Nebezpečná nákaza, ktorá sa prehnala všetkými krajinami, prestala byť v médiách novinkou číslo jeden. Realita hrozby však naďalej priťahuje pozornosť ľudí, čo kyberzločinci úspešne využívajú. Podľa Trend Micro stále s veľkým náskokom vedie téma koronavírusu v kybernetických kampaniach. V tomto príspevku si povieme o aktuálnej situácii a podelíme sa aj o náš pohľad na predchádzanie aktuálnym kybernetickým hrozbám.
Niektoré štatistiky
Mapa distribučných vektorov používaných značkovými kampaňami COVID-19. Zdroj: Trend Micro
Hlavným nástrojom kyberzločincov sú naďalej spamové korešpondencie a napriek varovaniam vládnych agentúr občania naďalej otvárajú prílohy a klikajú na odkazy v podvodných e-mailoch, čím prispievajú k ďalšiemu šíreniu hrozby. Strach z nákazy nebezpečnou infekciou vedie k tomu, že okrem pandémie COVID-19 musíme čeliť aj kyberpandémii – celej rodine „koronavírusových“ kybernetických hrozieb.
Rozdelenie používateľov, ktorí sledovali škodlivé odkazy, vyzerá celkom logicky:
Distribúcia podľa krajín používateľov, ktorí v januári až máji 2020 otvorili škodlivý odkaz z e-mailu. Zdroj: Trend Micro
Na prvom mieste sú s veľkým náskokom používatelia zo Spojených štátov, kde v čase písania tohto príspevku bolo takmer 5 miliónov prípadov. Rusko, ktoré je tiež jednou z popredných krajín v počte prípadov COVID-19, bolo v prvej päťke aj z hľadiska počtu obzvlášť dôverčivých občanov.
Pandémia kybernetických útokov
Hlavnými témami, ktoré kyberzločinci používajú v podvodných e-mailoch, sú oneskorenia doručenia v dôsledku pandémie a oznámení súvisiacich s koronavírusom od ministerstva zdravotníctva alebo Svetovej zdravotníckej organizácie.
Dve najpopulárnejšie témy pre podvodné e-maily. Zdroj: Trend Micro
Emotet, ransomvérový ransomvér, ktorý sa objavil už v roku 2014, sa v takýchto listoch najčastejšie používa ako „užitočné zaťaženie“. Rebranding Covid pomohol prevádzkovateľom malvéru zvýšiť ziskovosť ich kampaní.
V arzenáli podvodníkov Covid je možné zaznamenať aj nasledovné:
- falošné vládne webové stránky na zhromažďovanie údajov o bankových kartách a osobných údajov,
- informačné stránky o šírení COVID-19,
- falošné portály Svetovej zdravotníckej organizácie a Centra pre kontrolu chorôb,
- mobilných špiónov a blokátorov vydávajúcich sa za užitočné programy na informovanie o infekciách.
Predchádzanie útokom
V globálnom zmysle je stratégia riešenia kyberpandémie podobná stratégii používanej na boj proti konvenčným infekciám:
- detekcia,
- odozva,
- prevencia,
- predpovedanie.
Je zrejmé, že problém je možné prekonať len zavedením súboru opatrení zameraných na dlhodobý horizont. Základom zoznamu opatrení by mala byť prevencia.
Rovnako ako na ochranu pred COVID-19 sa odporúča udržiavať si vzdialenosť, umývať si ruky, dezinfikovať nákupy a nosiť masky, monitorovacie systémy pre phishingové útoky, ako aj nástroje na prevenciu a kontrolu narušenia, môžu pomôcť eliminovať možnosť úspešného kybernetického útoku. .
Problémom takýchto nástrojov je veľké množstvo falošných poplachov, ktorých spracovanie si vyžaduje obrovské zdroje. Počet upozornení na falošne pozitívne udalosti možno výrazne znížiť použitím základných bezpečnostných mechanizmov – konvenčných antivírusov, nástrojov na kontrolu aplikácií a hodnotenia reputácie stránok. V tomto prípade bude bezpečnostné oddelenie schopné venovať pozornosť novým hrozbám, pretože známe útoky budú automaticky blokované. Tento prístup vám umožňuje rovnomerne rozložiť zaťaženie a zachovať rovnováhu účinnosti a bezpečnosti.
