Sự lây nhiễm nguy hiểm đã quét qua tất cả các quốc gia đã không còn là tin tức số một trên các phương tiện truyền thông. Tuy nhiên, thực tế của mối đe dọa vẫn tiếp tục thu hút sự chú ý của mọi người, điều mà tội phạm mạng đã lợi dụng thành công. Theo Trend Micro, chủ đề về virus Corona trong các chiến dịch mạng vẫn đang dẫn đầu với tỷ lệ rộng rãi. Trong bài đăng này, chúng tôi sẽ nói về tình hình hiện tại và cũng chia sẻ quan điểm của chúng tôi về việc ngăn chặn các mối đe dọa mạng hiện tại.
Một số thống kê
Bản đồ các vectơ phân phối được sử dụng bởi các chiến dịch mang thương hiệu COVID-19. Nguồn: Trend Micro
Công cụ chính của tội phạm mạng tiếp tục là gửi thư rác và bất chấp cảnh báo từ các cơ quan chính phủ, người dân vẫn tiếp tục mở tệp đính kèm và nhấp vào liên kết trong các email lừa đảo, góp phần làm mối đe dọa lan rộng hơn nữa. Nỗi sợ lây nhiễm một bệnh nhiễm trùng nguy hiểm dẫn đến thực tế là, ngoài đại dịch COVID-19, chúng ta còn phải đối mặt với đại dịch mạng - cả một nhóm các mối đe dọa mạng “coronavirus”.
Sự phân bổ người dùng theo các liên kết độc hại trông khá hợp lý:
Phân bổ theo quốc gia của người dùng đã mở liên kết độc hại từ email vào tháng 2020-tháng XNUMX năm XNUMX. Nguồn: Trend Micro
Ở vị trí đầu tiên với tỷ lệ chênh lệch lớn là người dùng từ Hoa Kỳ, nơi tại thời điểm viết bài này đã có gần 5 triệu trường hợp. Nga, cũng là một trong những quốc gia dẫn đầu về số ca mắc Covid-19, cũng nằm trong top XNUMX về số lượng công dân đặc biệt cả tin.
Đại dịch tấn công mạng
Chủ đề chính mà tội phạm mạng sử dụng trong các email lừa đảo là sự chậm trễ trong việc gửi hàng do các thông báo liên quan đến đại dịch và vi-rút Corona từ Bộ Y tế hoặc Tổ chức Y tế Thế giới.
Hai chủ đề phổ biến nhất cho các email lừa đảo. Nguồn: Trend Micro
Thông thường, Emotet, một ransomware ransomware xuất hiện vào năm 2014, được sử dụng như một “tải trọng” trong những bức thư như vậy. Việc đổi thương hiệu do Covid đã giúp các nhà khai thác phần mềm độc hại tăng lợi nhuận cho các chiến dịch của họ.
Những điều sau đây cũng có thể được ghi nhận trong kho vũ khí của những kẻ lừa đảo Covid:
- các trang web giả mạo của chính phủ để thu thập dữ liệu thẻ ngân hàng và thông tin cá nhân,
- các trang web cung cấp thông tin về sự lây lan của COVID-19,
- cổng thông tin giả mạo của Tổ chức Y tế Thế giới và Trung tâm Kiểm soát Dịch bệnh,
- gián điệp và phần mềm chặn di động giả dạng các chương trình hữu ích để thông báo về tình trạng lây nhiễm.
Ngăn chặn các cuộc tấn công
Ở góc độ toàn cầu, chiến lược đối phó với đại dịch mạng tương tự như chiến lược được sử dụng để chống lại sự lây nhiễm thông thường:
- phát hiện,
- phản ứng,
- Phòng ngừa,
- dự báo.
Rõ ràng là vấn đề chỉ có thể được khắc phục bằng cách thực hiện một loạt các biện pháp nhằm mục đích lâu dài. Phòng ngừa phải là cơ sở của danh sách các biện pháp.
Cũng như để bảo vệ khỏi COVID-19, bạn nên duy trì khoảng cách, rửa tay, khử trùng khi mua hàng và đeo khẩu trang, hệ thống giám sát các cuộc tấn công lừa đảo cũng như các công cụ kiểm soát và ngăn chặn xâm nhập có thể giúp loại bỏ khả năng xảy ra một cuộc tấn công mạng thành công .
Vấn đề với những công cụ như vậy là có một số lượng lớn các kết quả dương tính giả, đòi hỏi nguồn lực khổng lồ để xử lý. Số lượng thông báo về các sự kiện dương tính giả có thể giảm đáng kể bằng cách sử dụng các cơ chế bảo mật cơ bản - phần mềm chống vi-rút thông thường, công cụ kiểm soát ứng dụng và đánh giá danh tiếng của trang web. Trong trường hợp này, bộ phận an ninh sẽ có thể chú ý đến các mối đe dọa mới, vì các cuộc tấn công đã biết sẽ tự động bị chặn. Cách tiếp cận này cho phép bạn phân bổ tải đều và duy trì sự cân bằng giữa hiệu quả và an toàn.
