De gevaarlijke infectie die alle landen heeft overspoeld, is niet langer het belangrijkste nieuwsitem in de media. De realiteit van de dreiging blijft echter de aandacht van mensen trekken, waar cybercriminelen met succes misbruik van maken. Volgens Trend Micro is het onderwerp coronavirus in cybercampagnes nog steeds met ruime voorsprong leidend. In dit bericht zullen we praten over de huidige situatie en ook onze visie delen over het voorkomen van huidige cyberdreigingen.
Sommige statistieken
Kaart met distributievectoren die worden gebruikt door campagnes met het merk COVID-19. Bron: Trend Micro
Het belangrijkste instrument van cybercriminelen zijn nog steeds spammailings, en ondanks waarschuwingen van overheidsinstanties blijven burgers bijlagen openen en op links in frauduleuze e-mails klikken, wat bijdraagt aan de verdere verspreiding van de dreiging. De angst om een gevaarlijke infectie op te lopen leidt ertoe dat we, naast de COVID-19-pandemie, te maken hebben met een cyberpandemie: een hele familie van ‘coronavirus’-cyberdreigingen.
De verdeling van gebruikers die kwaadaardige links volgden ziet er vrij logisch uit:
Verdeling per land van gebruikers die in januari-mei 2020 een kwaadaardige link vanuit een e-mail hebben geopend. Bron: Trend Micro
Met ruime marge staan gebruikers uit de Verenigde Staten op de eerste plaats, waar er op het moment dat dit bericht werd geschreven bijna 5 miljoen gevallen waren. Rusland, dat ook een van de leidende landen is op het gebied van COVID-19-gevallen, stond ook in de top vijf wat betreft het aantal bijzonder goedgelovige burgers.
Cyberaanval pandemie
De belangrijkste onderwerpen die cybercriminelen gebruiken in frauduleuze e-mails zijn vertragingen bij de bezorging als gevolg van de pandemie en coronavirusgerelateerde meldingen van het ministerie van Volksgezondheid of de Wereldgezondheidsorganisatie.
De twee populairste onderwerpen voor oplichtings-e-mails. Bron: Trend Micro
Meestal wordt Emotet, een ransomware-ransomware die in 2014 verscheen, in dergelijke brieven als ‘payload’ gebruikt. De rebranding van Covid hielp malware-exploitanten de winstgevendheid van hun campagnes te vergroten.
In het arsenaal aan Covid-oplichters valt ook het volgende op:
- valse overheidswebsites om bankkaartgegevens en persoonlijke informatie te verzamelen,
- informantensites over de verspreiding van COVID-19,
- valse portalen van de Wereldgezondheidsorganisatie en Centers for Disease Control,
- mobiele spionnen en blokkers die zich voordoen als nuttige programma's om te informeren over infecties.
Aanvallen voorkomen
In mondiale zin is de strategie voor het omgaan met een cyberpandemie vergelijkbaar met de strategie die wordt gebruikt om conventionele infecties te bestrijden:
- detectie,
- antwoord,
- preventie,
- voorspelling.
Het is duidelijk dat het probleem alleen kan worden overwonnen door het implementeren van een reeks maatregelen die op de lange termijn zijn gericht. Preventie moet de basis vormen van de lijst met maatregelen.
Net zoals ter bescherming tegen COVID-19 wordt aanbevolen om afstand te bewaren, handen te wassen, aankopen te desinfecteren en maskers te dragen. Monitoringsystemen voor phishing-aanvallen, evenals inbraakpreventie- en controle-instrumenten, kunnen de mogelijkheid van een succesvolle cyberaanval helpen elimineren. .
Het probleem met dergelijke tools is een groot aantal valse positieven, waarvoor enorme middelen nodig zijn om te verwerken. Het aantal meldingen over vals-positieve gebeurtenissen kan aanzienlijk worden verminderd door gebruik te maken van basisbeveiligingsmechanismen: conventionele antivirusprogramma's, tools voor applicatiecontrole en beoordelingen van de sitereputatie. In dit geval kan de beveiligingsafdeling aandacht besteden aan nieuwe bedreigingen, omdat bekende aanvallen automatisch worden geblokkeerd. Met deze aanpak kunt u de belasting gelijkmatig verdelen en een evenwicht tussen efficiëntie en veiligheid behouden.
