[Информационная безопасность, Антивирусная защита] Лечение или профилактика: как справиться с пандемией COVID-брендированных кибератак
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
Охватившая все страны опасная инфекция уже перестала быть инфоповодом номер один в средствах массовой информации. Однако реальность угрозы продолжает привлекать внимание людей, чем успешно пользуются киберпреступники. По данным Trend Micro, тема коронавируса в киберкампаниях по-прежнему лидирует с большим отрывом. В этом посте мы расскажем о текущей ситуации, а также поделимся нашим взглядом на профилактику актуальных киберугроз.
Немного статистики
Карта векторов распространения, которые используют брендированные под COVID-19 кампании. Источник: Trend Micro
Главным инструментом киберпреступников по-прежнему остаются спам-рассылки, причём несмотря на предупреждения со стороны государственных органов граждане продолжают открывать вложения и переходить по ссылкам в мошеннических письмах, способствуя дальнейшему распространению угрозы. Страх заразиться опасной инфекцией приводит к тому, что, помимо пандемии COVID-19, приходится бороться с киберпандемией — целым семейством «коронавирусных» киберугроз.
Вполне логичным выглядит распределение пользователей, перешедших по вредоносным ссылкам:
Распределение по странам пользователей, открывшие вредоносную ссылку из письма в январе-мае 2020 года. Источник: Trend Micro
На первом месте с большим отрывом пользователи из США, где на момент написания поста было почти 5 млн заболевших. В первой пятёрке по количеству особо доверчивых граждан оказалась и Россия, которая также входит в число стран-лидеров по заболевшим COVID-19.
Пандемия кибератак
Главные темы, которые используют киберпреступники в мошеннических письмах, — задержки доставки из-за пандемии и связанные с коронавирусом уведомления от министерства здравоохранения или Всемирной организации здравоохранения.
Две самых популярных темы мошеннических писем. Источник: Trend Micro
Чаще всего в качестве «полезной нагрузки» в таких письмах используется Emotet — шифровальщик-вымогатель, появившийся ещё в 2014 году. Ковид-ребрендинг помог операторам вредоноса повысить доходность кампаний.
В арсенале ковид-мошенников также можно отметить:
• фальшивые правительственные сайты для сбора данных банковских карт и персональных сведений,
• сайты-информеры по распространению COVID-19,
• фальшивые порталы Всемирной организации здравоохранения и центров по контролю за заболеваемостью,
• мобильные шпионы и блокировщики, маскирующиеся под полезные программы для информирования о заражении.
Профилактика атак
В глобальном смысле стратегия работы с киберпандемией аналогична стратегии, применяемой при борьбе с обычными инфекциями:
• обнаружение,
• реагирование,
• предотвращение,
• прогнозирование.
Очевидно, что победить проблему можно только путём реализации комплекса мероприятий, ориентированных на долгосрочную перспективу. Основой перечня мер должна стать профилактика.
Подобно тому, как для защиты от COVID-19 предлагается соблюдать дистанцию, мыть руки, дезинфицировать покупки и носить маски, исключить возможность успешной кибератаки позволяют системы мониторинга фишинговых атак, а также средства предупреждения и контроля проникновений.
Проблема таких инструментов — большое количество ложных срабатываний, для обработки которых требуются гигантские ресурсы. Значительно сократить число уведомлений о ложноположительные событиях позволяет использование базовых механизмов безопасности — обычных антивирусов, средств контроля приложений, оценки репутации сайтов. В этом случае подразделению, отвечающему за безопасность, удастся обращать внимание на новые угрозы, поскольку известные атаки будут блокироваться автоматически. Такой подход позволяет равномерно распределить нагрузку и сохранить баланс эффективности и безопасности.
Важное значение во время пандемии имеет отслеживание источника заражения. Аналогично и выявление начального пункта реализации угрозы при кибератаках позволяет системно обеспечивать защиту периметра компании. Для обеспечения безопасности на всех точках входа в ИТ-системы используются инструменты класса EDR (Endpoint Detection and Response). Фиксируя всё происходящее на конечных точках сети, они позволяют восстановить хронологию любой атаки и выяснить, какой именно узел был использован киберпреступниками для проникновения в систему и распространения по сети.
