Infecția periculoasă care s-a răspândit în toate țările a încetat să fie știrea numărul unu în mass-media. Cu toate acestea, realitatea amenințării continuă să atragă atenția oamenilor, de care infractorii cibernetici profită cu succes. Potrivit Trend Micro, subiectul coronavirusului în campaniile cibernetice continuă să fie în frunte cu o marjă largă. În această postare, vom vorbi despre situația actuală și, de asemenea, vom împărtăși punctul nostru de vedere cu privire la prevenirea amenințărilor cibernetice actuale.
Unele statistici
Harta vectorilor de distribuție utilizați de campaniile de marcă COVID-19. Sursa: Trend Micro
Instrumentul principal al infractorilor cibernetici continuă să fie e-mailurile de tip spam și, în ciuda avertismentelor din partea agențiilor guvernamentale, cetățenii continuă să deschidă atașamente și să facă clic pe linkuri din e-mailurile frauduloase, contribuind la extinderea în continuare a amenințării. Teama de a contracta o infecție periculoasă duce la faptul că, pe lângă pandemia de COVID-19, avem de a face cu o ciberpandemie - o întreagă familie de amenințări cibernetice „coronavirus”.
Distribuția utilizatorilor care au urmat link-uri rău intenționate pare destul de logică:
Distribuția în funcție de țară a utilizatorilor care au deschis un link rău intenționat dintr-un e-mail în ianuarie-mai 2020. Sursa: Trend Micro
Pe primul loc cu o marjă largă se află utilizatorii din Statele Unite, unde la momentul scrierii acestei postări erau aproape 5 milioane de cazuri. Rusia, care este, de asemenea, una dintre țările lider în ceea ce privește cazurile de COVID-19, a fost, de asemenea, în primele cinci în ceea ce privește numărul de cetățeni deosebit de creduli.
Pandemie de atac cibernetic
Principalele subiecte pe care infractorii cibernetici le folosesc în e-mailurile frauduloase sunt întârzierile de livrare din cauza pandemiei și a notificărilor legate de coronavirus de la Ministerul Sănătății sau Organizația Mondială a Sănătății.
Cele mai populare două subiecte pentru e-mailurile înșelătorii. Sursa: Trend Micro
Cel mai adesea, Emotet, un ransomware ransomware care a apărut în 2014, este folosit ca „sarcină utilă” în astfel de scrisori. Rebrandingul Covid i-a ajutat pe operatorii de programe malware să crească profitabilitatea campaniilor lor.
Următoarele pot fi remarcate și în arsenalul escrocilor Covid:
- site-uri web false ale guvernului pentru a colecta date de card bancar și informații personale,
- site-uri de informare despre răspândirea COVID-19,
- portaluri false ale Organizației Mondiale a Sănătății și ale Centrelor pentru Controlul Bolilor,
- spionii și blocanții de telefonie mobilă care se mascară în programe utile pentru a informa despre infecții.
Prevenirea atacurilor
Într-un sens global, strategia de a face față unei pandemii cibernetice este similară cu strategia utilizată pentru combaterea infecțiilor convenționale:
- detectare,
- raspuns,
- prevenire,
- prognoza.
Este evident că problema poate fi depășită doar prin implementarea unui set de măsuri care vizează pe termen lung. Prevenirea ar trebui să stea la baza listei de măsuri.
La fel ca pentru a proteja împotriva COVID-19, se recomandă menținerea distanței, spălarea mâinilor, dezinfectarea achizițiilor și purtarea măștilor, sistemele de monitorizare a atacurilor de tip phishing, precum și instrumentele de prevenire și control a intruziunilor, pot ajuta la eliminarea posibilității unui atac cibernetic de succes. .
Problema cu astfel de instrumente este un număr mare de fals pozitive, care necesită resurse enorme pentru procesare. Numărul de notificări despre evenimente fals pozitive poate fi redus semnificativ prin utilizarea mecanismelor de securitate de bază - antivirusuri convenționale, instrumente de control al aplicațiilor și evaluări ale reputației site-ului. În acest caz, departamentul de securitate va putea să acorde atenție noilor amenințări, deoarece atacurile cunoscute vor fi blocate automat. Această abordare vă permite să distribuiți uniform sarcina și să mențineți un echilibru între eficiență și siguranță.
