Nevarna okužba, ki je zajela vse države, ni več novica številka ena v medijih. Vendar realnost grožnje še vedno pritegne pozornost ljudi, kar kiberkriminalci uspešno izkoriščajo. Po podatkih družbe Trend Micro tematika koronavirusa v kibernetskih kampanjah še vedno vodi z veliko prednostjo. V tem prispevku bomo govorili o trenutni situaciji in delili tudi naš pogled na preprečevanje trenutnih kibernetskih groženj.
Nekaj statistike
Zemljevid distribucijskih vektorjev, ki jih uporabljajo oglaševalske akcije z blagovno znamko COVID-19. Vir: Trend Micro
Glavno orodje kiberkriminalcev je še naprej nezaželena pošta in državljani kljub opozorilom vladnih agencij še naprej odpirajo priponke in klikajo povezave v goljufivih elektronskih sporočilih, kar prispeva k nadaljnjemu širjenju grožnje. Strah pred okužbo z nevarno okužbo vodi v to, da se moramo poleg pandemije COVID-19 soočiti še s kiberpandemijo – celotno družino »koronavirusnih« kibernetskih groženj.
Porazdelitev uporabnikov, ki so sledili zlonamernim povezavam, je videti precej logična:
Porazdelitev uporabnikov, ki so odprli zlonamerno povezavo iz e-pošte v obdobju januar–maj 2020, po državah. Vir: Trend Micro
Na prvem mestu z veliko prednostjo so uporabniki iz ZDA, kjer je bilo v času pisanja te objave skoraj 5 milijonov primerov. Rusija, ki je tudi ena vodilnih držav po primerih covida-19, se je znašla tudi v prvih petih po številu posebej lahkovernih državljanov.
Pandemija kibernetskih napadov
Glavne teme, ki jih kibernetski kriminalci uporabljajo v goljufivi elektronski pošti, so zamude pri dostavi zaradi pandemije in s koronavirusom povezana obvestila ministrstva za zdravje ali Svetovne zdravstvene organizacije.
Dve najbolj priljubljeni temi za lažna e-poštna sporočila. Vir: Trend Micro
Najpogosteje je Emotet, izsiljevalska programska oprema, ki se je pojavila leta 2014, uporabljena kot »koristni tovor« v takšnih pismih. Prenova blagovne znamke Covid je operaterjem zlonamerne programske opreme pomagala povečati dobičkonosnost njihovih kampanj.
V arzenalu prevarantov Covid je mogoče opaziti tudi naslednje:
- lažna vladna spletna mesta za zbiranje podatkov o bančnih karticah in osebnih podatkov,
- obveščevalna mesta o širjenju COVID-19,
- lažni portali Svetovne zdravstvene organizacije in centrov za nadzor bolezni,
- mobilnih vohunov in blokatorjev, ki se predstavljajo kot uporabni programi za obveščanje o okužbah.
Preprečevanje napadov
V globalnem smislu je strategija za boj proti kiberpandemiji podobna strategiji za boj proti običajnim okužbam:
- odkrivanje,
- odgovor,
- preventiva,
- napovedovanje.
Očitno je, da je problem mogoče premagati le z izvajanjem niza dolgoročno usmerjenih ukrepov. Osnova seznama ukrepov naj bo preventiva.
Tako kot za zaščito pred COVID-19 je priporočljivo vzdrževati razdaljo, umivati roke, razkuževati nakupe in nositi maske, sistemi za spremljanje lažnih napadov ter orodja za preprečevanje in nadzor vdorov lahko pomagajo odpraviti možnost uspešnega kibernetskega napada. .
Težava takšnih orodij je veliko število lažno pozitivnih rezultatov, katerih obdelava zahteva ogromna sredstva. Število obvestil o lažno pozitivnih dogodkih je mogoče bistveno zmanjšati z uporabo osnovnih varnostnih mehanizmov – klasičnih antivirusov, orodij za nadzor aplikacij in ocenjevanja ugleda spletnih mest. V tem primeru bo varnostni oddelek lahko pozoren na nove grožnje, saj bodo znani napadi samodejno blokirani. Ta pristop vam omogoča enakomerno porazdelitev obremenitve in ohranjanje ravnovesja med učinkovitostjo in varnostjo.