Недостаток EDR — большое количество не связанных между собой оповещений от разных источников — серверов, сетевого оборудования, облачной инфраструктуры и электронной почты. Исследование разрозненных данных — трудоёмкий ручной процесс, в ходе которого можно упустить что-то важное.
XDR как кибервакцина
Решить проблемы, связанные с большим количеством оповещений, призвана технология XDR, которая является развитием EDR. «X» в этой аббревиатуре обозначает любой объект инфраструктуры, к которому можно применить технологию обнаружения: почта, сеть, серверы, облачные службы и базы данных. В отличие от EDR собранные сведения не просто передаются в SIEM, а собираются в универсальное хранилище, в котором систематизируются и анализируются с использованием технологий Big Data.
Структурная схема взаимодействия XDR и других решений Trend Micro
Такой подход по сравнению с простым накоплением информации позволяет обнаружить больше угроз благодаря использованию не только внутренних данных, но и глобальной базы угроз. При этом чем больше данных собрано, тем быстрее будут выявляться угрозы и тем выше будет точность оповещений.
Использование искусственного интеллекта даёт возможность свести к минимуму количество оповещений, так как XDR генерирует высокоприоритетные предупреждения, обогащенные широким контекстом. В результате аналитики SOC получают возможность сосредоточиться на уведомлениях, которые требуют немедленных действий, а не проверять вручную каждое сообщение, вычисляя связи и контекст. Это позволит значительно повысить качество прогнозов будущих кибератак, от которого напрямую зависит эффективность борьбы с киберпандемией.
Точное прогнозирование обеспечивается благодаря сбору и сопоставлению различных типов данных обнаружения и активности с датчиков Trend Micro, установленных на разных уровнях внутри организации — конечных точках, сетевых устройствах, электронной почте и облачной инфраструктуре.
Использование единой платформы значительно облегчает работу ИБ-службы, поскольку она получает структурированный и отсортированный по приоритету список оповещений, работая с единым окном для представления событий. Быстрое выявление угроз даёт возможность быстро отреагировать на них и свести к минимуму последствия от них.
Наши рекомендации
Многовековой опыт борьбы с эпидемиями свидетельствует, что профилактика не только эффективнее лечения, но и имеет меньшую стоимость. Как показывает современная практика, компьютерные эпидемии не исключение. Предупредить заражение сети компании значительно дешевле, чем платить выкуп вымогателям и выплачивать контрагентам компенсации за невыполненные обязательства.
Совсем недавно компания Garmin заплатила вымогателям 10 млн долларов США, чтобы получить программу-дешифратор для своих данных. К этой сумме стоит прибавить убытки от недоступности сервисов и репутационный ущерб. Простое сравнение полученного результата со стоимостью современного защитного решения позволяет сделать однозначный вывод: профилактика угроз информационной безопасности — не тот случай, где экономия оправдана. Последствия успешной кибератаки обойдутся компании значительно дороже.
