Как киберпреступники попадают внутрь корпоративной инфраструктуры? Столь любимые кинематографистами трюки с подброшенными зараженными флешками, конечно, применяются, но не так уж часто. По большому счету, последние лет десять основными каналами доставки угроз остаются почта и вредоносные веб-страницы. С почтой все более-менее понятно, защитное решение с хорошим антифишинговым и антивирусным движком на почтовом сервере избавляет от большинства угроз. А вот веб-угрозам обычно уделяется гораздо меньше внимания.
Киберпреступность давно использует веб для разного рода атак. И это далеко не только фишинговые страницы, пытающиеся выманить учетные данные к онлайн-сервисам, и случайные вредоносные сайты, эксплуатирующие браузерные уязвимости. Веб-угрозы применяются и в продвинутых атаках, которые должны нанести вред конкретным целям.
Веб-угрозы в целевых атаках
В отчете об APT-угрозах за 2019 год наши эксперты приводят пример APT-атаки с применением техники watering hole. Злоумышленники каким-то образом скомпрометировали веб-сайт индийского «Центра исследований сухопутных войн» (Centre for Land Warfare Studies, CLAWS) и использовали его для хостинга вредоносного документа, с помощью которого распространяли троян для удаленного доступа к системе.
Пару лет назад другая группировка провернула атаку через цепочку поставок: они скомпрометировали среду компиляции разработчика популярного приложения и встроили в продукт свой вредоносный модуль. В результате на легитимном сайте разработчика целый месяц распространялось зараженное приложение с абсолютно подлинной цифровой подписью.
И это не единичные случаи применения веб-механизмов в APT-атаках. Бывает, что злоумышленники изучают интересы сотрудников и через мессенджеры или социальные сети присылают вредоносную ссылку, имитирующую сайт на близкую им тему. Да мало ли способов подобрать «отмычку» к человеку при помощи методов социальной инженерии?
Комплексная защита
Нам стало очевидно, что для повышения эффективности защиты от целевых атак веб-угрозы нужно рассматривать не отдельно, а в контексте прочих событий в корпоративной сети. Поэтому новая версия нашего приложения Kaspersky Web Traffic Security 6.1, вышедшая в последних числах прошлого года, позволяет интегрироваться с платформой Kaspersky Anti-Targeted Attack. Работая в тандеме, они дополняют друг друга, укрепляя общую «обороноспособность» сети.
Теперь при необходимости можно настроить двунаправленную связь между решением для защиты веб-шлюза и решением, защищающим от целевых угроз. Благодаря этому, во-первых, приложение, работающее на шлюзе, получает возможность отправлять подозрительный контент для углубленного динамического анализа. Во-вторых, Kaspersky Anti-Targeted Attack теперь имеет дополнительный источник информации от шлюза, практически еще один сенсор. В результате это позволяет гораздо раньше обнаруживать файловые компоненты сложных атак и блокировать коммуникации с управляющими серверами, а следовательно, нарушать сценарии сложных целевых атак.
В идеале можно реализовать сценарий комплексной защиты на всех уровнях: настроить платформу защиты от целевых угроз так, чтобы она получала и анализировала данные с рабочих станций, физических и виртуальных серверов, а также с почтового сервера. В случае обнаружения угрозы результаты ее анализа могут быть переданы Kaspersky Web Traffic Security и использованы для автоматической блокировки аналогичных объектов (и их попыток связи с управляющими серверами) на уровне шлюза.
Больше информации о приложении для защиты шлюзов можно узнать на странице Kaspersky Web Traffic Security.