Опасна инфекција која је захватила све земље престала је да буде вест број један у медијима. Међутим, реалност претње и даље привлачи пажњу људи, што сајбер криминалци успешно користе. Према Тренд Мицро-у, тема коронавируса у сајбер кампањама и даље води са великом разликом. У овом посту ћемо говорити о тренутној ситуацији и такође ћемо поделити наше виђење спречавања актуелних сајбер претњи.
Неке статистике
Мапа вектора дистрибуције које користе кампање са брендом ЦОВИД-19. Извор: Тренд Мицро
Главно оруђе сајбер-криминалаца и даље су нежељене поште, а упркос упозорењима владиних агенција, грађани настављају да отварају прилоге и кликћу на линкове у лажним имејловима, доприносећи даљем ширењу претње. Страх од заразе опасном инфекцијом доводи до тога да, поред пандемије ЦОВИД-19, морамо да се носимо и са сајберпандемијом – читавом породицом сајбер претњи „корона вируса“.
Дистрибуција корисника који су пратили злонамерне везе изгледа сасвим логично:
Дистрибуција према земљи корисника који су отворили злонамерну везу из имејла у периоду јануар-мај 2020. Извор: Тренд Мицро
На првом месту са великом разликом су корисници из Сједињених Држава, где је у време писања овог поста било скоро 5 милиона случајева. У првих пет по броју посебно лаковерних грађана нашла се и Русија, која је и једна од водећих земаља по броју случајева ЦОВИД-19.
Пандемија сајбер напада
Главне теме које сајбер криминалци користе у лажним имејловима су кашњења у испоруци због обавештења Министарства здравља или Светске здравствене организације у вези са пандемијом и коронавирусом.
Две најпопуларније теме за преварантске е-поруке. Извор: Тренд Мицро
Најчешће, Емотет, рансомваре рансомваре који се појавио још 2014. године, користи се као „корисно оптерећење“ у таквим писмима. Ребрендирање Цовид-а је помогло оператерима злонамерног софтвера да повећају профитабилност својих кампања.
У арсеналу Цовид превараната може се приметити и следеће:
- лажне владине веб странице за прикупљање података о банковним картицама и личних података,
- информативни сајтови о ширењу ЦОВИД-19,
- лажни портали Светске здравствене организације и центара за контролу болести,
- мобилни шпијуни и блокери који се маскирају у корисне програме за информисање о инфекцијама.
Спречавање напада
У глобалном смислу, стратегија за суочавање са сајберпандемијом је слична стратегији која се користи за борбу против конвенционалних инфекција:
- откривање,
- одговор,
- превенција,
- прогнозирање.
Очигледно је да се проблем може превазићи само применом скупа дугорочних мера. Превенција треба да буде основа листе мера.
Као за заштиту од ЦОВИД-19, препоручује се одржавање дистанце, прање руку, дезинфекција куповине и ношење маски, системи за праћење фишинг напада, као и алати за превенцију и контролу упада, могу помоћи у отклањању могућности успешног сајбер напада. .
Проблем са таквим алатима је велики број лажних позитивних резултата, који захтевају огромна средства за обраду. Број обавештења о лажно позитивним догађајима може се значајно смањити коришћењем основних безбедносних механизама – конвенционалних антивируса, алата за контролу апликација и процене репутације сајта. У овом случају, одељење безбедности ће моћи да обрати пажњу на нове претње, пошто ће познати напади бити аутоматски блокирани. Овај приступ вам омогућава да равномерно распоредите оптерећење и одржите равнотежу ефикасности и сигурности.
Праћење извора инфекције је важно током пандемије. Слично томе, идентификовање почетне тачке имплементације претњи током сајбер напада омогућава нам да систематски обезбедимо заштиту периметра компаније. Да би се осигурала сигурност на свим улазним тачкама у ИТ системе, користе се алати класе ЕДР (Детекција и одговор крајњих тачака). Снимајући све што се дешава на крајњим тачкама мреже, они вам омогућавају да вратите хронологију било ког напада и сазнате који чвор су користили сајбер криминалци да продру у систем и да се прошири широм мреже.
Недостатак ЕДР-а је велики број неповезаних упозорења из различитих извора – сервера, мрежне опреме, инфраструктуре облака и е-поште. Истраживање различитих података је ручно интензиван процес који може довести до пропуштања нечег важног.
КСДР као сајбер вакцина
КСДР технологија, која је развој ЕДР-а, дизајнирана је за решавање проблема повезаних са великим бројем упозорења. „Кс“ у овој акрониму означава било који инфраструктурни објекат на који се може применити технологија детекције: пошта, мрежа, сервери, услуге у облаку и базе података. За разлику од ЕДР-а, прикупљене информације се не преносе једноставно у СИЕМ, већ се прикупљају у универзалном складишту, у којем се систематизују и анализирају коришћењем Биг Дата технологија.
Блок дијаграм интеракције између КСДР-а и других Тренд Мицро решења
Овај приступ, у поређењу са једноставним прикупљањем информација, омогућава вам да откријете више претњи коришћењем не само интерних података, већ и глобалне базе података претњи. Штавише, што се више података прикупи, брже ће се идентификовати претње и већа је тачност упозорења.
Употреба вештачке интелигенције омогућава да се минимизира број упозорења, јер КСДР генерише упозорења високог приоритета обогаћена широким контекстом. Као резултат тога, аналитичари СОЦ-а су у могућности да се фокусирају на обавештења која захтевају хитну акцију, уместо да ручно прегледају сваку поруку како би утврдили односе и контекст. Ово ће значајно побољшати квалитет прогноза будућих сајбер напада, што директно утиче на ефикасност борбе против сајбер пандемије.
Прецизно предвиђање се постиже прикупљањем и корелацијом различитих типова података о детекцији и активностима са Тренд Мицро сензора инсталираних на различитим нивоима унутар организације – крајње тачке, мрежни уређаји, е-пошта и инфраструктура у облаку.
Коришћење јединствене платформе у великој мери поједностављује рад службе безбедности информација, јер добија структурисану и приоритетну листу упозорења, радећи са једним прозором за представљање догађаја. Брза идентификација претњи омогућава брзо реаговање на њих и минимизирање њихових последица.
Naše preporuke
Вековно искуство у борби против епидемија показује да превенција није само ефикаснија од лечења, већ има нижу цену. Као што показује савремена пракса, компјутерске епидемије нису изузетак. Спречавање заразе мреже компаније много је јефтиније од плаћања откупа изнуђивачима и плаћања надокнаде извођачима за неиспуњене обавезе.
Недавно да добијете програм за дешифровање ваших података. Овом износу треба додати губитке због недоступности услуга и репутацију. Једноставно поређење добијених резултата са ценом савременог безбедносног решења омогућава нам да извучемо недвосмислен закључак: спречавање претњи безбедности информација није случај тамо где су уштеде оправдане. Последице успешног сајбер напада коштаће компанију знатно више.
Извор: ввв.хабр.цом