การติดเชื้ออันตรายที่แพร่กระจายไปทั่วทุกประเทศได้หยุดเป็นข่าวอันดับหนึ่งในสื่อแล้ว อย่างไรก็ตาม ความเป็นจริงของภัยคุกคามยังคงดึงดูดความสนใจของผู้คน ซึ่งอาชญากรไซเบอร์สามารถใช้ประโยชน์ได้สำเร็จ จากข้อมูลของ Trend Micro หัวข้อเรื่องไวรัสโคโรนาในแคมเปญทางไซเบอร์ยังคงเป็นผู้นำด้วยส่วนต่างที่กว้าง ในโพสต์นี้ เราจะพูดถึงสถานการณ์ปัจจุบันและแบ่งปันมุมมองของเราในการป้องกันภัยคุกคามทางไซเบอร์ในปัจจุบัน
สถิติ
แผนที่เวกเตอร์การจัดจำหน่ายที่ใช้โดยแคมเปญที่มีแบรนด์โควิด-19 ที่มา: เทรนด์ไมโคร
เครื่องมือหลักของอาชญากรไซเบอร์ยังคงเป็นการส่งจดหมายขยะ และถึงแม้จะมีคำเตือนจากหน่วยงานของรัฐ ประชาชนก็ยังคงเปิดไฟล์แนบและคลิกลิงก์ในอีเมลหลอกลวง ซึ่งมีส่วนทำให้ภัยคุกคามแพร่กระจายต่อไป ความกลัวที่จะติดเชื้อที่เป็นอันตรายนำไปสู่ความจริงที่ว่า นอกเหนือจากการระบาดใหญ่ของโควิด-19 แล้ว เรายังต้องรับมือกับการแพร่ระบาดทางไซเบอร์ ซึ่งเป็นกลุ่มภัยคุกคามทางไซเบอร์ "โคโรนาไวรัส" ทั้งหมด
การกระจายตัวของผู้ใช้ที่ติดตามลิงก์ที่เป็นอันตรายนั้นดูค่อนข้างสมเหตุสมผล:
เผยแพร่ตามประเทศของผู้ใช้ที่เปิดลิงก์ที่เป็นอันตรายจากอีเมลในช่วงเดือนมกราคม-พฤษภาคม 2020 ที่มา: เทรนด์ไมโคร
อันดับแรกโดยมีอัตรากำไรขั้นต้นที่กว้างคือผู้ใช้จากสหรัฐอเมริกา ซึ่งในขณะที่เขียนโพสต์นี้มีเคสเกือบ 5 ล้านเคส รัสเซีย ซึ่งเป็นหนึ่งในประเทศชั้นนำในแง่ของจำนวนผู้ป่วยโรคโควิด-19 ก็ติดห้าอันดับแรกในแง่ของจำนวนพลเมืองที่ใจง่ายเป็นพิเศษเช่นกัน
การระบาดใหญ่ของการโจมตีทางไซเบอร์
หัวข้อหลักที่อาชญากรไซเบอร์ใช้ในอีเมลหลอกลวงคือความล่าช้าในการจัดส่งเนื่องจากการแพร่ระบาดและการแจ้งเตือนที่เกี่ยวข้องกับไวรัสโคโรนาจากกระทรวงสาธารณสุขหรือองค์การอนามัยโลก
สองหัวข้อยอดนิยมสำหรับอีเมลหลอกลวง ที่มา: เทรนด์ไมโคร
ส่วนใหญ่แล้ว Emotet ซึ่งเป็นแรนซัมแวร์เรียกค่าไถ่ที่ปรากฏในปี 2014 จะถูกใช้เป็น “เพย์โหลด” ในตัวอักษรดังกล่าว การรีแบรนด์ Covid ช่วยให้ผู้ให้บริการมัลแวร์เพิ่มผลกำไรให้กับแคมเปญของตน
สิ่งต่อไปนี้สามารถสังเกตได้ในคลังแสงของผู้หลอกลวง Covid:
- เว็บไซต์รัฐบาลปลอมเพื่อรวบรวมข้อมูลบัตรธนาคารและข้อมูลส่วนบุคคล
- เว็บไซต์ที่ให้ข้อมูลเรื่องการแพร่กระจายของเชื้อ COVID-19
- พอร์ทัลปลอมขององค์การอนามัยโลกและศูนย์ควบคุมโรค
