Niebezpieczna infekcja, która ogarnęła wszystkie kraje, przestała być tematem numer jeden w mediach. Jednak rzeczywistość zagrożenia w dalszym ciągu przyciąga uwagę ludzi, co cyberprzestępcy skutecznie wykorzystują. Według Trend Micro temat koronaawirusa w kampaniach cybernetycznych nadal z dużą przewagą przoduje. W tym poście omówimy obecną sytuację, a także podzielimy się naszym poglądem na temat zapobiegania obecnym zagrożeniom cybernetycznym.
Niektóre statystyki
Mapa wektorów dystrybucji wykorzystywanych w kampaniach brandingowych związanych z COVID-19. Źródło: Trend Micro
Głównym narzędziem cyberprzestępców w dalszym ciągu są przesyłki spamowe i pomimo ostrzeżeń ze strony agencji rządowych obywatele w dalszym ciągu otwierają załączniki i klikają łącza w fałszywych wiadomościach e-mail, przyczyniając się do dalszego rozprzestrzeniania się zagrożenia. Strach przed zarażeniem się niebezpieczną infekcją sprawia, że oprócz pandemii Covid-19 mamy do czynienia z cyberpandemią – całą rodziną cyberzagrożeń typu „koronawirus”.
Rozkład użytkowników, którzy skorzystali ze złośliwych linków, wygląda całkiem logicznie:
Rozkład według krajów użytkowników, którzy otworzyli szkodliwy link z wiadomości e-mail w okresie styczeń–maj 2020 r. Źródło: Trend Micro
Na pierwszym miejscu ze zdecydowaną przewagą znajdują się użytkownicy ze Stanów Zjednoczonych, gdzie w chwili pisania tego posta było prawie 5 milionów przypadków. Rosja, będąca jednocześnie jednym z czołowych krajów pod względem liczby przypadków Covid-19, znalazła się także w pierwszej piątce pod względem liczby szczególnie naiwnych obywateli.
Pandemia ataku cybernetycznego
Głównymi tematami wykorzystywanymi przez cyberprzestępców w fałszywych e-mailach są opóźnienia w dostawie spowodowane pandemią oraz powiadomienia związane z koronawirusem z Ministerstwa Zdrowia lub Światowej Organizacji Zdrowia.
Dwa najpopularniejsze tematy fałszywych wiadomości e-mail. Źródło: Trend Micro
Najczęściej Emotet, oprogramowanie ransomware typu ransomware, które pojawiło się w 2014 roku, jest wykorzystywane jako „ładunek” w takich listach. Rebranding Covida pomógł operatorom złośliwego oprogramowania zwiększyć rentowność ich kampanii.
W arsenale oszustów Covid można również zauważyć:
- fałszywe strony rządowe służące do zbierania danych kart bankowych i danych osobowych,
- strony informacyjne na temat rozprzestrzeniania się Covid-19,
- fałszywe portale Światowej Organizacji Zdrowia i Centrów Kontroli Chorób,
- mobilni szpiedzy i programy blokujące udające przydatne programy informujące o infekcjach.
Zapobieganie atakom
W sensie globalnym strategia radzenia sobie z cyberpandemią jest podobna do strategii stosowanej w walce z konwencjonalnymi infekcjami:
- wykrycie,
- odpowiedź,
- zapobieganie,
- prognozowanie.
Oczywiste jest, że problem można przezwyciężyć jedynie poprzez wdrożenie zestawu działań nastawionych na dłuższą metę. Podstawą listy środków powinna być profilaktyka.
Aby chronić się przed Covid-19, zaleca się zachowanie dystansu, mycie rąk, dezynfekcję zakupów i noszenie maseczek, systemy monitorowania ataków phishingowych, a także narzędzia zapobiegania i kontroli włamań, mogą pomóc wyeliminować możliwość udanego cyberataku .
Problemem takich narzędzi jest duża liczba fałszywych alarmów, których przetworzenie wymaga ogromnych zasobów. Liczbę powiadomień o zdarzeniach fałszywie pozytywnych można znacznie zmniejszyć stosując podstawowe mechanizmy bezpieczeństwa – konwencjonalne programy antywirusowe, narzędzia kontroli aplikacji i ocenę reputacji witryn. W takim przypadku dział bezpieczeństwa będzie mógł zwrócić uwagę na nowe zagrożenia, ponieważ znane ataki zostaną automatycznie zablokowane. Takie podejście pozwala równomiernie rozłożyć obciążenie i zachować równowagę wydajności i bezpieczeństwa.
