Tüm ülkeleri kasıp kavuran tehlikeli enfeksiyon, medyada bir numaralı haber olmaktan çıktı. Ancak tehdidin gerçekliği insanların dikkatini çekmeye devam ediyor ve siber suçlular bundan başarıyla yararlanıyor. Trend Micro'ya göre siber kampanyalarda koronavirüs konusu hâlâ açık ara önde. Bu yazımızda hem mevcut durumdan bahsedeceğiz hem de güncel siber tehditlerin önlenmesine yönelik görüşlerimizi paylaşacağız.
Bazı istatistikler
COVID-19 markalı kampanyalar tarafından kullanılan dağıtım vektörlerinin haritası. Kaynak: Trend Micro
Siber suçluların ana aracı spam postalar olmaya devam ediyor ve devlet kurumlarının uyarılarına rağmen vatandaşlar sahte e-postalardaki ekleri açmaya ve bağlantılara tıklamaya devam ederek tehdidin daha da yayılmasına katkıda bulunuyor. Tehlikeli bir enfeksiyona yakalanma korkusu, COVID-19 salgınına ek olarak bir siber salgınla, yani bütün bir "koronavirüs" siber tehdit ailesiyle uğraşmak zorunda olduğumuz gerçeğine yol açıyor.
Kötü niyetli bağlantıları takip eden kullanıcıların dağılımı oldukça mantıklı görünüyor:
Ocak-Mayıs 2020'de e-postadaki kötü amaçlı bağlantıyı açan kullanıcıların ülke bazında dağılımı. Kaynak: Trend Micro
Açık ara farkla ilk sırada, bu yazının yazıldığı sırada neredeyse 5 milyon vakanın olduğu Amerika Birleşik Devletleri'ndeki kullanıcılar yer alıyor. Aynı zamanda Kovid-19 vaka sayısında da önde gelen ülkelerden biri olan Rusya, özellikle saf vatandaş sayısında da ilk beşte yer aldı.
Siber saldırı salgını
Siber suçluların sahte e-postalarda kullandıkları ana konular, pandemiden kaynaklanan teslimat gecikmeleri ve Sağlık Bakanlığı veya Dünya Sağlık Örgütü'nden gelen koronavirüs bağlantılı bildirimlerdir.
Dolandırıcılık e-postaları için en popüler iki konu. Kaynak: Trend Micro
Çoğu zaman, 2014'te ortaya çıkan bir fidye yazılımı fidye yazılımı olan Emotet, bu tür mektuplarda "yük" olarak kullanılıyor. Covid'in yeniden markalanması, kötü amaçlı yazılım operatörlerinin kampanyalarının kârlılığını artırmasına yardımcı oldu.
Kovid dolandırıcılarının cephaneliğinde aşağıdakiler de not edilebilir:
- banka kartı verilerini ve kişisel bilgileri toplamak için sahte hükümet web siteleri,
- COVID-19'un yayılmasıyla ilgili bilgi veren siteler,
- Dünya Sağlık Örgütü ve Hastalık Kontrol Merkezlerinin sahte portalları,
- enfeksiyonlar hakkında bilgi vermek için yararlı programlar gibi görünen mobil casuslar ve engelleyiciler.
Saldırıları önleme
Küresel anlamda siber salgınla mücadele stratejisi, geleneksel enfeksiyonlarla mücadelede kullanılan stratejiye benzer:
- tespit etme,
- cevap,
- önleme,
- tahmin.
Sorunun ancak uzun vadeli bir dizi önlemin hayata geçirilmesiyle aşılabileceği açıktır. Önlemler listesinin temeli önleme olmalıdır.
Tıpkı COVID-19'a karşı korunmak için olduğu gibi, mesafeyi korumak, elleri yıkamak, alışverişleri dezenfekte etmek ve maske takmak tavsiye edilir, kimlik avı saldırılarına yönelik izleme sistemlerinin yanı sıra izinsiz giriş önleme ve kontrol araçları da başarılı bir siber saldırı olasılığını ortadan kaldırmaya yardımcı olabilir .
Bu tür araçlarla ilgili sorun, işlenmesi çok büyük kaynaklar gerektiren çok sayıda yanlış pozitiftir. Yanlış pozitif olaylarla ilgili bildirimlerin sayısı, geleneksel antivirüsler, uygulama kontrol araçları ve site itibar değerlendirmeleri gibi temel güvenlik mekanizmaları kullanılarak önemli ölçüde azaltılabilir. Bu durumda bilinen saldırılar otomatik olarak engelleneceği için güvenlik departmanı yeni tehditlere karşı önlem alabilecektir. Bu yaklaşım, yükü eşit şekilde dağıtmanıza ve verimlilik ile güvenlik dengesini korumanıza olanak tanır.