===========
Источник:
habr.com
===========
Похожие новости:
- [Информационная безопасность, Разработка мобильных приложений] Защищаемся от трекеров на мобильных платформах
- [Информационная безопасность, Программирование, Администрирование баз данных, Хранение данных] Firebase снова стала предметом исследований
- [Информационная безопасность, IT-компании] Canon подверглась атаке вируса-вымогателя, сервисы компании частично восстановлены, потеряна часть архивов пользователей
- [Информационная безопасность, C, Реверс-инжиниринг, CTF] Работаем с Cutter — основы реверса. Решение задач на реверсинг с r0от-мi. Часть 3
- [Информационная безопасность, IT-компании] Мошенники начали массово создавать клоны Delivery Club, «Яндекс.Еды» и «СберМаркета» во время пандемии
- [Информационная безопасность, Криптография] Сертифицированный специалист по шифрованию (EC-Council ECES)
- [Информационная безопасность] Российские госсайты: иллюзия безопасности
- [Информационная безопасность] Прочитай и сделай: проводим сканирование сети самостоятельно
- [Информационная безопасность] В даркнет утекла база данных проголосовавших по поправкам в Конституцию на 1,1 миллиона записей
- [Информационная безопасность, IT-компании] BleepingComputer: Garmin получила ключ для расшифровки файлов после атаки вируса-вымогателя WastedLocker
Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_antivirusnaja_zaschita (Антивирусная защита), #_trend_micro, #_xdr, #_edr, #_kiberugrozy (киберугрозы), #_blog_kompanii_trend_micro (
Блог компании Trend Micro
), #_informatsionnaja_bezopasnost (
Информационная безопасность
), #_antivirusnaja_zaschita (
Антивирусная защита
)
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 23-Ноя 01:06
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
|
Охватившая все страны опасная инфекция уже перестала быть инфоповодом номер один в средствах массовой информации. Однако реальность угрозы продолжает привлекать внимание людей, чем успешно пользуются киберпреступники. По данным Trend Micro, тема коронавируса в киберкампаниях по-прежнему лидирует с большим отрывом. В этом посте мы расскажем о текущей ситуации, а также поделимся нашим взглядом на профилактику актуальных киберугроз. Немного статистики  Карта векторов распространения, которые используют брендированные под COVID-19 кампании. Источник: Trend Micro Главным инструментом киберпреступников по-прежнему остаются спам-рассылки, причём несмотря на предупреждения со стороны государственных органов граждане продолжают открывать вложения и переходить по ссылкам в мошеннических письмах, способствуя дальнейшему распространению угрозы. Страх заразиться опасной инфекцией приводит к тому, что, помимо пандемии COVID-19, приходится бороться с киберпандемией — целым семейством «коронавирусных» киберугроз. Вполне логичным выглядит распределение пользователей, перешедших по вредоносным ссылкам:  Распределение по странам пользователей, открывшие вредоносную ссылку из письма в январе-мае 2020 года. Источник: Trend Micro На первом месте с большим отрывом пользователи из США, где на момент написания поста было почти 5 млн заболевших. В первой пятёрке по количеству особо доверчивых граждан оказалась и Россия, которая также входит в число стран-лидеров по заболевшим COVID-19. Пандемия кибератак Главные темы, которые используют киберпреступники в мошеннических письмах, — задержки доставки из-за пандемии и связанные с коронавирусом уведомления от министерства здравоохранения или Всемирной организации здравоохранения.  Две самых популярных темы мошеннических писем. Источник: Trend Micro Чаще всего в качестве «полезной нагрузки» в таких письмах используется Emotet — шифровальщик-вымогатель, появившийся ещё в 2014 году. Ковид-ребрендинг помог операторам вредоноса повысить доходность кампаний. В арсенале ковид-мошенников также можно отметить: • фальшивые правительственные сайты для сбора данных банковских карт и персональных сведений, • сайты-информеры по распространению COVID-19, • фальшивые порталы Всемирной организации здравоохранения и центров по контролю за заболеваемостью, • мобильные шпионы и блокировщики, маскирующиеся под полезные программы для информирования о заражении. Профилактика атак В глобальном смысле стратегия работы с киберпандемией аналогична стратегии, применяемой при борьбе с обычными инфекциями: • обнаружение, • реагирование, • предотвращение, • прогнозирование. Очевидно, что победить проблему можно только путём реализации комплекса мероприятий, ориентированных на долгосрочную перспективу. Основой перечня мер должна стать профилактика. Подобно тому, как для защиты от COVID-19 предлагается соблюдать дистанцию, мыть руки, дезинфицировать покупки и носить маски, исключить