Izsleditev vira okužbe je v času pandemije pomembna. Podobno nam določanje izhodišča implementacije grožnje med kibernetskimi napadi omogoča sistematično zagotavljanje zaščite perimetra podjetja. Za zagotavljanje varnosti na vseh vstopnih točkah v IT sisteme se uporabljajo orodja razreda EDR (Endpoint Detection and Response). S snemanjem vsega, kar se dogaja na končnih točkah omrežja, vam omogočajo, da obnovite kronologijo vsakega napada in ugotovite, katero vozlišče so uporabili kibernetski kriminalci za prodor v sistem in širjenje po omrežju.
Slabost EDR je veliko število nepovezanih opozoril iz različnih virov – strežnikov, omrežne opreme, infrastrukture v oblaku in elektronske pošte. Raziskovanje različnih podatkov je delovno intenziven ročni postopek, ki lahko povzroči, da nekaj pomembnega zgrešite.
XDR kot kibernetsko cepivo
Tehnologija XDR, ki je razvoj EDR, je zasnovana za reševanje težav, povezanih z velikim številom opozoril. »X« v tej kratici pomeni kateri koli infrastrukturni objekt, za katerega je mogoče uporabiti tehnologijo zaznavanja: pošta, omrežje, strežniki, storitve v oblaku in baze podatkov. Za razliko od EDR se zbrane informacije ne prenesejo preprosto v SIEM, temveč se zbirajo v univerzalnem pomnilniku, v katerem se sistematizirajo in analizirajo s pomočjo tehnologij Big Data.
Blok diagram interakcije med XDR in drugimi rešitvami Trend Micro
Ta pristop vam v primerjavi s preprostim zbiranjem informacij omogoča odkrivanje več groženj z uporabo ne le notranjih podatkov, temveč tudi globalne baze podatkov o grožnjah. Poleg tega, več kot je zbranih podatkov, hitreje bodo prepoznane grožnje in večja je natančnost opozoril.
Uporaba umetne inteligence omogoča minimiziranje števila opozoril, saj XDR generira visoko prioritetna opozorila, obogatena s širokim kontekstom. Posledično se lahko analitiki SOC osredotočijo na obvestila, ki zahtevajo takojšnje ukrepanje, namesto da bi ročno pregledali vsako sporočilo, da bi ugotovili razmerja in kontekst. To bo bistveno izboljšalo kakovost napovedi prihodnjih kibernetskih napadov, kar neposredno vpliva na učinkovitost boja proti kibernetski pandemiji.
Natančno napovedovanje je doseženo z zbiranjem in povezovanjem različnih vrst podatkov o zaznavanju in dejavnosti iz senzorjev Trend Micro, nameščenih na različnih ravneh znotraj organizacije – končne točke, omrežne naprave, e-pošta in infrastruktura v oblaku.
Uporaba enotne platforme močno poenostavi delo službe za informacijsko varnost, saj prejme strukturiran in prioriteten seznam opozoril, ki deluje z enim oknom za predstavitev dogodkov. Hitro prepoznavanje groženj omogoča hiter odziv nanje in minimiziranje njihovih posledic.
Naša priporočila
Stoletja izkušenj v boju proti epidemijam kažejo, da preventiva ni le učinkovitejša od zdravljenja, ampak ima tudi nižje stroške. Kot kaže sodobna praksa, računalniške epidemije niso izjema. Preprečevanje okužbe omrežja podjetja je veliko ceneje kot plačilo odkupnine izsiljevalcem in plačilo odškodnin izvajalcem za neizpolnjene obveznosti.
Še pred kratkim da dobite program za dešifriranje vaših podatkov. Temu znesku je treba prišteti še izgube zaradi nedostopnosti storitev in škodo ugleda. Preprosta primerjava dobljenih rezultatov s ceno sodobne varnostne rešitve nam omogoča nedvoumen zaključek: preprečevanje groženj informacijski varnosti ni primer, kjer so prihranki upravičeni. Posledice uspešnega kibernetskega napada bodo podjetje stale bistveno več.
Vir: www.habr.com