Bir pandemi sırasında enfeksiyon kaynağının izlenmesi önemlidir. Benzer şekilde siber saldırılar sırasında tehdit uygulamasının başlangıç noktasının belirlenmesi, şirket çevresinin sistematik olarak korunmasını sağlamamıza olanak tanıyor. BT sistemlerine tüm giriş noktalarında güvenliğin sağlanması için EDR (Uç Nokta Tespit ve Yanıt) sınıfı araçlar kullanılmaktadır. Ağın uç noktalarında olup biten her şeyi kaydederek, herhangi bir saldırının kronolojisini geri yüklemenize ve siber suçlular tarafından sisteme sızmak ve ağa yayılmak için hangi düğümün kullanıldığını öğrenmenize olanak tanır.
EDR'nin dezavantajı, sunucular, ağ ekipmanı, bulut altyapısı ve e-posta gibi farklı kaynaklardan gelen çok sayıda ilgisiz uyarıdır. Birbirinden farklı verileri araştırmak, önemli bir şeyin kaçırılmasına yol açabilecek yoğun emek gerektiren manuel bir süreçtir.
Siber aşı olarak XDR
EDR'nin geliştirilmiş hali olan XDR teknolojisi, çok sayıda uyarıyla ilişkili sorunları çözmek için tasarlanmıştır. Bu kısaltmadaki "X", algılama teknolojisinin uygulanabileceği herhangi bir altyapı nesnesini temsil eder: posta, ağ, sunucular, bulut hizmetleri ve veritabanları. EDR'den farklı olarak, toplanan bilgiler yalnızca SIEM'e aktarılmaz, aynı zamanda Büyük Veri teknolojileri kullanılarak sistematikleştirildiği ve analiz edildiği evrensel bir depolama alanında toplanır.
XDR ve diğer Trend Micro çözümleri arasındaki etkileşimin blok şeması
Bu yaklaşım, yalnızca bilgi biriktirmeye kıyasla, yalnızca dahili verileri değil aynı zamanda küresel bir tehdit veritabanını kullanarak daha fazla tehdidi tespit etmenize olanak tanır. Üstelik ne kadar çok veri toplanırsa tehditler o kadar hızlı tespit edilecek ve uyarıların doğruluğu da o kadar yüksek olacaktır.
Yapay zekanın kullanılması, XDR'nin geniş bağlamla zenginleştirilmiş yüksek öncelikli uyarılar üretmesi nedeniyle uyarı sayısının en aza indirilmesini mümkün kılar. Sonuç olarak SOC analistleri, ilişkileri ve bağlamı belirlemek için her mesajı manuel olarak incelemek yerine, anında eylem gerektiren bildirimlere odaklanabiliyor. Bu, siber salgına karşı mücadelenin etkinliğini doğrudan etkileyen gelecekteki siber saldırılara ilişkin tahminlerin kalitesini önemli ölçüde artıracaktır.
Kuruluşun farklı seviyelerine (uç noktalar, ağ cihazları, e-posta ve bulut altyapısı) kurulan Trend Micro sensörlerinden farklı türdeki algılama ve etkinlik verilerinin toplanması ve ilişkilendirilmesiyle doğru tahminler elde edilir.
Tek bir platformun kullanılması, bilgi güvenliği hizmetinin çalışmasını büyük ölçüde basitleştirir, çünkü uyarıların yapılandırılmış ve önceliklendirilmiş bir listesini alır ve olayları sunmak için tek bir pencereyle çalışır. Tehditlerin hızlı tanımlanması, onlara hızla yanıt verilmesini ve sonuçlarının en aza indirilmesini mümkün kılar.
Önerilerimiz
Salgın hastalıklarla mücadelede yüzyılların deneyimi, önlemenin tedaviden daha etkili olmasının yanı sıra maliyetinin de daha düşük olduğunu gösteriyor. Modern uygulamanın gösterdiği gibi bilgisayar salgınları da bir istisna değildir. Bir şirketin ağına virüs bulaşmasını önlemek, gaspçılara fidye ödemekten ve yüklenicilere yerine getirilmeyen yükümlülükler için tazminat ödemekten çok daha ucuzdur.
En son Verileriniz için bir şifre çözme programı edinmek için. Bu miktara hizmetlerin kullanılamamasından kaynaklanan kayıplar ve itibar kaybı da eklenmelidir. Elde edilen sonuçların modern bir güvenlik çözümünün maliyetiyle basit bir karşılaştırması, kesin bir sonuca varmamızı sağlar: bilgi güvenliği tehditlerini önlemek, tasarrufların haklı olduğu bir durum değildir. Başarılı bir siber saldırının sonuçları şirkete çok daha pahalıya mal olacaktır.
Kaynak: habr.com