Небезпечна інфекція, що охопила всі країни, вже перестала бути інфоприводом номер один у засобах масової інформації. Проте реальність загрози продовжує привертати увагу людей, чим успішно користуються кіберзлочинці. За даними Trend Micro, тема коронавірусу в кіберкампаніях, як і раніше, лідирує з великим відривом. У цьому посту ми розповімо про поточну ситуацію, а також поділимося нашим поглядом на профілактику актуальних кіберзагроз.
трохи статистики
Карта векторів поширення, які використовують брендовані під COVID-19 кампанії. Джерело: Trend Micro
Головним інструментом кіберзлочинців, як і раніше, залишаються спам-розсилки, причому незважаючи на попередження з боку державних органів, громадяни продовжують відкривати вкладення і переходити за посиланнями в шахрайських листах, сприяючи подальшому поширенню загрози. Страх заразитися небезпечною інфекцією призводить до того, що крім пандемії COVID-19 доводиться боротися з кіберпандемією — цілим сімейством «коронавірусних» кіберзагроз.
Цілком логічним виглядає розподіл користувачів, які перейшли за шкідливими посиланнями:
Розподіл країнам користувачів, які відкрили шкідливе посилання з листа в січні-травні 2020 року. Джерело: Trend Micro
На першому місці з великим відривом користувачі зі США, де на момент написання посту було майже 5 млн хворих. У першій п'ятірці за кількістю особливо довірливих громадян опинилася і Росія, яка також входить до країн-лідерів за хворими на COVID-19.
Пандемія кібератак
Головні теми, які використовують кіберзлочинці в шахрайських листах — затримки доставки через пандемію та пов'язані з коронавірусом повідомлення від міністерства охорони здоров'я або Всесвітньої організації охорони здоров'я.
Дві найпопулярніші теми шахрайських листів. Джерело: Trend Micro
Найчастіше як «корисне навантаження» в таких листах використовується Emotet — шифрувальник-вимагач, який з'явився ще в 2014 році. Ковід-ребрендинг допоміг операторам шкідливості підвищити прибутковість кампаній.
В арсеналі ковід-шахраїв також можна відзначити:
- фальшиві урядові сайти для збору даних банківських карток та персональних відомостей,
- сайти-інформери з поширення COVID-19,
- фальшиві портали Всесвітньої організації охорони здоров'я та центрів контролю за захворюваністю,
- мобільні шпигуни та блокувальники, що маскуються під корисні програми для інформування про зараження.
Профілактика атак
У глобальному сенсі стратегія роботи з кіберпандемією аналогічна стратегії, що застосовується при боротьбі зі звичайними інфекціями:
- виявлення,
- реагування,
- запобігання,
- прогнозування.
Очевидно, що перемогти проблему можна лише шляхом реалізації комплексу заходів, орієнтованих на довгострокову перспективу. Основою переліку заходів має стати профілактика.
Подібно до того, як для захисту від COVID-19 пропонується дотримуватися дистанції, мити руки, дезінфікувати покупки та носити маски, виключити можливість успішної кібератаки дозволяють системи моніторингу фішингових атак, а також засоби попередження та контролю проникнень.
Проблема таких інструментів - велика кількість помилкових спрацьовувань, для обробки яких потрібні величезні ресурси. Значно скоротити кількість повідомлень про хибнопозитивні події дозволяє використання базових механізмів безпеки - звичайних антивірусів, засобів контролю додатків, оцінки репутації сайтів. У цьому випадку підрозділу, який відповідає за безпеку, вдасться звертати увагу на нові загрози, оскільки відомі атаки блокуватимуться автоматично. Такий підхід дозволяє рівномірно розподілити навантаження та зберегти баланс ефективності та безпеки.
Важливе значення під час пандемії має відстеження джерела зараження. Аналогічно виявлення початкового пункту реалізації загрози при кібератаках дозволяє системно забезпечувати захист периметра компанії. Для забезпечення безпеки на всіх точках входу до ІТ-систем використовуються інструменти класу EDR (Endpoint Detection and Response). Фіксуючи все, що відбувається на кінцевих точках мережі, вони дозволяють відновити хронологію будь-якої атаки і з'ясувати, який саме вузол був використаний кіберзлочинцями для проникнення в систему та розповсюдження по мережі.
Нестача EDR – велика кількість не пов'язаних між собою оповіщень від різних джерел – серверів, мережевого обладнання, хмарної інфраструктури та електронної пошти. Дослідження розрізнених даних - трудомісткий ручний процес, у ході якого можна прогаяти щось важливе.
XDR як кібервакцина
Вирішити проблеми, пов'язані з великою кількістю оповіщень, покликана технологія XDR, яка є розвитком EDR. «X» у цій абревіатурі означає будь-який об'єкт інфраструктури, до якого можна застосувати технологію виявлення: пошта, мережа, сервери, хмарні служби та бази даних. На відміну від EDR, зібрані відомості не просто передаються в SIEM, а збираються в універсальне сховище, в якому систематизуються та аналізуються з використанням технологій Big Data.
Структурна схема взаємодії XDR та інших рішень Trend Micro
Такий підхід, порівняно з простим накопиченням інформації, дозволяє виявити більше загроз завдяки використанню не лише внутрішніх даних, а й глобальної бази загроз. При цьому чим більше даних зібрано, тим швидше виявлятимуться погрози і тим вищою буде точність оповіщень.
Використання штучного інтелекту дає змогу звести до мінімуму кількість оповіщень, оскільки XDR генерує високопріоритетні попередження, збагачені широким контекстом. В результаті аналітики SOC отримують можливість зосередитись на повідомленнях, які вимагають негайних дій, а не перевіряти вручну кожне повідомлення, обчислюючи зв'язки та контекст. Це дозволить значно підвищити якість прогнозів майбутніх кібератак, від яких безпосередньо залежить ефективність боротьби з кіберпандемією.
Точне прогнозування забезпечується завдяки збиранню та зіставленню різних типів даних виявлення та активності з датчиків Trend Micro, встановлених на різних рівнях усередині організації – кінцевих точках, мережевих пристроях, електронній пошті та хмарній інфраструктурі.
Використання єдиної платформи значно полегшує роботу ІБ-служби, оскільки вона отримує структурований та відсортований за пріоритетом список оповіщень, працюючи з єдиним вікном для представлення подій. Швидке виявлення погроз дає можливість швидко відреагувати на них і звести до мінімуму наслідки від них.
Наші рекомендації
Багатовіковий досвід боротьби з епідеміями свідчить, що профілактика не тільки ефективніша за лікування, а й має меншу вартість. Як свідчить сучасна практика, комп'ютерні епідемії не виняток. Попередити зараження мережі компанії значно дешевше, ніж платити викуп здирникам та виплачувати контрагентам компенсації за невиконані зобов'язання.
Зовсім недавно , щоб отримати програму дешифратор для своїх даних. До цієї суми варто додати збитки від недоступності сервісів та збитків. Просте порівняння отриманого результату з вартістю сучасного захисного рішення дає змогу зробити однозначний висновок: профілактика загроз інформаційній безпеці — не той випадок, де економія виправдана. Наслідки успішної кібератаки коштуватимуть компанії значно дорожче.
Джерело: habr.com