Het opsporen van de besmettingsbron is belangrijk tijdens een pandemie. Op dezelfde manier stelt het identificeren van het startpunt van de implementatie van bedreigingen tijdens cyberaanvallen ons in staat om systematisch de bescherming van de perimeter van het bedrijf te garanderen. Om de veiligheid op alle toegangspunten tot IT-systemen te garanderen, worden tools van EDR-klasse (Endpoint Detection and Response) gebruikt. Door alles vast te leggen wat er op de eindpunten van het netwerk gebeurt, kunt u de chronologie van elke aanval herstellen en ontdekken welk knooppunt door cybercriminelen is gebruikt om het systeem binnen te dringen en zich over het netwerk te verspreiden.
Het nadeel van EDR is een groot aantal niet-gerelateerde waarschuwingen uit verschillende bronnen: servers, netwerkapparatuur, cloudinfrastructuur en e-mail. Het onderzoeken van ongelijksoortige gegevens is een arbeidsintensief handmatig proces dat ertoe kan leiden dat u iets belangrijks mist.
XDR als cybervaccin
XDR-technologie, een ontwikkeling van EDR, is ontworpen om problemen op te lossen die verband houden met een groot aantal waarschuwingen. De ‘X’ in dit acroniem staat voor elk infrastructuurobject waarop detectietechnologie kan worden toegepast: mail, netwerk, servers, clouddiensten en databases. In tegenstelling tot EDR wordt de verzamelde informatie niet simpelweg overgebracht naar SIEM, maar verzameld in een universele opslag, waarin deze wordt gesystematiseerd en geanalyseerd met behulp van Big Data-technologieën.
Blokdiagram van de interactie tussen XDR en andere Trend Micro-oplossingen
Met deze aanpak kunt u, vergeleken met het simpelweg verzamelen van informatie, meer bedreigingen detecteren door niet alleen interne gegevens te gebruiken, maar ook een wereldwijde bedreigingsdatabase. Bovendien geldt dat hoe meer gegevens worden verzameld, hoe sneller bedreigingen worden geïdentificeerd en hoe hoger de nauwkeurigheid van waarschuwingen.
Het gebruik van kunstmatige intelligentie maakt het mogelijk om het aantal waarschuwingen te minimaliseren, omdat XDR waarschuwingen met hoge prioriteit genereert, verrijkt met een brede context. Als gevolg hiervan kunnen SOC-analisten zich concentreren op meldingen die onmiddellijke actie vereisen, in plaats van elk bericht handmatig te beoordelen om relaties en context te bepalen. Dit zal de kwaliteit van de voorspellingen over toekomstige cyberaanvallen aanzienlijk verbeteren, wat rechtstreeks van invloed is op de effectiviteit van de strijd tegen de cyberpandemie.
Nauwkeurige prognoses worden bereikt door het verzamelen en correleren van verschillende soorten detectie- en activiteitsgegevens van Trend Micro-sensoren die op verschillende niveaus binnen de organisatie zijn geïnstalleerd: eindpunten, netwerkapparaten, e-mail en cloudinfrastructuur.
Het gebruik van één enkel platform vereenvoudigt het werk van de informatiebeveiligingsdienst aanzienlijk, omdat deze een gestructureerde en geprioriteerde lijst met waarschuwingen ontvangt, waarbij wordt gewerkt met één venster voor het presenteren van gebeurtenissen. Snelle identificatie van bedreigingen maakt het mogelijk om er snel op te reageren en de gevolgen ervan te minimaliseren.
Onze aanbevelingen
Eeuwenlange ervaring met het bestrijden van epidemieën laat zien dat preventie niet alleen effectiever is dan behandeling, maar ook goedkoper is. Zoals de moderne praktijk laat zien, vormen computerepidemieën geen uitzondering. Het voorkomen van infectie van het netwerk van een bedrijf is veel goedkoper dan het betalen van losgeld aan afpersers en het betalen van compensatie aan aannemers voor niet-nagekomen verplichtingen.
Meest recent, om een decryptieprogramma voor uw gegevens te verkrijgen. Bij dit bedrag moeten de verliezen als gevolg van de onbeschikbaarheid van diensten en reputatieschade worden opgeteld. Een eenvoudige vergelijking van de verkregen resultaten met de kosten van een moderne beveiligingsoplossing stelt ons in staat een ondubbelzinnige conclusie te trekken: het voorkomen van bedreigingen voor de informatiebeveiliging is niet het geval als besparingen gerechtvaardigd zijn. De gevolgen van een succesvolle cyberaanval zullen het bedrijf aanzienlijk meer kosten.
Bron: www.habr.com