Pavojinga infekcija, apėmusi visas šalis, nustojo būti žiniasklaidoje svarbiausia naujiena. Tačiau grėsmės realybė ir toliau traukia žmonių dėmesį, kuo kibernetiniai nusikaltėliai sėkmingai naudojasi. „Trend Micro“ teigimu, koronaviruso tema kibernetinėse kampanijose vis dar pirmauja. Šiame įraše kalbėsime apie esamą situaciją, taip pat pasidalinsime savo nuomone apie esamų kibernetinių grėsmių prevenciją.
Kai kurie statistiniai duomenys
COVID-19 prekės ženklo kampanijose naudojamų platinimo vektorių žemėlapis. Šaltinis: Trend Micro
Pagrindinis kibernetinių nusikaltėlių įrankis ir toliau yra šlamšto laiškai, o nepaisant vyriausybinių agentūrų įspėjimų, piliečiai ir toliau atidaro priedus ir spaudžia nuorodas apgaulinguose el. laiškuose, taip prisidedant prie tolesnio grėsmės plitimo. Baimė užsikrėsti pavojinga infekcija lemia tai, kad, be COVID-19 pandemijos, turime susidurti su kiberpandemija – visa „koronaviruso“ kibernetinių grėsmių šeima.
Naudotojų, kurie sekė kenkėjiškas nuorodas, pasiskirstymas atrodo gana logiškas:
Naudotojų, kurie 2020 m. sausio–gegužės mėn. atidarė kenkėjišką nuorodą iš el. laiško, pasiskirstymas pagal šalį. Šaltinis: Trend Micro
Pirmoje vietoje plačiu skirtumu yra vartotojai iš JAV, kur šio įrašo rašymo metu buvo beveik 5 milijonai atvejų. Rusija, kuri taip pat yra viena iš pirmaujančių šalių pagal COVID-19 atvejus, taip pat pateko į penketuką pagal ypač patiklių piliečių skaičių.
Kibernetinės atakos pandemija
Pagrindinės temos, kurias kibernetiniai nusikaltėliai naudoja apgaulinguose el. laiškuose, yra pristatymo vėlavimas dėl pandemijos ir su koronavirusu susijusių pranešimų iš Sveikatos apsaugos ministerijos arba Pasaulio sveikatos organizacijos.
Dvi populiariausios sukčių el. laiškų temos. Šaltinis: Trend Micro
Dažniausiai tokiuose laiškuose kaip „naudingoji apkrova“ naudojama Emotet – išpirkos reikalaujanti išpirkos programa, kuri pasirodė dar 2014 m. „Covid“ prekės ženklo keitimas padėjo kenkėjiškų programų operatoriams padidinti savo kampanijų pelningumą.
„Covid“ sukčių arsenale taip pat galima pastebėti:
- netikros vyriausybės svetainės, kuriose kaupiami banko kortelių duomenys ir asmeninė informacija,
- informavimo svetainės apie COVID-19 plitimą,
- netikri Pasaulio sveikatos organizacijos ir Ligų kontrolės centrų portalai,
- mobilieji šnipai ir blokatoriai, prisidengiantys naudingomis programomis informuoti apie infekcijas.
Išpuolių prevencija
Pasauline prasme kovos su kibernetinės pandemijos strategija yra panaši į strategiją, naudojamą kovojant su įprastomis infekcijomis:
- aptikimas,
- atsakymas,
- prevencija,
- prognozavimas.
Akivaizdu, kad problemą galima įveikti tik įgyvendinus priemonių kompleksą, skirtą ilgalaikiam laikotarpiui. Prevencija turėtų būti priemonių sąrašo pagrindas.
Kaip ir apsisaugoti nuo COVID-19, rekomenduojama laikytis atstumo, plauti rankas, dezinfekuoti pirkinius ir dėvėti kaukes, o apsimetant sukčiavimo atakų stebėjimo sistemos, taip pat įsibrovimų prevencijos ir kontrolės priemonės gali padėti pašalinti sėkmingos kibernetinės atakos galimybę. .
Tokių įrankių problema yra daugybė klaidingų teigiamų rezultatų, kuriems apdoroti reikia didžiulių išteklių. Pranešimų apie klaidingai teigiamus įvykius skaičių galima žymiai sumažinti naudojant pagrindinius saugos mechanizmus – įprastines antivirusines programas, programų valdymo įrankius ir svetainės reputacijos vertinimus. Tokiu atveju saugumo skyrius galės atkreipti dėmesį į naujas grėsmes, nes žinomos atakos bus blokuojamos automatiškai. Šis metodas leidžia tolygiai paskirstyti apkrovą ir išlaikyti efektyvumo bei saugumo balansą.