Śledzenie źródła infekcji jest ważne w czasie pandemii. Podobnie identyfikacja punktu początkowego wdrożenia zagrożenia podczas cyberataków pozwala nam systematycznie zapewniać ochronę na terenie firmy. Aby zapewnić bezpieczeństwo na wszystkich punktach wejścia do systemów informatycznych, wykorzystywane są narzędzia klasy EDR (Endpoint Detection and Response). Rejestrując wszystko, co dzieje się na punktach końcowych sieci, pozwalają odtworzyć chronologię każdego ataku i dowiedzieć się, który węzeł został wykorzystany przez cyberprzestępców do penetracji systemu i rozprzestrzeniania się w sieci.
Wadą EDR jest duża liczba niepowiązanych ze sobą alertów z różnych źródeł – serwerów, sprzętu sieciowego, infrastruktury chmurowej i poczty elektronicznej. Badanie rozbieżnych danych to pracochłonny, ręczny proces, który może prowadzić do przeoczenia czegoś ważnego.
XDR jako cyberszczepionka
Technologia XDR, będąca rozwinięciem EDR, ma za zadanie rozwiązywać problemy związane z dużą liczbą alertów. „X” w tym akronimie oznacza dowolny obiekt infrastruktury, do którego można zastosować technologię wykrywania: pocztę, sieć, serwery, usługi w chmurze i bazy danych. W przeciwieństwie do EDR, zebrane informacje nie są po prostu przekazywane do SIEM, ale gromadzone w uniwersalnym magazynie, w którym są systematyzowane i analizowane z wykorzystaniem technologii Big Data.
Schemat blokowy interakcji XDR z innymi rozwiązaniami Trend Micro
Takie podejście, w porównaniu do zwykłego gromadzenia informacji, pozwala wykryć więcej zagrożeń, wykorzystując nie tylko dane wewnętrzne, ale także globalną bazę danych zagrożeń. Co więcej, im więcej zebranych danych, tym szybciej zostaną zidentyfikowane zagrożenia i tym większa trafność alertów.
Zastosowanie sztucznej inteligencji pozwala zminimalizować liczbę alertów, gdyż XDR generuje alerty o wysokim priorytecie, wzbogacone o szeroki kontekst. W rezultacie analitycy SOC mogą skoncentrować się na powiadomieniach wymagających natychmiastowego działania, zamiast ręcznie przeglądać każdą wiadomość w celu określenia powiązań i kontekstu. Znacząco poprawi to jakość prognoz przyszłych cyberataków, co bezpośrednio wpływa na skuteczność walki z cyberpandemią.
Dokładne prognozowanie osiąga się poprzez gromadzenie i korelowanie różnych typów danych dotyczących wykrywania i aktywności z czujników Trend Micro zainstalowanych na różnych poziomach organizacji – punktach końcowych, urządzeniach sieciowych, infrastrukturze poczty elektronicznej i chmurze.
Korzystanie z jednej platformy znacznie upraszcza pracę służby bezpieczeństwa informacji, ponieważ otrzymuje ona uporządkowaną i uporządkowaną listę alertów, działając w jednym oknie do prezentacji zdarzeń. Szybka identyfikacja zagrożeń pozwala na szybką reakcję na nie i minimalizację ich skutków.
Nasze rekomendacje
Wielowiekowe doświadczenia w zwalczaniu epidemii pokazują, że zapobieganie jest nie tylko skuteczniejsze niż leczenie, ale także wiąże się z niższymi kosztami. Jak pokazuje współczesna praktyka, epidemie komputerowe nie są wyjątkiem. Zapobieganie infekcji sieci firmowej jest znacznie tańsze niż płacenie okupu szantażystom i wypłacanie kontrahentom odszkodowań za niespełnione zobowiązania.
Ostatnio aby uzyskać program deszyfrujący Twoje dane. Do tej kwoty należy dodać straty wynikające z niedostępności usług i utratę reputacji. Proste porównanie uzyskanych wyników z kosztem nowoczesnego rozwiązania bezpieczeństwa pozwala wyciągnąć jednoznaczny wniosek: zapobieganie zagrożeniom bezpieczeństwa informacji nie ma miejsca tam, gdzie oszczędności są uzasadnione. Konsekwencje udanego cyberataku będą kosztować firmę znacznie więcej.
Źródło: www.habr.com