La pericolosa infezione che ha colpito tutti i paesi non è più la notizia più diffusa nei media. Tuttavia, la realtà della minaccia continua ad attirare l'attenzione della gente, di cui i criminali informatici approfittano con successo. Secondo Trend Micro, il tema del coronavirus nelle campagne informatiche è ancora in primo piano con un ampio margine. In questo post parleremo della situazione attuale e condivideremo anche il nostro punto di vista sulla prevenzione delle attuali minacce informatiche.
alcune statistiche
Mappa dei vettori di distribuzione utilizzati dalle campagne a marchio COVID-19. Fonte: TrendMicro
Lo strumento principale dei criminali informatici continua ad essere la posta indesiderata e, nonostante gli avvertimenti delle agenzie governative, i cittadini continuano ad aprire allegati e a fare clic sui collegamenti nelle e-mail fraudolente, contribuendo all’ulteriore diffusione della minaccia. La paura di contrarre un’infezione pericolosa porta al fatto che, oltre alla pandemia di COVID-19, dobbiamo affrontare una cyberpandemia, un’intera famiglia di minacce informatiche “coronavirus”.
La distribuzione degli utenti che hanno seguito collegamenti dannosi sembra abbastanza logica:
Distribuzione per Paese degli utenti che hanno aperto un collegamento dannoso da un'e-mail nel periodo gennaio-maggio 2020. Fonte: TrendMicro
Al primo posto con un ampio margine gli utenti provenienti dagli Stati Uniti, dove al momento della stesura di questo post si contavano quasi 5 milioni di casi. La Russia, che è anche uno dei paesi leader in termini di casi di COVID-19, è stata tra i primi cinque anche in termini di numero di cittadini particolarmente ingenui.
Pandemia di attacchi informatici
Gli argomenti principali che i criminali informatici utilizzano nelle e-mail fraudolente sono i ritardi di consegna dovuti alla pandemia e le notifiche relative al coronavirus da parte del Ministero della Salute o dell'Organizzazione Mondiale della Sanità.
I due argomenti più popolari per le e-mail di truffa. Fonte: TrendMicro
Nella maggior parte dei casi, Emotet, un ransomware apparso nel 2014, viene utilizzato come “carico utile” in tali lettere. Il rebranding del Covid ha aiutato gli operatori di malware ad aumentare la redditività delle loro campagne.
Nell’arsenale dei truffatori Covid si può anche notare quanto segue:
- siti web governativi falsi per raccogliere dati di carte bancarie e informazioni personali,
- siti informativi sulla diffusione del COVID-19,
- portali falsi dell'Organizzazione Mondiale della Sanità e dei Centri per il Controllo delle Malattie,
- spie e bloccanti mobili mascherati da programmi utili per informare sulle infezioni.
Prevenire gli attacchi
In senso globale, la strategia per affrontare una cyberpandemia è simile alla strategia utilizzata per combattere le infezioni convenzionali:
- rilevamento,
- risposta,
- prevenzione,
- previsione.
È ovvio che il problema può essere superato solo attuando una serie di misure mirate a lungo termine. La prevenzione dovrebbe essere la base dell’elenco delle misure.
Proprio come per proteggersi dal COVID-19, si raccomanda di mantenere la distanza, lavarsi le mani, disinfettare gli acquisti e indossare mascherine, i sistemi di monitoraggio degli attacchi di phishing, così come gli strumenti di prevenzione e controllo delle intrusioni, possono aiutare a eliminare la possibilità di un attacco informatico riuscito. .
Il problema con tali strumenti è un gran numero di falsi positivi, che richiedono enormi risorse per essere elaborati. Il numero di notifiche relative a eventi falsi positivi può essere ridotto in modo significativo utilizzando meccanismi di sicurezza di base: antivirus convenzionali, strumenti di controllo delle applicazioni e valutazioni della reputazione del sito. In questo caso il dipartimento di sicurezza potrà prestare attenzione alle nuove minacce, poiché gli attacchi noti verranno bloccati automaticamente. Questo approccio consente di distribuire uniformemente il carico e mantenere un equilibrio tra efficienza e sicurezza.