Sledovanie zdroja infekcie je dôležité počas pandémie. Podobne identifikácia východiskového bodu implementácie hrozby počas kybernetických útokov nám umožňuje systematicky zabezpečiť ochranu perimetra spoločnosti. Na zaistenie bezpečnosti na všetkých vstupných bodoch do IT systémov sa používajú nástroje triedy EDR (Endpoint Detection and Response). Zaznamenaním všetkého, čo sa deje na koncových bodoch siete, umožňujú obnoviť chronológiu akéhokoľvek útoku a zistiť, ktorý uzol použili kyberzločinci na prienik do systému a šírenie po sieti.
Nevýhodou EDR je veľké množstvo nesúvisiacich upozornení z rôznych zdrojov – serverov, sieťových zariadení, cloudovej infraštruktúry a e-mailov. Skúmanie rôznorodých údajov je manuálny proces náročný na prácu, ktorý môže viesť k tomu, že vám niečo dôležité unikne.
XDR ako kybernetická vakcína
Technológia XDR, ktorá je vývojom EDR, je navrhnutá na riešenie problémov spojených s veľkým počtom upozornení. „X“ v tejto skratke znamená akýkoľvek objekt infraštruktúry, na ktorý možno použiť technológiu detekcie: pošta, sieť, servery, cloudové služby a databázy. Na rozdiel od EDR sa zhromaždené informácie jednoducho neprenášajú do SIEM, ale zhromažďujú sa v univerzálnom úložisku, v ktorom sa systematizujú a analyzujú pomocou technológií veľkých dát.
Bloková schéma interakcie medzi XDR a inými riešeniami Trend Micro
Tento prístup, v porovnaní s jednoduchým zhromažďovaním informácií, vám umožňuje odhaliť viac hrozieb pomocou nielen interných údajov, ale aj globálnej databázy hrozieb. Navyše, čím viac údajov sa zozbiera, tým rýchlejšie budú identifikované hrozby a tým vyššia bude presnosť výstrah.
Použitie umelej inteligencie umožňuje minimalizovať počet upozornení, pretože XDR generuje upozornenia s vysokou prioritou obohatené o široký kontext. Výsledkom je, že analytici SOC sa môžu zamerať na oznámenia, ktoré vyžadujú okamžitú akciu, namiesto toho, aby manuálne kontrolovali každú správu, aby určili vzťahy a kontext. Výrazne sa tak skvalitní predpovede budúcich kybernetických útokov, čo priamo ovplyvňuje efektivitu boja proti kybernetickej pandémii.
Presné predpovedanie sa dosahuje zhromažďovaním a koreláciou rôznych typov údajov o detekcii a aktivite zo senzorov Trend Micro nainštalovaných na rôznych úrovniach v rámci organizácie – koncové body, sieťové zariadenia, e-mail a cloudová infraštruktúra.
Použitie jedinej platformy výrazne zjednodušuje prácu informačnej bezpečnostnej služby, pretože dostáva štruktúrovaný a prioritný zoznam upozornení pracujúcich s jedným oknom na prezentáciu udalostí. Rýchla identifikácia hrozieb umožňuje rýchlo na ne reagovať a minimalizovať ich následky.
Naše odporúčania
Stáročné skúsenosti v boji proti epidémiám ukazujú, že prevencia je nielen efektívnejšia ako liečba, ale má aj nižšie náklady. Ako ukazuje moderná prax, počítačové epidémie nie sú výnimkou. Zabrániť infekcii firemnej siete je oveľa lacnejšie ako platiť výkupné vydieračom a platiť dodávateľom kompenzáciu za nesplnené záväzky.
Len nedávno získať dešifrovací program pre vaše dáta. K tejto sume treba pripočítať straty z nedostupnosti služieb a poškodenie dobrého mena. Jednoduché porovnanie získaných výsledkov s nákladmi na moderné bezpečnostné riešenie nám umožňuje vyvodiť jednoznačný záver: predchádzanie hrozbám informačnej bezpečnosti nie je prípad, keď sú úspory opodstatnené. Následky úspešného kybernetického útoku budú firmu stáť výrazne viac.
Zdroj: hab.com