APT
W jaki sposób cyberprzestępcy dostają się do infrastruktury korporacyjnej? Ogólnie na przestrzeni ostatnich dziesięciu lat głównymi kanałami dostarczania zagrożeń były wiadomości e-mail i złośliwe strony internetowe. Jeśli chodzi o e-maile, sytuacja jest dość jasna: większość zagrożeń można wyeliminować, instalując na serwerze pocztowym rozwiązanie zabezpieczające wykorzystujące przyzwoity silnik chroniący przed phishingiem i wirusami. Tymczasem zagrożeniom pochodzącym z internetu poświęca się zwykle znacznie mniej uwagi.
Cyberprzestępcy od dawna korzystają z internetu, aby realizować wszelkiego rodzaju ataki — i to nie tylko do przygotowywania stron phishingowych, które kradną dane uwierzytelniające użytkowników w usługach online, czy złośliwych witryn, które wykorzystują luki w zabezpieczeniach przeglądarki. Zagrożenia internetowe są także wykorzystywane do przeprowadzania zaawansowanych ataków wymierzonych w konkretne cele.
Zagrożenia internetowe w atakach ukierunkowanych
W przeglądzie zaawansowanych długotrwałych zagrożeń dla 2019 roku nasi eksperci podają przykład ataku APT, który wykorzystuje metodę wodopoju. Za jego pośrednictwem cyberprzestępcy zhakowali stronę internetową indyjskiej organizacji Centre for Land Warfare Studies (CLAWS) i umieścili na niej złośliwy dokument, który rozprzestrzeniał trojana umożliwiającego uzyskanie zdalnego dostępu do systemu.
Kilka lat temu inna grupa przypuściła atak na łańcuch dostaw, hakując środowisko kompilacyjne twórcy popularnej aplikacji i osadzając w niej złośliwy moduł. Zainfekowany program, posiadający podpis cyfrowy, był rozpowszechniany za pośrednictwem oficjalnej strony producenta przez miesiąc.
Nie są to odosobnione przypadki wykorzystania mechanizmów zagrożeń internetowych w atakach APT. Cyberprzestępcy są znani z tego, że badają zainteresowania pracowników i wysyłają im złośliwe linki w komunikatorach lub sieciach społecznościowych, które wyglądają jak strony internetowe trafiające w ich gusta. W przypadku osób, które mają tendencję do ufania obcym, socjotechnika działa cuda.
Zintegrowana ochrona
Aby zwiększyć ochronę przed atakami ukierunkowanymi, musimy dostrzegać zagrożenia internetowe w innych zdarzeniach mających miejsce w sieci firmowej. Dlatego udostępnione niedawno rozwiązanie Kaspersky Web Traffic Security 6.1 zostało zintegrowane z platformą Kaspersky Anti-Targeted Attack. Wzajemnie się one uzupełniają, wzmacniając ochronę sieci.
Teraz użytkownicy mogą skonfigurować dwukierunkową komunikację między rozwiązaniem chroniącym bramę internetową a rozwiązaniem chroniącym przed zagrożeniami ukierunkowanymi. Dzięki temu aplikacja wykorzystująca bramę wysyła podejrzaną zawartość w celu przeprowadzenia dogłębnej analizy dynamicznej. Rozwiązanie Kaspersky Anti-Targeted Attack ma teraz również dodatkowe źródło informacji z bramy, co umożliwia wcześniejsze wykrywanie komponentów plików użytych w złożonym ataku i blokowanie komunikacji złośliwego oprogramowania z serwerami kontroli, zakłócając w ten sposób scenariusz ataku ukierunkowanego.
W idealnym przypadku zintegrowana ochrona może być zaimplementowana na wszystkich poziomach. Wiąże się to z takim skonfigurowaniem platformy ochrony przed zagrożeniami ukierunkowanymi, aby odbierała i analizowała ona dane ze stacji roboczych i serwerów fizycznych lub wirtualnych, a także z serwera poczty. W przypadku wykrycia zagrożenia wyniki jego analizy mogą zostać przekazane do rozwiązania Kaspersky Web Traffic Security i wykorzystane do automatycznego blokowania podobnych obiektów (i prób komunikowania się z serwerami kontroli) na poziomie bramy.
Więcej informacji na temat naszej aplikacji do ochrony bramy można znaleźć na stronie Kaspersky Web Traffic Security.
Porady