- สายลับและบล็อคเกอร์บนมือถือที่ปลอมตัวเป็นโปรแกรมที่มีประโยชน์เพื่อแจ้งเกี่ยวกับการติดเชื้อ
ป้องกันการโจมตี
ในระดับโลก กลยุทธ์ในการจัดการกับการแพร่ระบาดทางไซเบอร์นั้นคล้ายคลึงกับกลยุทธ์ที่ใช้ในการต่อสู้กับการติดเชื้อทั่วไป:
- การตรวจจับ,
- การตอบสนอง,
- การป้องกัน,
- การพยากรณ์
เห็นได้ชัดว่าปัญหาสามารถแก้ไขได้ด้วยการใช้ชุดมาตรการที่เน้นไปที่ระยะยาวเท่านั้น การป้องกันควรเป็นพื้นฐานของรายการมาตรการ
เช่นเดียวกับการป้องกันโควิด-19 แนะนำให้รักษาระยะห่าง ล้างมือ ฆ่าเชื้อในการซื้อและสวมหน้ากากอนามัย ระบบติดตามการโจมตีแบบฟิชชิ่ง ตลอดจนเครื่องมือป้องกันการบุกรุกและควบคุมการบุกรุก สามารถช่วยขจัดโอกาสที่การโจมตีทางไซเบอร์จะประสบความสำเร็จได้ .
ปัญหาเกี่ยวกับเครื่องมือดังกล่าวคือผลบวกลวงจำนวนมาก ซึ่งต้องใช้ทรัพยากรจำนวนมหาศาลในการประมวลผล จำนวนการแจ้งเตือนเกี่ยวกับเหตุการณ์ผลบวกลวงสามารถลดลงได้อย่างมากโดยใช้กลไกการรักษาความปลอดภัยขั้นพื้นฐาน - โปรแกรมป้องกันไวรัสทั่วไป เครื่องมือควบคุมแอปพลิเคชัน และการประเมินชื่อเสียงของไซต์ ในกรณีนี้ แผนกรักษาความปลอดภัยจะสามารถให้ความสนใจกับภัยคุกคามใหม่ๆ เนื่องจากการโจมตีที่ทราบจะถูกบล็อกโดยอัตโนมัติ แนวทางนี้ช่วยให้คุณกระจายโหลดได้อย่างเท่าๆ กัน และรักษาสมดุลระหว่างประสิทธิภาพและความปลอดภัย
การติดตามแหล่งที่มาของการติดเชื้อเป็นสิ่งสำคัญในช่วงที่มีการระบาดใหญ่ ในทำนองเดียวกัน การระบุจุดเริ่มต้นของการดำเนินการภัยคุกคามระหว่างการโจมตีทางไซเบอร์ช่วยให้เรามั่นใจในการปกป้องขอบเขตของบริษัทอย่างเป็นระบบ เพื่อให้มั่นใจในความปลอดภัยที่จุดเข้าสู่ระบบ IT ทั้งหมด จึงมีการใช้เครื่องมือคลาส EDR (Endpoint Detection and Response) ด้วยการบันทึกทุกสิ่งที่เกิดขึ้นที่จุดสิ้นสุดของเครือข่าย ช่วยให้คุณสามารถกู้คืนลำดับเหตุการณ์ของการโจมตีใดๆ และค้นหาว่าอาชญากรไซเบอร์ใช้โหนดใดเพื่อเจาะระบบและแพร่กระจายไปทั่วเครือข่าย
ข้อเสียของ EDR คือการแจ้งเตือนที่ไม่เกี่ยวข้องจำนวนมากจากแหล่งที่มาต่างๆ - เซิร์ฟเวอร์ อุปกรณ์เครือข่าย โครงสร้างพื้นฐานคลาวด์ และอีเมล การค้นคว้าข้อมูลที่แตกต่างกันเป็นกระบวนการที่ต้องใช้แรงงานคนมาก ซึ่งอาจนำไปสู่การสูญเสียบางสิ่งที่สำคัญได้
XDR เป็นวัคซีนไซเบอร์
