Hindi sinusuportahan ng iyong browser ang JavaScript!

Naka-archive na Pahina: 2020 Mga Tip sa Seguridad ng Impormasyon

Hello. Naabot mo ang isang naka-archive na pahina. Ang nilalaman at mga link sa pahinang ito ay hindi na ina-update. Naghahanap ng serbisyo? Mangyaring bumalik sa aming home page.

Setyembre 2020 - Malware, mga nakakahamak na domain at higit pa: Paano inaatake ng mga cybercriminal ang mga organisasyon ng SLTT

Patuloy na tina-target ng mga cybercriminal ang mga organisasyon ng gobyerno ng Estado, Lokal, Tribal, at Teritoryo (SLTT) ng US sa isang nakakaalarmang rate. Madalas na tina-target ng mga attacker ang mga organisasyon ng SLTT dahil alam nila na ang kanilang mga security team ay kailangang magpatakbo ng mga kumplikadong network, pati na rin ang pakikitungo sa maraming mga third-party na system at serbisyo. Maraming SLTT cybersecurity team ang nahihirapan din sa mga pinababang badyet sa seguridad at isang mahusay na dokumentadong kakulangan ng bihasang cybersecurity at mga propesyonal sa networking upang punan ang mga bukas na posisyon. Ang COVID-19, at ang kasunod na pagtaas ng remote na pagtatrabaho ng mga empleyado ng gobyerno at mga kahilingan sa online na accessibility para sa mga mapagkukunan ng pamahalaan ng mga mamamayan, ay nagdagdag lamang sa kanilang mga hamon sa seguridad.

SLTT Playbook ng Cybercriminals

Ang isa sa mga paboritong attack vector ng mga cybercriminal laban sa mga organisasyon ng SLTT ay malware. Ang malware ay malisyosong software na idinisenyo upang magsagawa ng mga nakakahamak na aksyon sa isang device. Maaari itong ipakilala sa isang sistema sa iba't ibang anyo tulad ng mga email o malisyosong website. Ang iba't ibang uri ng malware ay may natatanging mga kakayahan na nakasalalay sa kanilang nilalayon na layunin, tulad ng pagsisiwalat ng kumpidensyal na impormasyon, pagbabago ng data sa isang system, pagbibigay ng malayuang pag-access sa isang system, pag-isyu ng mga utos sa isang system, o pagsira ng mga file o system.
 

Bagama't may iba't ibang flavor ang malware, ang pinaka-prolific na uri na ginagamit laban sa mga organisasyon ng SLTT ay ransomware. Ang Ransomware ay isang uri ng malware na humaharang sa access sa isang system, device, o file hanggang sa mabayaran ang isang ransom. DOE ito ng Ransomware sa pamamagitan ng pag-encrypt ng mga file sa endpoint, pagbabanta na burahin ang mga file, o pagharang sa access sa system. Maaari itong maging partikular na nakakapinsala kapag ang mga pag-atake ng ransomware ay nakakaapekto sa mga ospital, emergency call center, at iba pang kritikal na imprastraktura. Nalaman ng 2020 Verizon Data Breach Investigations Report (DBIR) na ang ransomware ay hindi pantay na nakakaapekto sa pampublikong sektor (mahigit sa 60% ng mga insidente ng malware kumpara sa 27% ng malware sa lahat ng sektor). Bukod pa rito, ang mga insidenteng naobserbahan ng Multi-State Information Sharing and Analysis Center (MS-ISAC) ay nagpakita ng 153% na pagtaas sa SLTT ransomware attacks mula Enero 2018 hanggang Disyembre 2019. Sa 2019, mayroong higit sa 100 mga pag-atake ng ransomware na ibinunyag sa publiko laban sa mga organisasyon ng SLTT – kabilang ang isang pag-atake sa mga IT system ng Lungsod ng Baltimore na nag-lock out ng libu-libong mga computer at nakakagambala sa halos bawat serbisyo ng lungsod. Ang pag-atakeng ito ay tinatantya na nagkakahalaga ng lungsod ng hanggang $18 milyon. Kasama sa iba pang karaniwang uri ng malware na nakakaapekto sa mga organisasyon ng SLTT ang:

  • Ang mga Trojan ay malware na lumilitaw na isang lehitimong application o software na maaaring i-install. Ang mga Trojan ay maaaring magbigay ng backdoor sa isang umaatake at pagkatapos ay ganap na access sa device, na nagpapahintulot sa umaatake na magnakaw ng pagbabangko at sensitibong impormasyon, o mag-download ng karagdagang malware. Ang mga natuklasan mula sa 2020 Verizon DBIR ay nagpapakita na ang mga variant ng trojan ay kasangkot sa mahigit 50% ng mga insidente ng malware sa pampublikong sektor.
  • Ang mga Downloader o Droppers ay malware, na bilang karagdagan sa kanilang sariling malisyosong mga aksyon, ay nagbibigay-daan sa iba, kadalasang mas mapanganib, na malware na makalusot sa nahawaang system. Ipinapakita ng data na nakolekta ng 2020 Verizon DBIR na halos 25% ng mga insidente ng pampublikong sektor ay may kasamang downloader o dropper.
  • Ang Spyware ay malware na nagtatala ng mga keystroke, nakikinig sa pamamagitan ng mga mikropono ng computer, nag-a-access ng mga webcam, o kumukuha ng mga screenshot at nagpapadala ng impormasyon sa isang malisyosong aktor. Ang ganitong uri ng malware ay maaaring magbigay sa mga aktor ng access sa mga username, password, anumang iba pang sensitibong impormasyong ipinasok gamit ang keyboard o nakikita sa monitor, at posibleng impormasyong makikita sa pamamagitan ng webcam. Ang mga Keylogger, na pangunahing nagtatala ng mga keystroke, ay ang pinakakaraniwang uri ng spyware at ang ZeuS, ang pinakasikat na keylogger, ay nasa listahan ng Nangungunang 10 Malware ng MS-ISAC sa loob ng ilang taon.
  • Ang Click Fraud ay malware na bumubuo ng mga pekeng awtomatikong pag-click sa mga website na puno ng ad. Lumilikha ng kita ang mga ad na ito kapag na-click. Ang mas maraming mga pag-click, mas maraming kita na nabuo. Ang Kovter, isa sa mga mas maraming bersyon ng click fraud, ay nasa listahan ng Nangungunang 10 Malware ng MS-ISAC sa nakalipas na ilang taon.

Pagprotekta sa Iyong Organisasyon mula sa Malware

Ang malware ay kadalasang nakakapasok sa mga organisasyon ng SLTT sa pamamagitan ng alinman sa malspam, hindi hinihinging mga email na nagdidirekta sa mga user sa mga nakakahamak na website o nanlinlang ng mga user sa pag-download o pagbubukas ng malware, o mga malvertisement, malware na ipinakilala sa pamamagitan ng mga nakakahamak na advertisement. Ang karaniwang pinag-uusapan sa pagitan ng mga vectors na ito at ng iba't ibang uri ng malware na maaari nilang ipakilala sa mga IT system ng iyong organisasyon ay halos palaging kinasasangkutan ng mga ito ang alinman sa mga user o ang malisyosong software na hindi nila sinasadyang na-download sa pagkonekta sa mga nakakahamak na web domain.

Upang matulungan ang mga organisasyon ng SLTT na protektahan ang kanilang sarili laban sa mga karaniwang uri ng cyber-attack na ito, ang Center of Internet Security (CIS) ay nakikisosyo sa pamamagitan ng MS-ISAC at Elections Infrastructure Information Sharing and Analysis Center (EI-ISAC) kasama ang US Department of Homeland Security (DHS) Cybersecurity Infrastructure Security Agency (CISA) at Akamai upang mag-alok ng bago nitong Serbisyo ng Reporting at Malicious government na Pag-block ng Domain sa USBR at Akamai. Mga MS- at EI-ISAC. Binibigyang-daan ng serbisyo ang mga team ng seguridad ng SLTT na mabilis na magdagdag ng karagdagang layer ng proteksyon sa cybersecurity laban sa kanilang mga system na kumokonekta sa mga nakakahamak na web domain at upang mapahusay ang kanilang mga umiiral na panlaban sa network.

Para sa mga organisasyong hindi karapat-dapat na sumali sa MS- o EI-ISAC, maaaring makuha ang katulad na proteksyon sa pamamagitan ng Quad9. Ang Quad9 ay isang walang bayad, recursive, anycast na platform ng DNS na nagbibigay ng mga end user ng matatag na proteksyon sa seguridad, mataas na pagganap, at privacy. Ang Quad9 ay binuo ng Global Cyber Alliance (GCA), isang internasyonal na nonprofit na organisasyon na itinatag sa pamamagitan ng pakikipagtulungan ng mga tagapagpatupad ng batas at mga organisasyong pananaliksik na nakatuon sa paglaban sa systemic cyber risk sa tunay, nasusukat na mga paraan (Ang CIS ay isang founding organization ng GCA).