возможность успешной кибератаки позволяют системы мониторинга фишинговых атак, а также средства предупреждения и контроля проникновений. Проблема таких инструментов — большое количество ложных срабатываний, для обработки которых требуются гигантские ресурсы. Значительно сократить число уведомлений о ложноположительные событиях позволяет использование базовых механизмов безопасности — обычных антивирусов, средств контроля приложений, оценки репутации сайтов. В этом случае подразделению, отвечающему за безопасность, удастся обращать внимание на новые угрозы, поскольку известные атаки будут блокироваться автоматически. Такой подход позволяет равномерно распределить нагрузку и сохранить баланс эффективности и безопасности. Важное значение во время пандемии имеет отслеживание источника заражения. Аналогично и выявление начального пункта реализации угрозы при кибератаках позволяет системно обеспечивать защиту периметра компании. Для обеспечения безопасности на всех точках входа в ИТ-системы используются инструменты класса EDR (Endpoint Detection and Response). Фиксируя всё происходящее на конечных точках сети, они позволяют восстановить хронологию любой атаки и выяснить, какой именно узел был использован киберпреступниками для проникновения в систему и распространения по сети. Недостаток EDR — большое количество не связанных между собой оповещений от разных источников — серверов, сетевого оборудования, облачной инфраструктуры и электронной почты. Исследование разрозненных данных — трудоёмкий ручной процесс, в ходе которого можно упустить что-то важное. XDR как кибервакцина Решить проблемы, связанные с большим количеством оповещений, призвана технология XDR, которая является развитием EDR. «X» в этой аббревиатуре обозначает любой объект инфраструктуры, к которому можно применить технологию обнаружения: почта, сеть, серверы, облачные службы и базы данных. В отличие от EDR собранные сведения не просто передаются в SIEM, а собираются в универсальное хранилище, в котором систематизируются и анализируются с использованием технологий Big Data.  Структурная схема взаимодействия XDR и других решений Trend Micro Такой подход по сравнению с простым накоплением информации позволяет обнаружить больше угроз благодаря использованию не только внутренних данных, но и глобальной базы угроз. При этом чем больше данных собрано, тем быстрее будут выявляться угрозы и тем выше будет точность оповещений. Использование искусственного интеллекта даёт возможность свести к минимуму количество оповещений, так как XDR генерирует высокоприоритетные предупреждения, обогащенные широким контекстом. В результате аналитики SOC получают возможность сосредоточиться на уведомлениях, которые требуют немедленных действий, а не проверять вручную каждое сообщение, вычисляя связи и контекст. Это позволит значительно повысить качество прогнозов будущих кибератак, от которого напрямую зависит эффективность борьбы с киберпандемией. Точное прогнозирование обеспечивается благодаря сбору и сопоставлению различных типов данных обнаружения и активности с датчиков Trend Micro, установленных на разных уровнях внутри организации — конечных точках, сетевых устройствах, электронной почте и облачной инфраструктуре. Использование единой платформы значительно облегчает работу ИБ-службы, поскольку она получает структурированный и отсортированный по приоритету список оповещений, работая с единым окном для представления событий. Быстрое выявление угроз даёт возможность быстро отреагировать на них и свести к минимуму последствия от них. Наши рекомендации Многовековой опыт борьбы с эпидемиями свидетельствует, что профилактика не только эффективнее лечения, но и имеет меньшую стоимость. Как показывает современная практика, компьютерные эпидемии не исключение. Предупредить заражение сети компании значительно дешевле, чем платить выкуп вымогателям и выплачивать контрагентам компенсации за невыполненные обязательства. Совсем недавно компания Garmin заплатила вымогателям 10 млн долларов США, чтобы получить программу-дешифратор для своих данных. К этой сумме стоит прибавить убытки от недоступности сервисов и репутационный ущерб. Простое сравнение полученного результата со стоимостью современного защитного решения позволяет сделать однозначный вывод: профилактика угроз информационной безопасности — не тот случай, где экономия оправдана. Последствия успешной кибератаки обойдутся компании значительно дороже. =========== Источник: habr.com =========== Похожие новости:
Блог компании Trend Micro ), #_informatsionnaja_bezopasnost ( Информационная безопасность ), #_antivirusnaja_zaschita ( Антивирусная защита ) |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 23-Ноя 01:06
Часовой пояс: UTC + 5