Microsoft делится сведениями о новых угрозах и советами по безопасности

Автор — Роб Леффертс, Microsoft 365 Security

Кто-то был готов, кто-то нет, но большей части мира пришлось перейти на работу из дома. Это означает, что теперь больше людей и устройств получают доступ к конфиденциальным корпоративным данным через домашние сети. Специалисты по защите работают круглосуточно, обеспечивая безопасность не только конечных устройств, но и идентификационных данных, электронной почты и приложений, пока люди пользуются самыми разными устройствами, необходимыми им для работы. Ни у кого, включая наших специалистов по безопасности, не было времени подготовиться к этому, и многие клиенты были просто вынуждены начать работать в новой среде и быстро решать возникающие задачи. Microsoft готова помочь облегчить нагрузку на специалистов, предложить рекомендации по расстановке приоритетов для обеспечения безопасности сотрудников и поделиться знаниями о встроенных в наши продукты средствах защиты.

Злоумышленники пользуются страхом. Мы наблюдаем за ними. Мы даем отпор

Наши почтовые ящики, телефоны, телевизоры и новости полны сообщениями о COVID-19, информация поступает постоянно. Это ошеломляет, и злоумышленники об этом знают. Они знают, что многие переходят по ссылкам не глядя, потому что возрос уровень тревоги, и они пользуются этим. Вот почему мы наблюдаем рост успешности атак с применением фишинга и социальной инженерии. Дело не в том, что у злоумышленников внезапно стало больше ресурсов для обмана пользователей. Они просто добавляют ключевые слова, связанные с COVID-19, в уже имеющуюся инфраструктуру, включая вымогательские программы, фишинговые кампании и другие механизмы доставки вредоносных программ, чтобы сделать ссылки актуальными. Если мы нажмем на такую ссылку, то злоумышленники могут проникнуть в наши почтовые ящики, украсть наши учетные данные, разослать еще больше вредоносных ссылок нашим коллегам с помощью инструментов для совместной работы и ждать возможности украсть информацию, которая принесет им наибольшую прибыль. В борьбе с атакующими нам помогут интеллектуальные решения со встроенными автоматизированными средствами упреждающей защиты, обнаружения, реагирования и предотвращения подобных атак, способные отслеживать вредоносную активность везде (это ключевое слово): в электронной почте, в идентификационных данных, в конечных устройствах и в приложениях.

Команды Microsoft, занимающиеся анализом угроз, активно отслеживают сегодняшнее смещение акцентов и реагируют на него. Наши данные показывают, что угрозы, спекулирующие на теме COVID-19, не особо отличаются от уже существующих способов атаки, а просто слегка изменены, чтобы была связь с этой пандемией. Это означает, что мы наблюдаем смену приманки, а не всплеск атак. Анализ показывает, что эти атаки укладываются в привычные колебания ландшафта угроз:

  • В каждой стране мира была по крайней мере одна атака на тему COVID-19 (см. карту ниже). Число успешных атак в странах, пострадавших от эпидемии, растет по мере усиления страха и желания получить информацию. Наша телеметрия показывает, что больше всех пострадали Китай, США и Россия.
  • Новейшие, но уже широко распространенные семейства вредоносных программ TrickBot и Emotet очень активно действуют и актуализируют приманки, чтобы спекулировать на пандемии. На сегодняшний день мы насчитали 76 вариантов угроз по всему миру, пользующихся темой COVID-19 (см. карту ниже).
  • Microsoft отслеживает тысячи фишинговых кампаний, в рамках которых каждую неделю рассылаются миллионы вредоносных сообщений. Фишинговая кампания — это не просто одно целевое электронное письмо для одного целевого пользователя. Это могут быть сотни или тысячи вредоносных писем, нацеленных на сотни или тысячи пользователей, поэтому такие кампании очень эффективны. Из миллионов целевых сообщений, которые мы видим каждый день, примерно 60 000 включают вредоносные вложения или вредоносные URL-адреса, прикрывающиеся темой COVID-19.
  • Хотя это число кажется очень большим, важно отметить, что это менее двух процентов от общего объема угроз, которые мы активно отслеживаем и ежедневно предотвращаем. Такая статистика подтверждает, что общий объем угроз не увеличивается, но злоумышленники меняют свои методы, пользуясь страхом. Они рассылают письма от имени известных организаций, таких как Всемирная организация здравоохранения (ВОЗ), Центры по контролю и профилактике заболеваний (CDC) и Министерство здравоохранения, чтобы проникнуть в почтовые ящики. Вот пример того, как сейчас выглядит одно из подобных вредоносных писем по сравнению с периодом до пандемии COVID-19:

образец фшингового письма

  • За один день репутационный фильтр SmartScreen просматривает и обрабатывает более 18 000 вредоносных URL-адресов и IP-адресов, использующих тему COVID-19. Это еще раз показывает, что злоумышленники становятся более агрессивными и гибкими в подготовке атак: используя те же методы доставки, но чаще меняя вредоносные URL-адреса, они пытаются обойти защиту на основе машинного обучения.
  • Система Advanced Threat Protection в Microsoft Office 365 предотвратила крупную фишинговую кампанию, в которой использовалась поддельная страница входа в Office 365 для сбора учетных данных. За 24 часа было обнаружено около 2300 уникальных HTML-вложений с недостоверной информацией о финансовой компенсации пострадавшим от COVID-19, рассылаемых в рамках этой кампании. Мы ожидаем роста числа кампаний, спекулирующих на страхе потерять деньги, поскольку правительства расширяют списки предприятий, которые должны приостановить работу, а в США начинают выплачивать антикризисные компенсации.
  • Было замечено несколько актуальных постоянных угроз и государственных хакерских групп, нацеленных на организации здравоохранения и использующих в своих кампаниях приманки на тему COVID-19. Мы продолжаем выявлять и отслеживать эти угрозы, создавать упреждающие средства защиты от них во всех наших продуктах для обеспечения безопасности. Когда клиенты подвергаются таким атакам, Microsoft уведомляет их об этом напрямую, чтобы ускорить расследования. Мы также сообщаем соответствующим органам о вредоносных доменах и URL-адресах, пользующихся темой COVID-19, чтобы их можно было закрыть, а по возможности и привлечь к ответственности тех, кто стоит за ними.

Относительное влияние атак на тему COVID-19 во всем мире по количеству файлов (по состоянию на 7 апреля 2020 года).Относительное влияние атак на тему COVID-19 во всем мире по количеству файлов (по состоянию на 7 апреля 2020 года).

Мы защитим вас на всем пути от конечных устройств и учетных записей до облака

Хотя фишинговые письма — распространенный вектор атаки, эта лишь одна из многих точек входа, которыми пользуются злоумышленники. Специалистам по защите нужно гораздо более широкое поле для наблюдения и более разносторонние решения для борьбы с атаками, учитывающие более одной стратегии. Основная цель злоумышленников состоит в том, чтобы получить и расширить доступ к ресурсам организации, закрепиться там и ждать возможности украсть или зашифровать как можно больше конфиденциальной информации, чтобы получить наибольшую прибыль. Специалистам по защите необходима прозрачность во всех ресурсах и автоматическое сопоставление признаков вредоносной деятельности в электронной почте, идентификационных данных, конечных точках и облачных приложениях, чтобы увидеть полную картину атаки. Только тогда специалисты по защите смогут «вылечить» зараженные устройства, применить условный доступ (Conditional Access) и предотвратить повторение таких же или похожих атак.

В это трудное время мы хотим напомнить нашим клиентам, какие средства защиты встроены в наши продукты, и посоветовать, как расставить приоритеты:

  • Защищайте конечные устройства с помощью Microsoft Defender ATP — до пяти устройств лицензированных пользователей одновременно, которые легко подключить в любое время. Microsoft Defender ATP отслеживает угрозы на всех платформах, включая macOS. В нашем техническом сообществе можно найти дополнительные инструкции, рекомендации, информацию о подключении и лицензировании.
  • Включите многофакторную проверку подлинности (MFA) и контроль доступа по условию через Azure Active Directory для защиты идентификационных данных. Сейчас, когда пользователи работают из дома, как никогда важно избегать компрометации учетных данных. Мы рекомендуем подключать все приложения — от SaaS до локальных приложений — к Azure AD для единого входа, включать MFA и применять политики доступа по условию, а также предоставлять безопасный доступ подрядчикам и партнерам. Microsoft также предлагает бесплатную службу Azure AD для единого входа, включая MFA с использованием приложения Microsoft Authenticator.
  • Защитите почтовые ящики и учетные записи электронной почты с помощью Office 365 ATP, облачной службы фильтрации электронной почты Microsoft, которая защищает от фишинга и вредоносных программ, включая функции для защиты вашей организации от нарушений политики обмена сообщениями, целевых атак, уязвимостей нулевого дня и вредоносных URL-адресов. Интеллектуальные рекомендации от Security Policy Advisor помогут уменьшить распространение макроатаки, а служба Office Cloud Policy Service облегчит внедрение базовых показателей безопасности.
  • Microsoft Cloud App Security поможет защититься от использования теневой ИТ-инфраструктуры и несанкционированных приложений, позволит выявлять и прекращать атаки в облаке, а также контролировать передачу данных между облачными приложениями, будь то приложения Microsoft или сторонних производителей.

Microsoft Threat Protection сопоставляет сигналы из всех этих источников, используя Azure ATP, Microsoft Defender ATP, Office 365 ATP и Microsoft Cloud App Security, чтобы понять всю цепочку атаки, помочь специалистам по защите определить, какие угрозы необходимо устранить в первую очередь, и автоматически восстановить поврежденные учетные записи, почтовые ящики, конечные устройства и облачные приложения до безопасного состояния. Наши средства анализа угроз учитывают сигналы не только от одного вектора атаки (такого как фишинговые письма), а сразу по всем направлениям, включая электронные письма, идентификаторы, конечные устройства и облачные приложения, чтобы понять, как меняется ландшафт угроз, и встроить эти знания в наши продукты для предотвращения разрастания и усиления атак. Встроенные средства автоматического устранения атак в этих решениях помогают уменьшить нагрузку на специалистов по защите, возрастающую из-за появления множества новых устройств и соединений.

Azure Sentinel — полностью облачное решение SIEM, которое объединяет данные анализа из Microsoft Threat Protection и Azure Security Center, а также журналов любых сторонних и клиентских приложений, чтобы облегчить специалистам по безопасности обнаружение, рассмотрение и расследование угроз по всему предприятию. Как и во всех продуктах Microsoft Security, клиенты Azure Sentinel получают преимущества интеллектуального анализа угроз для обнаружения и поиска атак. Azure Sentinel позволяет легко добавлять новые источники данных и масштабировать существующие, используя встроенные рабочие книги, поисковые запросы и аналитику, чтобы помочь в идентификации угроз, их приоритизации и реагирования на них. Недавно мы представили блокнот для поиска угроз, связанных с COVID-19, в Azure Sentinel.

Средства защиты, предоставляемые облаком, важны, чтобы получать актуальные обновления и исправления безопасности. Если вы еще не используете их, мы настоятельно рекомендуем это делать. Мы также предлагаем расширенные средства поиска угроз с помощью Microsoft Threat Protection и Azure Sentinel.

Мы продолжим делиться и защищать — следите за обновлениями, будьте в безопасности

Помните, что у нас в Microsoft работают 3500 специалистов по защите. Мы очень активно следим за ландшафтом угроз, и наша задача — помогать: мы предоставляем ресурсы и рекомендации, а для критических случаев предлагаем поддержку таких служб, как Microsoft Detection and Response (DART, группа обнаружения и реагирования), чтобы помочь в расследовании и исправлении ситуации.

Все наши рекомендации, касающиеся COVID-19, публикуются здесь (на английском языке). Мы продолжим делиться обновлениями по всем каналам, чтобы держать вас в курсе. Пожалуйста, позаботьтесь о защите, оставайтесь на связи и будьте в курсе происходящего.

СПАСИБО нашим специалистам по защите, которые работают не покладая рук, чтобы мы были в безопасности и могли поддерживать связь друг с другом во время этой пандемии.

Роб и вся команда Microsoft Security

Tags: Security, безопасность

©  Microsoft