használata nagymértékben leegyszerűsíti az információbiztonsági szolgálat munkáját, mivel strukturált és priorizált riasztáslistát kap, egyetlen ablakkal dolgozik az események bemutatására. A fenyegetések gyors azonosítása lehetővé teszi az azokra való gyors reagálást és a következményeik minimalizálását.
Ajánlásaink
A járványok elleni küzdelem több évszázados tapasztalata azt mutatja, hogy a megelőzés nemcsak hatékonyabb, mint a kezelés, de költsége is alacsonyabb. Amint azt a modern gyakorlat mutatja, a számítógépes járványok sem kivételek. Egy cég hálózatának megfertőződésének megelőzése sokkal olcsóbb, mint váltságdíjat fizetni a zsarolóknak és kártérítést fizetni a vállalkozóknak a nem teljesített kötelezettségekért.
Nemrég hogy kapjon egy visszafejtő programot az adataihoz. Ehhez az összeghez hozzá kell adni a szolgáltatások elérhetetlenségéből és a jó hírnévből eredő károkat. A kapott eredmények egyszerű összehasonlítása egy modern biztonsági megoldás költségeivel egyértelmű következtetést von le: az információbiztonsági fenyegetések megelőzése nem az a helyzet, ahol a megtakarítás indokolt. A sikeres kibertámadás következményei lényegesen többe kerülnek a cégnek.
Forrás: will.com