Немного статистики
Карта векторов распространения, которые используют брендированные под COVID-19 кампании. Источник: Trend Micro
Главным инструментом киберпреступников по-прежнему остаются спам-рассылки, причём несмотря на предупреждения со стороны государственных органов граждане продолжают открывать вложения и переходить по ссылкам в мошеннических письмах, способствуя дальнейшему распространению угрозы. Страх заразиться опасной инфекцией приводит к тому, что, помимо пандемии COVID-19, приходится бороться с киберпандемией целым семейством коронавирусных киберугроз.
Вполне логичным выглядит распределение пользователей, перешедших по вредоносным ссылкам:
Распределение по странам пользователей, открывшие вредоносную ссылку из письма в январе-мае 2020 года. Источник: Trend Micro
На первом месте с большим отрывом пользователи из США, где на момент написания поста было почти 5 млн заболевших. В первой пятёрке по количеству особо доверчивых граждан оказалась и Россия, которая также входит в число стран-лидеров по заболевшим COVID-19.
Пандемия кибератак
Главные темы, которые используют киберпреступники в мошеннических письмах, задержки доставки из-за пандемии и связанные с коронавирусом уведомления от министерства здравоохранения или Всемирной организации здравоохранения.
Две самых популярных темы мошеннических писем. Источник: Trend Micro
Чаще всего в качестве полезной нагрузки в таких письмах используется Emotet шифровальщик-вымогатель, появившийся ещё в 2014 году. Ковид-ребрендинг помог операторам вредоноса повысить доходность кампаний.
В арсенале ковид-мошенников также можно отметить:
фальшивые правительственные сайты для сбора данных банковских карт и персональных сведений,
сайты-информеры по распространению COVID-19,
фальшивые порталы Всемирной организации здравоохранения и центров по контролю за заболеваемостью,
мобильные шпионы и блокировщики, маскирующиеся под полезные программы для информирования о заражении.
Профилактика атак
В глобальном смысле стратегия работы с киберпандемией аналогична стратегии, применяемой при борьбе с обычными инфекциями:
обнаружение,
реагирование,
предотвращение,
прогнозирование.
Очевидно, что победить проблему можно только путём реализации комплекса мероприятий, ориентированных на долгосрочную перспективу. Основой перечня мер должна стать профилактика.
Подобно тому, как для защиты от COVID-19 предлагается соблюдать дистанцию, мыть руки, дезинфицировать покупки и носить маски, исключить возможность успешной кибератаки позволяют системы мониторинга фишинговых атак, а также средства предупреждения и контроля проникновений.
Проблема таких инструментов большое количество ложных срабатываний, для обработки которых требуются гигантские ресурсы. Значительно сократить число уведомлений о ложноположительные событиях позволяет использование базовых механизмов безопасности обычных антивирусов, средств контроля приложений, оценки репутации сайтов. В этом случае подразделению, отвечающему за безопасность, удастся обращать внимание на новые угрозы, поскольку известные атаки будут блокироваться автоматически. Такой подход позволяет равномерно распределить нагрузку и сохранить баланс эффективности и безопасности.
Важное значение во время пандемии имеет отслеживание источника заражения. Аналогично и выявление начального пункта реализации угрозы при кибератаках позволяет системно обеспечивать защиту периметра компании. Для обеспечения безопасности на всех точках входа в ИТ-системы используются инструменты класса EDR (Endpoint Detection and Response). Фиксируя всё происходящее на конечных точках сети, они позволяют восстановить хронологию любой атаки и выяснить, какой именно узел был использован киберпреступниками для проникновения в систему и распространения по сети.
Недостаток EDR большое количество не связанных между собой оповещений от разных источников серверов, сетевого оборудования, облачной инфраструктуры и электронной почты. Исследование разрозненных данных трудоёмкий ручной процесс, в ходе которого можно упустить что-то важное.
XDR как кибервакцина
Решить проблемы, связанные с большим количеством оповещений, призвана технология XDR, которая является развитием EDR. X в этой аббревиатуре обозначает любой объект инфраструктуры, к которому можно применить технологию обнаружения: почта, сеть, серверы, облачные службы и базы данных. В отличие от EDR собранные сведения не просто передаются в SIEM, а собираются в универсальное хранилище, в котором систематизируются и анализируются с использованием технологий Big Data.
Структурная схема взаимодействия XDR и других решений Trend Micro
Такой подход по сравнению с простым накоплением информации позволяет обнаружить больше угроз благодаря использованию не только внутренних данных, но и глобальной базы угроз. При этом чем больше данных собрано, тем быстрее будут выявляться угрозы и тем выше будет точность оповещений.
Использование искусственного интеллекта даёт возможность свести к минимуму количество оповещений, так как XDR генерирует высокоприоритетные предупреждения, обогащенные широким контекстом. В результате аналитики SOC получают возможность сосредоточиться на уведомлениях, которые требуют немедленных действий, а не проверять вручную каждое сообщение, вычисляя связи и контекст. Это позволит значительно повысить качество прогнозов будущих кибератак, от которого напрямую зависит эффективность борьбы с киберпандемией.
Точное прогнозирование обеспечивается благодаря сбору и сопоставлению различных типов данных обнаружения и активности с датчиков Trend Micro, установленных на разных уровнях внутри организации конечных точках, сетевых устройствах, электронной почте и облачной инфраструктуре.
Использование единой платформы значительно облегчает работу ИБ-службы, поскольку она получает структурированный и отсортированный по приоритету список оповещений, работая с единым окном для представления событий. Быстрое выявление угроз даёт возможность быстро отреагировать на них и свести к минимуму последствия от них.
Наши рекомендации
Многовековой опыт борьбы с эпидемиями свидетельствует, что профилактика не только эффективнее лечения, но и имеет меньшую стоимость. Как показывает современная практика, компьютерные эпидемии не исключение. Предупредить заражение сети компании значительно дешевле, чем платить выкуп вымогателям и выплачивать контрагентам компенсации за невыполненные обязательства.
Совсем недавно компания Garmin заплатила вымогателям 10 млн долларов США, чтобы получить программу-дешифратор для своих данных. К этой сумме стоит прибавить убытки от недоступности сервисов и репутационный ущерб. Простое сравнение полученного результата со стоимостью современного защитного решения позволяет сделать однозначный вывод: профилактика угроз информационной безопасности не тот случай, где экономия оправдана. Последствия успешной кибератаки обойдутся компании значительно дороже.
