Den farliga infektionen som har svept över alla länder har upphört att vara den främsta nyhetsartikeln i media. Verkligheten kring hotet fortsätter dock att locka människors uppmärksamhet, vilket cyberbrottslingar framgångsrikt utnyttjar. Enligt Trend Micro leder ämnet coronavirus i cyberkampanjer fortfarande med stor marginal. I det här inlägget kommer vi att prata om den aktuella situationen och även dela vår syn på att förebygga aktuella cyberhot.
Några statistik
Karta över distributionsvektorer som används av kampanjer med varumärket COVID-19. Källa: Trend Micro
Huvudverktyget för cyberbrottslingar fortsätter att vara skräppost, och trots varningar från statliga myndigheter fortsätter medborgarna att öppna bilagor och klicka på länkar i bedrägliga e-postmeddelanden, vilket bidrar till att hotet sprids ytterligare. Rädslan för att drabbas av en farlig infektion leder till att vi, förutom covid-19-pandemin, måste hantera en cyberpandemi - en hel familj av cyberhot "coronavirus".
Fördelningen av användare som följt skadliga länkar ser ganska logisk ut:
Fördelning efter land av användare som öppnade en skadlig länk från ett e-postmeddelande i januari-maj 2020. Källa: Trend Micro
På första plats med bred marginal kommer användare från USA, där det vid skrivandet av detta inlägg fanns nästan 5 miljoner fall. Ryssland, som också är ett av de ledande länderna när det gäller covid-19-fall, var också i topp fem när det gäller antalet särskilt godtrogna medborgare.
Cyberattack pandemi
De viktigaste ämnena som cyberbrottslingar använder i bedrägliga e-postmeddelanden är leveransförseningar på grund av pandemin och coronavirusrelaterade meddelanden från hälsoministeriet eller Världshälsoorganisationen.
De två mest populära ämnena för bluffmejl. Källa: Trend Micro
Oftast används Emotet, ett ransomware ransomware som dök upp redan 2014, som en "nyttolast" i sådana brev. Covid omprofilering hjälpte skadlig programvara att öka lönsamheten för sina kampanjer.
Följande kan också noteras i arsenalen av Covid-bedragare:
- falska statliga webbplatser för att samla in bankkortsdata och personlig information,
- informantsidor om spridningen av covid-19,
- falska portaler från Världshälsoorganisationen och Centers for Disease Control,
- mobilspioner och blockerare som maskerar sig som användbara program för att informera om infektioner.
Förhindra attacker
I en global mening liknar strategin för att hantera en cyberpandemi den strategi som används för att bekämpa konventionella infektioner:
- upptäckt,
- svar,
- förebyggande,
- prognoser.
Det är uppenbart att problemet bara kan lösas genom att genomföra en rad långsiktiga åtgärder. Förebyggande bör ligga till grund för åtgärdslistan.
Precis som för att skydda mot covid-19, rekommenderas det att hålla avstånd, tvätta händerna, desinficera köp och bära masker, övervakningssystem för nätfiskeattacker, samt intrångsförebyggande och kontrollverktyg, kan hjälpa till att eliminera möjligheten till en framgångsrik cyberattack .
Problemet med sådana verktyg är ett stort antal falska positiva resultat, som kräver enorma resurser att bearbeta. Antalet meddelanden om falskt positiva händelser kan minskas avsevärt genom att använda grundläggande säkerhetsmekanismer - konventionella antivirus, programkontrollverktyg och bedömningar av webbplatsens rykte. I det här fallet kommer säkerhetsavdelningen att kunna uppmärksamma nya hot, eftersom kända attacker kommer att blockeras automatiskt. Detta tillvägagångssätt låter dig fördela lasten jämnt och upprätthålla en balans mellan effektivitet och säkerhet.
Att spåra smittkällan är viktigt under en pandemi. På samma sätt kan vi genom att identifiera startpunkten för hotimplementering under cyberattacker systematiskt säkerställa skydd av företagets omkrets. För att säkerställa säkerheten vid alla ingångspunkter till IT-system används EDR-klassverktyg (Endpoint Detection and Response). Genom att spela in allt som händer vid nätverkets slutpunkter låter de dig återställa kronologin för alla attacker och ta reda på vilken nod som användes av cyberkriminella för att penetrera systemet och sprida sig över nätverket.
Nackdelen med EDR är ett stort antal orelaterade varningar från olika källor - servrar, nätverksutrustning, molninfrastruktur och e-post. Att undersöka olika data är en arbetskrävande manuell process som kan leda till att man missar något viktigt.
XDR som ett cybervaccin
XDR-tekniken, som är en utveckling av EDR, är designad för att lösa problem i samband med ett stort antal larm. "X" i denna akronym står för alla infrastrukturobjekt som detekteringsteknik kan tillämpas på: e-post, nätverk, servrar, molntjänster och databaser. Till skillnad från EDR överförs den insamlade informationen inte bara till SIEM, utan samlas in i en universell lagring, där den systematiseras och analyseras med hjälp av Big Data-teknik.
Blockschema över interaktion mellan XDR och andra Trend Micro-lösningar
Detta tillvägagångssätt, jämfört med att bara samla information, gör att du kan upptäcka fler hot genom att inte bara använda intern data, utan också en global hotdatabas. Ju mer data som samlas in, desto snabbare kommer hoten att identifieras och desto högre noggrannhet blir varningarna.
Användningen av artificiell intelligens gör det möjligt att minimera antalet varningar, eftersom XDR genererar högprioriterade varningar berikade med ett brett sammanhang. Som ett resultat kan SOC-analytiker fokusera på meddelanden som kräver omedelbar åtgärd, snarare än att manuellt granska varje meddelande för att fastställa relationer och sammanhang. Detta kommer att avsevärt förbättra kvaliteten på prognoser för framtida cyberattacker, vilket direkt påverkar effektiviteten i kampen mot cyberpandemin.
Exakta prognoser uppnås genom att samla in och korrelera olika typer av detektions- och aktivitetsdata från Trend Micro-sensorer installerade på olika nivåer inom organisationen – slutpunkter, nätverksenheter, e-post och molninfrastruktur.
Att använda en enda plattform förenklar arbetet för informationssäkerhetstjänsten avsevärt, eftersom den får en strukturerad och prioriterad lista med varningar, som arbetar med ett enda fönster för att presentera händelser. Snabb identifiering av hot gör det möjligt att snabbt reagera på dem och minimera deras konsekvenser.
Våra rekommendationer
Århundradens erfarenhet av att bekämpa epidemier visar att förebyggande inte bara är effektivare än behandling, utan också har en lägre kostnad. Som modern praxis visar är datorepidemier inget undantag. Att förhindra infektion av ett företags nätverk är mycket billigare än att betala en lösensumma till utpressare och betala entreprenörer ersättning för ouppfyllda skyldigheter.
Nyligen för att få ett dekrypteringsprogram för dina data. Till detta belopp bör läggas förluster på grund av bristande tillgång på tjänster och skada på rykte. En enkel jämförelse av de erhållna resultaten med kostnaden för en modern säkerhetslösning gör att vi kan dra en otvetydig slutsats: att förhindra informationssäkerhetshot är inte fallet där besparingar är motiverade. Konsekvenserna av en framgångsrik cyberattack kommer att kosta företaget betydligt mer.
Källa: will.com