Urmărirea sursei infecției este importantă în timpul unei pandemii. În mod similar, identificarea punctului de plecare al implementării amenințărilor în timpul atacurilor cibernetice ne permite să asigurăm sistematic protecția perimetrului companiei. Pentru a asigura securitatea la toate punctele de intrare în sistemele IT, sunt utilizate instrumente de clasă EDR (Endpoint Detection and Response). Înregistrând tot ce se întâmplă la punctele finale ale rețelei, acestea vă permit să restabiliți cronologia oricărui atac și să aflați ce nod a fost folosit de infractorii cibernetici pentru a pătrunde în sistem și a se răspândi în rețea.
Dezavantajul EDR este un număr mare de alerte fără legătură din diferite surse - servere, echipamente de rețea, infrastructură cloud și e-mail. Cercetarea datelor disparate este un proces manual care necesită multă muncă, care poate duce la omiterea a ceva important.
XDR ca vaccin cibernetic
Tehnologia XDR, care este o dezvoltare a EDR, este concepută pentru a rezolva problemele asociate cu un număr mare de alerte. „X” din acest acronim reprezintă orice obiect de infrastructură căruia i se poate aplica tehnologia de detectare: mail, rețea, servere, servicii cloud și baze de date. Spre deosebire de EDR, informațiile colectate nu sunt pur și simplu transferate către SIEM, ci sunt colectate într-un depozit universal, în care sunt sistematizate și analizate folosind tehnologiile Big Data.
Diagrama bloc a interacțiunii dintre XDR și alte soluții Trend Micro
Această abordare, în comparație cu simpla acumulare de informații, vă permite să detectați mai multe amenințări folosind nu numai date interne, ci și o bază de date globală a amenințărilor. Mai mult, cu cât se colectează mai multe date, cu atât amenințările vor fi identificate mai rapid și cu atât acuratețea alertelor va fi mai mare.
Utilizarea inteligenței artificiale face posibilă reducerea la minimum a numărului de alerte, deoarece XDR generează alerte de înaltă prioritate îmbogățite cu un context larg. Ca rezultat, analiștii SOC sunt capabili să se concentreze pe notificările care necesită acțiuni imediate, mai degrabă decât să revizuiască manual fiecare mesaj pentru a determina relațiile și contextul. Acest lucru va îmbunătăți semnificativ calitatea prognozelor privind viitoarele atacuri cibernetice, care afectează direct eficacitatea luptei împotriva pandemiei cibernetice.
Prognoza precisă se realizează prin colectarea și corelarea diferitelor tipuri de date de detectare și activitate de la senzorii Trend Micro instalați la diferite niveluri în cadrul organizației - puncte finale, dispozitive de rețea, e-mail și infrastructură cloud.
Utilizarea unei singure platforme simplifică foarte mult munca serviciului de securitate a informațiilor, deoarece primește o listă structurată și prioritizată de alerte, lucrând cu o singură fereastră pentru prezentarea evenimentelor. Identificarea rapidă a amenințărilor face posibilă răspunderea rapidă la acestea și minimizarea consecințelor acestora.
Recomandările noastre
Experiența de secole în lupta împotriva epidemiei arată că prevenirea este nu numai mai eficientă decât tratamentul, dar are și un cost mai mic. După cum arată practica modernă, epidemiile computerizate nu fac excepție. Prevenirea infectării rețelei unei companii este mult mai ieftină decât plata unei răscumpări către extorsionași și plata despăgubirilor contractorilor pentru obligațiile neîndeplinite.
Cel mai recent pentru a obține un program de decriptare pentru datele dvs. La această sumă ar trebui adăugate pierderile din indisponibilitatea serviciilor și daunele reputației. O simplă comparație a rezultatelor obținute cu costul unei soluții moderne de securitate ne permite să tragem o concluzie fără ambiguitate: prevenirea amenințărilor la securitatea informațiilor nu este cazul în care economiile sunt justificate. Consecințele unui atac cibernetic de succes vor costa compania mult mai mult.
Sursa: www.habr.com