A perigosa infecção que se espalhou por todos os países deixou de ser a notícia número um nos meios de comunicação social. No entanto, a realidade da ameaça continua a atrair a atenção das pessoas, da qual os cibercriminosos tiram partido com sucesso. De acordo com a Trend Micro, o tema do coronavírus nas campanhas cibernéticas ainda lidera por ampla margem. Neste post falaremos sobre a situação atual e também compartilharemos nossa visão sobre a prevenção das atuais ameaças cibernéticas.
ESTATÍSTICAS
Mapa de vetores de distribuição usados pelas campanhas da marca COVID-19. Fonte: Trend Micro
A principal ferramenta dos cibercriminosos continua a ser o envio de spam e, apesar dos avisos das agências governamentais, os cidadãos continuam a abrir anexos e a clicar em links de e-mails fraudulentos, contribuindo para uma maior propagação da ameaça. O medo de contrair uma infecção perigosa leva ao facto de, além da pandemia de COVID-19, termos de lidar com uma ciberpandemia – toda uma família de ameaças cibernéticas de “coronavírus”.
A distribuição de usuários que seguiram links maliciosos parece bastante lógica:
Distribuição por país dos usuários que abriram um link malicioso de um e-mail entre janeiro e maio de 2020. Fonte: Trend Micro
Em primeiro lugar, por ampla margem, estão os usuários dos Estados Unidos, onde no momento da redação deste post havia quase 5 milhões de casos. A Rússia, que é também um dos países líderes em termos de casos de COVID-19, também ficou entre os cinco primeiros em termos de número de cidadãos especialmente crédulos.
Pandemia de ataque cibernético
Os principais temas que os cibercriminosos utilizam em e-mails fraudulentos são atrasos na entrega devido à pandemia e notificações relacionadas ao coronavírus do Ministério da Saúde ou da Organização Mundial da Saúde.
Os dois tópicos mais populares para e-mails fraudulentos. Fonte: Trend Micro
Na maioria das vezes, o Emotet, um ransomware ransomware que apareceu em 2014, é usado como uma “carga útil” nessas cartas. A reformulação da marca Covid ajudou os operadores de malware a aumentar a lucratividade de suas campanhas.
O seguinte também pode ser observado no arsenal dos golpistas da Covid:
- sites governamentais falsos para coletar dados de cartões bancários e informações pessoais,
- sites informantes sobre a disseminação do COVID-19,
- portais falsos da Organização Mundial da Saúde e dos Centros de Controle de Doenças,
- espiões e bloqueadores móveis disfarçados de programas úteis para informar sobre infecções.
Prevenindo ataques
Num sentido global, a estratégia para lidar com uma ciberpandemia é semelhante à estratégia utilizada para combater infecções convencionais:
- detecção,
- resposta,
- prevenção,
- previsão.
É óbvio que o problema só poderá ser ultrapassado através da implementação de um conjunto de medidas orientadas a longo prazo. A prevenção deve ser a base da lista de medidas.
Tal como para se proteger contra a COVID-19, recomenda-se manter distância, lavar as mãos, desinfetar compras e usar máscaras, sistemas de monitorização de ataques de phishing, bem como ferramentas de prevenção e controlo de intrusões, podem ajudar a eliminar a possibilidade de um ataque cibernético bem-sucedido. .
O problema com essas ferramentas é um grande número de falsos positivos, que exigem enormes recursos para serem processados. O número de notificações sobre eventos falsos positivos pode ser reduzido significativamente usando mecanismos básicos de segurança - antivírus convencionais, ferramentas de controle de aplicativos e avaliações de reputação de sites. Neste caso, o departamento de segurança poderá estar atento a novas ameaças, uma vez que os ataques conhecidos serão bloqueados automaticamente. Essa abordagem permite distribuir uniformemente a carga e manter um equilíbrio entre eficiência e segurança.
Rastrear a fonte da infecção é importante durante uma pandemia. Da mesma forma, identificar o ponto de partida da implementação das ameaças durante os ataques cibernéticos permite-nos garantir sistematicamente a proteção do perímetro da empresa. Para garantir a segurança em todos os pontos de entrada dos sistemas de TI, são utilizadas ferramentas da classe EDR (Endpoint Detection and Response). Ao registrar tudo o que acontece nos endpoints da rede, eles permitem restaurar a cronologia de qualquer ataque e descobrir qual nó foi utilizado pelos cibercriminosos para penetrar no sistema e se espalhar pela rede.
A desvantagem do EDR é um grande número de alertas não relacionados de diferentes fontes – servidores, equipamentos de rede, infraestrutura em nuvem e e-mail. Pesquisar dados díspares é um processo manual trabalhoso que pode levar à perda de algo importante.
XDR como uma vacina cibernética
A tecnologia XDR, que é um desenvolvimento do EDR, foi projetada para resolver problemas associados a um grande número de alertas. O “X” nesta sigla significa qualquer objeto de infraestrutura ao qual a tecnologia de detecção pode ser aplicada: correio, rede, servidores, serviços em nuvem e bancos de dados. Ao contrário do EDR, a informação recolhida não é simplesmente transferida para o SIEM, mas sim recolhida num armazenamento universal, no qual é sistematizada e analisada através de tecnologias de Big Data.
Diagrama de blocos de interação entre XDR e outras soluções Trend Micro
Essa abordagem, comparada ao simples acúmulo de informações, permite detectar mais ameaças usando não apenas dados internos, mas também um banco de dados global de ameaças. Além disso, quanto mais dados forem recolhidos, mais rapidamente serão identificadas as ameaças e maior será a precisão dos alertas.
O uso de inteligência artificial permite minimizar o número de alertas, pois o XDR gera alertas de alta prioridade enriquecidos com amplo contexto. Como resultado, os analistas de SOC conseguem se concentrar em notificações que exigem ação imediata, em vez de revisar manualmente cada mensagem para determinar relacionamentos e contexto. Isto melhorará significativamente a qualidade das previsões de futuros ataques cibernéticos, o que afeta diretamente a eficácia da luta contra a ciberpandemia.
A previsão precisa é obtida através da coleta e correlação de diferentes tipos de dados de detecção e atividade dos sensores da Trend Micro instalados em diferentes níveis da organização – endpoints, dispositivos de rede, e-mail e infraestrutura em nuvem.
A utilização de uma plataforma única simplifica muito o trabalho do serviço de segurança da informação, pois recebe uma lista de alertas estruturada e priorizada, funcionando com uma janela única para apresentação de eventos. A rápida identificação de ameaças permite responder rapidamente a elas e minimizar suas consequências.
Nossas recomendações
Séculos de experiência no combate a epidemias mostram que a prevenção não só é mais eficaz que o tratamento, como também tem um custo menor. Como mostra a prática moderna, as epidemias informáticas não são exceção. Prevenir a infecção da rede de uma empresa é muito mais barato do que pagar um resgate a extorsionistas e pagar aos empreiteiros uma compensação por obrigações não cumpridas.
Mais recentemente, para obter um programa descriptografador para seus dados. A este montante devem ser adicionadas perdas por indisponibilidade de serviços e danos à reputação. Uma simples comparação dos resultados obtidos com o custo de uma solução de segurança moderna permite-nos tirar uma conclusão inequívoca: prevenir ameaças à segurança da informação não é o caso quando as poupanças se justificam. As consequências de um ataque cibernético bem-sucedido custarão significativamente mais à empresa.
Fonte: habr.com