Den farlige infeksjonen som har skylt over alle land har sluttet å være den første nyhetssaken i media. Trusselens virkelighet fortsetter imidlertid å tiltrekke seg folks oppmerksomhet, noe nettkriminelle med hell drar nytte av. I følge Trend Micro leder temaet koronavirus i cyberkampanjer fortsatt med stor margin. I dette innlegget vil vi snakke om dagens situasjon og også dele vårt syn på å forhindre aktuelle cybertrusler.
Noen statistikk
Kart over distribusjonsvektorer brukt av COVID-19-merkede kampanjer. Kilde: Trend Micro
Hovedverktøyet til nettkriminelle fortsetter å være spam-poster, og til tross for advarsler fra offentlige etater, fortsetter innbyggerne å åpne vedlegg og klikke på lenker i uredelige e-poster, noe som bidrar til ytterligere spredning av trusselen. Frykten for å pådra oss en farlig infeksjon fører til at vi i tillegg til COVID-19-pandemien må håndtere en cyberpandemi - en hel familie av "koronavirus" cybertrusler.
Fordelingen av brukere som fulgte ondsinnede lenker ser ganske logisk ut:
Distribusjon etter land av brukere som åpnet en ondsinnet lenke fra en e-post i januar-mai 2020. Kilde: Trend Micro
På førsteplass med god margin kommer brukere fra USA, hvor det i skrivende stund var nesten 5 millioner tilfeller. Russland, som også er et av de ledende landene når det gjelder COVID-19-tilfeller, var også på topp fem når det gjelder antall spesielt godtroende borgere.
Pandemi av cyberangrep
Hovedemnene som nettkriminelle bruker i falske e-poster er leveringsforsinkelser på grunn av pandemien og koronavirusrelaterte varsler fra helsedepartementet eller Verdens helseorganisasjon.
De to mest populære emnene for svindel-e-poster. Kilde: Trend Micro
Oftest brukes Emotet, en løsepengevare som dukket opp tilbake i 2014, som en "nyttelast" i slike brev. Covid rebranding hjalp skadevareoperatører med å øke lønnsomheten til kampanjene deres.
Følgende kan også noteres i arsenalet av Covid-svindlere:
- falske offentlige nettsteder for å samle inn bankkortdata og personlig informasjon,
- informantsider om spredningen av COVID-19,
- falske portaler til Verdens helseorganisasjon og sentre for sykdomskontroll,
- mobile spioner og blokkere som utgir seg for å være nyttige programmer for å informere om infeksjoner.
Forebygging av angrep
I en global forstand ligner strategien for å håndtere en cyberpandemi strategien som brukes for å bekjempe konvensjonelle infeksjoner:
- gjenkjenning,
- respons,
- forebygging,
- prognoser.
Det er åpenbart at problemet bare kan løses ved å iverksette et sett med langsiktige tiltak. Forebygging bør være grunnlaget for tiltakslisten.
Akkurat som for å beskytte mot COVID-19, anbefales det å holde avstand, vaske hender, desinfisere kjøp og bruke masker, overvåkingssystemer for phishing-angrep, samt verktøy for forebygging av inntrenging og kontroll, kan bidra til å eliminere muligheten for et vellykket cyberangrep .
Problemet med slike verktøy er et stort antall falske positiver, som krever enorme ressurser å behandle. Antallet varsler om falske positive hendelser kan reduseres betraktelig ved å bruke grunnleggende sikkerhetsmekanismer - konvensjonelle antivirus, applikasjonskontrollverktøy og vurderinger av nettstedets omdømme. I dette tilfellet vil sikkerhetsavdelingen kunne ta hensyn til nye trusler, siden kjente angrep vil bli blokkert automatisk. Denne tilnærmingen lar deg fordele belastningen jevnt og opprettholde en balanse mellom effektivitet og sikkerhet.
Å spore smittekilden er viktig under en pandemi. På samme måte lar det å identifisere utgangspunktet for trusselimplementering under cyberangrep oss systematisk sikre beskyttelse av selskapets omkrets. For å sikre sikkerhet ved alle inngangspunkter til IT-systemer, brukes EDR (Endpoint Detection and Response) klasseverktøy. Ved å registrere alt som skjer ved endepunktene til nettverket, lar de deg gjenopprette kronologien til ethvert angrep og finne ut hvilken node som ble brukt av nettkriminelle for å trenge inn i systemet og spre seg over nettverket.
Ulempen med EDR er et stort antall urelaterte varsler fra forskjellige kilder - servere, nettverksutstyr, skyinfrastruktur og e-post. Å forske på ulike data er en arbeidskrevende manuell prosess som kan føre til at noe viktig går glipp av.
XDR som en cybervaksine
XDR-teknologi, som er en utvikling av EDR, er designet for å løse problemer knyttet til et stort antall varsler. "X" i dette akronymet står for ethvert infrastrukturobjekt som deteksjonsteknologi kan brukes på: e-post, nettverk, servere, skytjenester og databaser. I motsetning til EDR, blir den innsamlede informasjonen ikke bare overført til SIEM, men samles inn i et universelt lager, der det systematiseres og analyseres ved hjelp av Big Data-teknologier.
Blokkdiagram over interaksjon mellom XDR og andre Trend Micro-løsninger
Denne tilnærmingen, sammenlignet med bare å samle informasjon, lar deg oppdage flere trusler ved å bruke ikke bare interne data, men også en global trusseldatabase. Dessuten, jo mer data som samles inn, jo raskere vil trusler bli identifisert og jo høyere nøyaktighet på varsler.
Bruken av kunstig intelligens gjør det mulig å minimere antall varsler, da XDR genererer høyprioriterte varsler beriket med bred kontekst. Som et resultat er SOC-analytikere i stand til å fokusere på varsler som krever umiddelbar handling, i stedet for å manuelt gjennomgå hver melding for å bestemme relasjoner og kontekst. Dette vil betydelig forbedre kvaliteten på prognosene for fremtidige cyberangrep, noe som direkte påvirker effektiviteten av kampen mot cyber-pandemien.
Nøyaktig prognose oppnås ved å samle inn og korrelere ulike typer deteksjons- og aktivitetsdata fra Trend Micro-sensorer installert på ulike nivåer i organisasjonen – endepunkter, nettverksenheter, e-post og skyinfrastruktur.
Å bruke en enkelt plattform forenkler arbeidet til informasjonssikkerhetstjenesten betraktelig, siden den mottar en strukturert og prioritert liste over varsler, og arbeider med ett enkelt vindu for å presentere hendelser. Rask identifisering av trusler gjør det mulig å reagere raskt på dem og minimere konsekvensene.
Våre anbefalinger
Flere århundrer med erfaring med å bekjempe epidemier viser at forebygging ikke bare er mer effektiv enn behandling, men også har lavere kostnad. Som moderne praksis viser, er dataepidemier intet unntak. Å forhindre infeksjon av et selskaps nettverk er mye billigere enn å betale løsepenger til utpressere og betale entreprenører kompensasjon for uoppfylte forpliktelser.
Bare nylig for å få et dekrypteringsprogram for dataene dine. Til dette beløpet skal legges tap fra manglende tilgjengelighet av tjenester og skade på omdømmet. En enkel sammenligning av oppnådde resultater med kostnadene for en moderne sikkerhetsløsning lar oss trekke en entydig konklusjon: å forhindre trusler om informasjonssikkerhet er ikke tilfelle der besparelser er berettiget. Konsekvensene av et vellykket cyberangrep vil koste selskapet betydelig mer.
Kilde: www.habr.com