Truy tìm nguồn lây nhiễm là điều quan trọng trong thời kỳ đại dịch. Tương tự, việc xác định điểm bắt đầu thực hiện mối đe dọa trong các cuộc tấn công mạng cho phép chúng tôi đảm bảo việc bảo vệ phạm vi của công ty một cách có hệ thống. Để đảm bảo an ninh tại tất cả các điểm vào hệ thống CNTT, các công cụ lớp EDR (Phát hiện và phản hồi điểm cuối) được sử dụng. Bằng cách ghi lại mọi thứ xảy ra ở các điểm cuối của mạng, chúng cho phép bạn khôi phục trình tự thời gian của bất kỳ cuộc tấn công nào và tìm ra nút nào đã được tội phạm mạng sử dụng để xâm nhập hệ thống và lây lan trên mạng.
Nhược điểm của EDR là số lượng lớn cảnh báo không liên quan từ các nguồn khác nhau - máy chủ, thiết bị mạng, cơ sở hạ tầng đám mây và email. Nghiên cứu dữ liệu khác nhau là một quá trình thủ công tốn nhiều công sức và có thể dẫn đến thiếu điều gì đó quan trọng.
XDR như một loại vắc xin mạng
Công nghệ XDR, là sự phát triển của EDR, được thiết kế để giải quyết các vấn đề liên quan đến số lượng lớn cảnh báo. Chữ "X" trong từ viết tắt này là viết tắt của bất kỳ đối tượng cơ sở hạ tầng nào có thể áp dụng công nghệ phát hiện: thư, mạng, máy chủ, dịch vụ đám mây và cơ sở dữ liệu. Không giống như EDR, thông tin thu thập được không chỉ được chuyển đến SIEM mà được thu thập trong một bộ lưu trữ chung, trong đó thông tin được hệ thống hóa và phân tích bằng công nghệ Dữ liệu lớn.
Sơ đồ khối tương tác giữa XDR và các giải pháp khác của Trend Micro
Cách tiếp cận này, so với việc chỉ tích lũy thông tin, cho phép bạn phát hiện nhiều mối đe dọa hơn bằng cách không chỉ sử dụng dữ liệu nội bộ mà còn cả cơ sở dữ liệu về mối đe dọa toàn cầu. Hơn nữa, càng thu thập được nhiều dữ liệu thì các mối đe dọa sẽ được xác định càng nhanh và độ chính xác của cảnh báo càng cao.
Việc sử dụng trí tuệ nhân tạo giúp giảm thiểu số lượng cảnh báo vì XDR tạo ra các cảnh báo có mức độ ưu tiên cao được làm giàu với bối cảnh rộng. Do đó, các nhà phân tích SOC có thể tập trung vào các thông báo yêu cầu hành động ngay lập tức thay vì xem xét thủ công từng thông báo để xác định mối quan hệ và bối cảnh. Điều này sẽ cải thiện đáng kể chất lượng dự báo về các cuộc tấn công mạng trong tương lai, ảnh hưởng trực tiếp đến hiệu quả của cuộc chiến chống lại đại dịch mạng.
Dự báo chính xác đạt được bằng cách thu thập và đối chiếu các loại dữ liệu hoạt động và phát hiện khác nhau từ các cảm biến Trend Micro được cài đặt ở các cấp độ khác nhau trong tổ chức - điểm cuối, thiết bị mạng, email và cơ sở hạ tầng đám mây.
Việc sử dụng một nền tảng duy nhất giúp đơn giản hóa đáng kể công việc của dịch vụ bảo mật thông tin vì nó nhận được danh sách cảnh báo có cấu trúc và được ưu tiên, hoạt động với một cửa sổ duy nhất để trình bày các sự kiện. Việc xác định nhanh các mối đe dọa giúp có thể nhanh chóng ứng phó và giảm thiểu hậu quả của chúng.
Khuyến nghị của chúng tôi
Kinh nghiệm hàng thế kỷ chống dịch bệnh cho thấy phòng bệnh không chỉ hiệu quả hơn chữa bệnh mà còn có chi phí thấp hơn. Như thực tế hiện đại cho thấy, đại dịch máy tính cũng không phải là ngoại lệ. Ngăn chặn sự lây nhiễm vào mạng của công ty rẻ hơn nhiều so với việc trả tiền chuộc cho những kẻ tống tiền và trả tiền bồi thường cho nhà thầu vì những nghĩa vụ chưa được thực hiện.
Gần đây nhất để có được một chương trình giải mã dữ liệu của bạn. Số tiền này sẽ cộng thêm tổn thất do không có sẵn dịch vụ và thiệt hại về danh tiếng. Một so sánh đơn giản giữa kết quả thu được với chi phí của một giải pháp bảo mật hiện đại cho phép chúng ta rút ra một kết luận rõ ràng: ngăn chặn các mối đe dọa bảo mật thông tin không phải là trường hợp tiết kiệm được. Hậu quả của một cuộc tấn công mạng thành công sẽ khiến công ty phải trả giá đắt hơn đáng kể.
Nguồn: www.habr.com