Tungkol sa Nakakahamak na Pag-block at Pag-uulat ng Domain (MDBR)

Ang serbisyo ng MDBR ay magagamit lamang sa mga miyembro ng MS- at EI-ISAC. Para sa mga hindi karapat-dapat para sa pagiging miyembro, mangyaring tingnan ang seksyon sa ibaba sa Quad9 para sa isang katulad na serbisyo na magagamit sa Pangkalahatang Publiko.
Aktibong hinaharangan ng MDBR ang trapiko sa network mula sa isang organisasyon patungo sa mga kilalang nakakapinsalang web domain, na tumutulong na protektahan ang mga IT system laban sa mga banta sa cybersecurity at limitahan ang mga impeksyong nauugnay sa kilalang malware, ransomware, phishing, at iba pang banta sa cyber. Maaaring harangan ng kakayahang ito ang karamihan ng mga impeksyon sa ransomware sa pamamagitan lamang ng pagpigil sa paunang pag-abot sa isang domain ng paghahatid ng ransomware. Sa unang limang linggo lamang ng serbisyo, hinarangan ng serbisyo ng MDBR 10 milyong mga nakakahamak na kahilingan mula sa higit sa 300 mga entity ng SLTT.

Kapag itinuro ng isang organisasyon ang mga kahilingan ng domain name system (DNS) nito sa mga IP address ng DNS server ng Akamai, ihahambing ang bawat paghahanap ng DNS sa isang listahan ng kilala o pinaghihinalaang mga nakakahamak na domain. Ang mga pagtatangkang i-access ang mga kilalang nakakahamak na domain, tulad ng mga nauugnay sa malware, phishing, o ransomware, ay hinaharangan at nilala-log.
Ang Akamai ay nagbibigay ng lahat ng naka-log na data sa MS- at EI-ISACs' Security Operations Center (SOC), kabilang ang parehong matagumpay at naka-block na mga kahilingan sa DNS. Ginagamit ng SOC ang data na ito upang magsagawa ng detalyadong pagsusuri at pag-uulat para sa pagpapabuti ng komunidad ng SLTT, gayundin ang regular na pag-uulat na partikular sa organisasyon at mga serbisyo sa paniktik. Kung kinakailangan, ibinibigay ang tulong sa remediation para sa bawat organisasyon ng SLTT na nagpapatupad ng serbisyo.

Anumang entity ng gobyerno ng US SLTT na miyembro ng MS- o EI-ISAC ay maaaring mag-sign up para sa MDBR. Nagagawa nilang samantalahin ang karagdagang layer na ito ng proteksyon sa cybersecurity nang walang bayad, sa kagandahang-loob ng suporta sa pagpopondo na ibinigay ng CISA.

Tungkol sa Quad9

Hinaharang ng Quad9 ang mga kilalang nakakahamak na domain, na pumipigil sa mga computer at IoT device ng iyong organisasyon na kumonekta sa mga malware o phishing na site. Sa tuwing nagki-click ang isang gumagamit ng Quad9 sa isang link ng website o nagta-type ng isang address sa kanilang web browser, sinusuri ng Quad9 ang site laban sa isang listahan ng mga domain na pinagsama-sama mula sa higit sa 18 iba't ibang mga kasosyo sa intelligence ng pagbabanta. Ang bawat kasosyo sa intelligence ng pagbabanta ay nagbibigay ng listahan ng mga nakakahamak na domain na nakabatay sa heuristics na sumusuri sa mga salik gaya ng na-scan na pagtuklas ng malware, mga nakaraang gawi ng network IDS, visual object recognition, optical character recognition (OCR), structure at linkage sa iba pang mga site, pati na rin ang mga indibidwal na ulat ng kahina-hinala o nakakahamak na gawi. Batay sa mga resulta, niresolba o tinatanggihan ng Quad9 ang pagtatangkang maghanap, na pumipigil sa mga koneksyon sa mga nakakahamak na site kapag may tugma. Niruruta ng Quad9 ang mga query sa DNS ng iyong organisasyon sa pamamagitan ng isang secure na network ng mga server sa buong mundo.

Ang impormasyong ibinibigay sa buwanang mga newsletter ng Mga Tip sa Seguridad ay nilayon upang mapataas ang kaalaman sa seguridad ng mga end user ng isang organisasyon at tulungan silang kumilos sa mas secure na paraan sa loob ng kanilang kapaligiran sa trabaho. Habang ang ilan sa mga tip ay maaaring nauugnay sa pagpapanatili ng isang computer sa bahay, ang mas mataas na kamalayan ay nilayon upang makatulong na mapabuti ang pangkalahatang postura ng seguridad ng impormasyon ng organisasyon.

Impormasyon sa Copyright

Ang mga tip na ito ay inihatid sa iyo sa Commonwealth of Virginia ng Virginia Information Technologies Agency sa pakikipag-ugnayan sa:

logo ng ms-isac

http://www.us-cert.gov/

Nakaraang < | > Susunod