เทคโนโลยี XDR ซึ่งเป็นการพัฒนา EDR ได้รับการออกแบบมาเพื่อแก้ไขปัญหาที่เกี่ยวข้องกับการแจ้งเตือนจำนวนมาก "X" ในตัวย่อนี้หมายถึงวัตถุโครงสร้างพื้นฐานใด ๆ ที่สามารถใช้เทคโนโลยีการตรวจจับได้: เมล เครือข่าย เซิร์ฟเวอร์ บริการคลาวด์ และฐานข้อมูล ต่างจาก EDR ตรงที่ข้อมูลที่รวบรวมไม่ได้ถูกถ่ายโอนไปยัง SIEM เท่านั้น แต่จะถูกรวบรวมในการจัดเก็บข้อมูลสากล ซึ่งมีการจัดระบบและวิเคราะห์โดยใช้เทคโนโลยี Big Data
บล็อกไดอะแกรมของการโต้ตอบระหว่าง XDR และโซลูชันอื่นๆ ของ Trend Micro
แนวทางนี้เมื่อเปรียบเทียบกับการรวบรวมข้อมูลเพียงอย่างเดียว ช่วยให้คุณสามารถตรวจจับภัยคุกคามได้มากขึ้นโดยใช้ข้อมูลภายในไม่เพียงเท่านั้น แต่ยังรวมถึงฐานข้อมูลภัยคุกคามทั่วโลกด้วย ยิ่งไปกว่านั้น ยิ่งรวบรวมข้อมูลได้มากเท่าไร ภัยคุกคามก็จะยิ่งถูกระบุเร็วขึ้นและความแม่นยำของการแจ้งเตือนก็จะสูงขึ้นตามไปด้วย
การใช้ปัญญาประดิษฐ์ทำให้สามารถลดจำนวนการแจ้งเตือนได้ เนื่องจาก XDR สร้างการแจ้งเตือนที่มีลำดับความสำคัญสูงพร้อมบริบทที่กว้าง ด้วยเหตุนี้ นักวิเคราะห์ SOC จึงสามารถมุ่งเน้นไปที่การแจ้งเตือนที่ต้องดำเนินการในทันที แทนที่จะตรวจสอบแต่ละข้อความด้วยตนเองเพื่อกำหนดความสัมพันธ์และบริบท สิ่งนี้จะช่วยปรับปรุงคุณภาพการคาดการณ์การโจมตีทางไซเบอร์ในอนาคตได้อย่างมาก ซึ่งส่งผลโดยตรงต่อประสิทธิผลของการต่อสู้กับการแพร่ระบาดทางไซเบอร์
การคาดการณ์ที่แม่นยำทำได้โดยการรวบรวมและเชื่อมโยงข้อมูลการตรวจจับและกิจกรรมประเภทต่างๆ จากเซ็นเซอร์ของ Trend Micro ที่ติดตั้งในระดับต่างๆ ภายในองค์กร เช่น อุปกรณ์ปลายทาง อุปกรณ์เครือข่าย อีเมล และโครงสร้างพื้นฐานคลาวด์
การใช้แพลตฟอร์มเดียวช่วยลดความยุ่งยากในการทำงานของบริการรักษาความปลอดภัยข้อมูลได้อย่างมาก เนื่องจากได้รับรายการการแจ้งเตือนที่มีโครงสร้างและจัดลำดับความสำคัญ โดยทำงานร่วมกับหน้าต่างเดียวสำหรับนำเสนอกิจกรรม การระบุภัยคุกคามอย่างรวดเร็วทำให้สามารถตอบสนองได้อย่างรวดเร็วและลดผลที่ตามมา
คำแนะนำของเรา
ประสบการณ์ร่วมศตวรรษในการต่อสู้กับโรคระบาดแสดงให้เห็นว่าการป้องกันไม่เพียงแต่มีประสิทธิภาพมากกว่าการรักษาเท่านั้น แต่ยังมีค่าใช้จ่ายที่ต่ำกว่าอีกด้วย ตามแนวทางปฏิบัติสมัยใหม่ โรคระบาดทางคอมพิวเตอร์ก็ไม่มีข้อยกเว้น การป้องกันการติดเชื้อในเครือข่ายของบริษัทนั้นถูกกว่าการจ่ายค่าไถ่ให้กับผู้ขู่กรรโชกและการจ่ายค่าชดเชยให้กับผู้รับเหมาสำหรับภาระผูกพันที่ไม่บรรลุผล
เมื่อเร็ว ๆ นี้
ที่มา: will.com