Rintracciare la fonte dell’infezione è importante durante una pandemia. Allo stesso modo, identificare il punto di partenza dell’implementazione delle minacce durante gli attacchi informatici ci consente di garantire in modo sistematico la protezione del perimetro aziendale. Per garantire la sicurezza in tutti i punti di ingresso nei sistemi IT vengono utilizzati strumenti della classe EDR (Endpoint Detection and Response). Registrando tutto ciò che accade agli endpoint della rete, consentono di ripristinare la cronologia di qualsiasi attacco e scoprire quale nodo è stato utilizzato dai criminali informatici per penetrare nel sistema e diffondersi nella rete.
Lo svantaggio dell'EDR è un gran numero di avvisi non correlati provenienti da diverse fonti: server, apparecchiature di rete, infrastruttura cloud ed e-mail. La ricerca di dati disparati è un processo manuale ad alta intensità di lavoro che può portare a perdere qualcosa di importante.
XDR come vaccino informatico
La tecnologia XDR, che è uno sviluppo di EDR, è progettata per risolvere i problemi associati a un gran numero di avvisi. La "X" in questo acronimo indica qualsiasi oggetto infrastrutturale a cui può essere applicata la tecnologia di rilevamento: posta, rete, server, servizi cloud e database. A differenza dell’EDR, le informazioni raccolte non vengono semplicemente trasferite al SIEM, ma vengono raccolte in un archivio universale, nel quale vengono sistematizzate e analizzate utilizzando le tecnologie Big Data.
Diagramma a blocchi di interazione tra XDR e altre soluzioni Trend Micro
Questo approccio, rispetto al semplice accumulo di informazioni, consente di rilevare più minacce utilizzando non solo dati interni, ma anche un database globale delle minacce. Inoltre, maggiore è la quantità di dati raccolti, più velocemente verranno identificate le minacce e maggiore sarà la precisione degli avvisi.
L'uso dell'intelligenza artificiale consente di ridurre al minimo il numero di avvisi, poiché XDR genera avvisi ad alta priorità arricchiti da un ampio contesto. Di conseguenza, gli analisti SOC sono in grado di concentrarsi sulle notifiche che richiedono un'azione immediata, anziché rivedere manualmente ciascun messaggio per determinarne le relazioni e il contesto. Ciò migliorerà significativamente la qualità delle previsioni dei futuri attacchi informatici, il che influirà direttamente sull’efficacia della lotta contro la pandemia informatica.
Le previsioni accurate si ottengono raccogliendo e correlando diversi tipi di dati di rilevamento e attività provenienti dai sensori Trend Micro installati a diversi livelli all'interno dell'organizzazione: endpoint, dispositivi di rete, e-mail e infrastruttura cloud.
L'utilizzo di un'unica piattaforma semplifica notevolmente il lavoro del servizio di sicurezza informatica, poiché riceve un elenco di avvisi strutturato e prioritario, lavorando con un'unica finestra per la presentazione degli eventi. La rapida identificazione delle minacce consente di rispondere rapidamente e di minimizzarne le conseguenze.
I nostri consigli
Secoli di esperienza nella lotta alle epidemie dimostrano che la prevenzione non solo è più efficace della cura, ma ha anche costi inferiori. Come dimostra la pratica moderna, le epidemie informatiche non fanno eccezione. Prevenire l’infezione della rete di un’azienda è molto più economico che pagare un riscatto agli estorsori e pagare un risarcimento agli appaltatori per gli obblighi non adempiuti.
Più di recente, per ottenere un programma di decrittografia per i tuoi dati. A questo importo vanno aggiunte le perdite derivanti dall'indisponibilità dei servizi e dai danni reputazionali. Un semplice confronto tra i risultati ottenuti e il costo di una moderna soluzione di sicurezza ci consente di trarre una conclusione inequivocabile: prevenire le minacce alla sicurezza informatica non è un caso in cui i risparmi sono giustificati. Le conseguenze di un attacco informatico riuscito costeranno molto di più all’azienda.
Fonte: habr.com