Pandemijos metu svarbu atsekti infekcijos šaltinį. Taip pat grėsmės įgyvendinimo pradžios taško nustatymas kibernetinių atakų metu leidžia sistemingai užtikrinti įmonės perimetro apsaugą. Siekiant užtikrinti saugumą visuose įėjimo į IT sistemas taškuose, naudojami EDR (Endpoint Detection and Response) klasės įrankiai. Įrašydami viską, kas vyksta tinklo galiniuose taškuose, jie leidžia atkurti bet kokios atakos chronologiją ir sužinoti, kurį mazgą naudojo kibernetiniai nusikaltėliai, kad įsiskverbtų į sistemą ir pasklistų visame tinkle.
EDR trūkumas yra didelis nesusijusių įspėjimų skaičius iš skirtingų šaltinių – serverių, tinklo įrangos, debesų infrastruktūros ir el. Skirtingų duomenų tyrimas yra daug darbo reikalaujantis rankinis procesas, dėl kurio gali nepavykti kažko svarbaus.
XDR kaip kibernetinė vakcina
XDR technologija, kuri yra EDR plėtra, skirta išspręsti problemas, susijusias su daugybe įspėjimų. „X“ šiame akronime reiškia bet kokį infrastruktūros objektą, kuriam galima pritaikyti aptikimo technologiją: paštą, tinklą, serverius, debesų paslaugas ir duomenų bazes. Skirtingai nei EDR, surinkta informacija nėra tiesiog perkeliama į SIEM, o surenkama į universalią saugyklą, kurioje ji sisteminama ir analizuojama naudojant Big Data technologijas.
XDR ir kitų „Trend Micro“ sprendimų sąveikos blokinė schema
Šis metodas, palyginti su tiesiog informacijos kaupimu, leidžia aptikti daugiau grėsmių naudojant ne tik vidinius duomenis, bet ir pasaulinę grėsmių duomenų bazę. Be to, kuo daugiau duomenų bus surinkta, tuo greičiau bus nustatomos grėsmės ir tuo didesnis įspėjimų tikslumas.
Dirbtinio intelekto naudojimas leidžia sumažinti įspėjimų skaičių, nes XDR generuoja aukšto prioriteto įspėjimus, praturtintus plačiu kontekstu. Dėl to SOC analitikai gali sutelkti dėmesį į pranešimus, dėl kurių reikia nedelsiant imtis veiksmų, o ne rankiniu būdu peržiūrėti kiekvieną pranešimą, kad nustatytų ryšius ir kontekstą. Tai žymiai pagerins būsimų kibernetinių atakų prognozių kokybę, o tai tiesiogiai įtakoja kovos su kibernetinė pandemija efektyvumą.
Tikslus prognozavimas pasiekiamas renkant ir koreliuojant skirtingų tipų aptikimo ir veiklos duomenis iš Trend Micro jutiklių, įrengtų skirtinguose organizacijos lygiuose – galiniuose taškuose, tinklo įrenginiuose, el. paštu ir debesų infrastruktūroje.
Vienos platformos naudojimas labai supaprastina informacijos saugos tarnybos darbą, nes ji gauna struktūrizuotą ir prioritetinį įspėjimų sąrašą, dirbdama su vienu įvykių pateikimo lange. Greitas grėsmių atpažinimas leidžia greitai į jas reaguoti ir sumažinti jų pasekmes.
Mūsų rekomendacijos
Šimtmečių patirtis kovojant su epidemijomis rodo, kad prevencija yra ne tik efektyvesnė už gydymą, bet ir pigesnė. Kaip rodo šiuolaikinė praktika, kompiuterių epidemijos nėra išimtis. Užkirsti kelią įmonės tinklo užkrėtimui yra daug pigiau nei mokėti išpirką turto prievartautojams ir mokėti rangovams kompensacijas už neįvykdytus įsipareigojimus.
Neseniai norėdami gauti duomenų iššifravimo programą. Prie šios sumos reikėtų pridėti nuostolius dėl paslaugų neprieinamumo ir žalos reputacijai. Paprastas gautų rezultatų palyginimas su šiuolaikinio saugumo sprendimo kaina leidžia daryti vienareikšmę išvadą: informacijos saugumo grėsmių prevencija nėra tas atvejis, kai taupymas yra pagrįstas. Sėkmingos kibernetinės atakos pasekmės įmonei kainuos žymiai brangiau.
Šaltinis: www.habr.com