Перейти к содержанию

Защита от веб-угроз в контексте целевых атак

KL FC Bot
 Share

Рекомендуемые сообщения

KL FC Bot Гигант мысли

KL FC Bot

Опубликовано
Опубликовано

Как киберпреступники попадают внутрь корпоративной инфраструктуры? Столь любимые кинематографистами трюки с подброшенными зараженными флешками, конечно, применяются, но не так уж часто. По большому счету, последние лет десять основными каналами доставки угроз остаются почта и вредоносные веб-страницы. С почтой все более-менее понятно, защитное решение с хорошим антифишинговым и антивирусным движком на почтовом сервере избавляет от большинства угроз. А вот веб-угрозам обычно уделяется гораздо меньше внимания.

Киберпреступность давно использует веб для разного рода атак. И это далеко не только фишинговые страницы, пытающиеся выманить учетные данные к онлайн-сервисам, и случайные вредоносные сайты, эксплуатирующие браузерные уязвимости. Веб-угрозы применяются и в продвинутых атаках, которые должны нанести вред конкретным целям.

Веб-угрозы в целевых атаках

В отчете об APT-угрозах за 2019 год наши эксперты приводят пример APT-атаки с применением техники watering hole. Злоумышленники каким-то образом скомпрометировали веб-сайт индийского «Центра исследований сухопутных войн» (Centre for Land Warfare Studies, CLAWS) и использовали его для хостинга вредоносного документа, с помощью которого распространяли троян для удаленного доступа к системе.

Пару лет назад другая группировка провернула атаку через цепочку поставок: они скомпрометировали среду компиляции разработчика популярного приложения и встроили в продукт свой вредоносный модуль. В результате на легитимном сайте разработчика целый месяц распространялось зараженное приложение с абсолютно подлинной цифровой подписью.

И это не единичные случаи применения веб-механизмов в APT-атаках. Бывает, что злоумышленники изучают интересы сотрудников и через мессенджеры или социальные сети присылают вредоносную ссылку, имитирующую сайт на близкую им тему. Да мало ли способов подобрать «отмычку» к человеку при помощи методов социальной инженерии?

Комплексная защита

Нам стало очевидно, что для повышения эффективности защиты от целевых атак веб-угрозы нужно рассматривать не отдельно, а в контексте прочих событий в корпоративной сети. Поэтому новая версия нашего приложения Kaspersky Web Traffic Security 6.1, вышедшая в последних числах прошлого года, позволяет интегрироваться с платформой Kaspersky Anti-Targeted Attack. Работая в тандеме, они дополняют друг друга, укрепляя общую «обороноспособность» сети.

Теперь при необходимости можно настроить двунаправленную связь между решением для защиты веб-шлюза и решением, защищающим от целевых угроз. Благодаря этому, во-первых, приложение, работающее на шлюзе, получает возможность отправлять подозрительный контент для углубленного динамического анализа. Во-вторых, Kaspersky Anti-Targeted Attack теперь имеет дополнительный источник информации от шлюза, практически еще один сенсор. В результате это позволяет гораздо раньше обнаруживать файловые компоненты сложных атак и блокировать коммуникации с управляющими серверами, а следовательно, нарушать сценарии сложных целевых атак.

В идеале можно реализовать сценарий комплексной защиты на всех уровнях: настроить платформу защиты от целевых угроз так, чтобы она получала и анализировала данные с рабочих станций, физических и виртуальных серверов, а также с почтового сервера. В случае обнаружения угрозы результаты ее анализа могут быть переданы Kaspersky Web Traffic Security и использованы для автоматической блокировки аналогичных объектов (и их попыток связи с управляющими серверами) на уровне шлюза.

Больше информации о приложении для защиты шлюзов можно узнать на странице Kaspersky Web Traffic Security.



Читать далее >>
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • maks_b
      Блокировка сайтов. Веб-контроль.
      От maks_b
      Добрый день.
      Настраиваю блокировку доступа к сайтам, сделал тестовое правило для блокировки доступа к сайту, например к ok.ru. Сайт блокируется все норм, но при включении этого правила перестает соединяться через SSL Network Extender. И любое правило запрета доступа через веб-контроль блокирует соединение через SSL Network Extender. Ошибка на скрине. Если правило отключить, то все работает. Подскажите, как исправить?
      Версия Каспера KES 12.6., KSC тоже последней версии.


    • AArsen
      KESL "Веб-контроль" исключение для пользователей
      От AArsen
      Добрый вечер! 
      KESL 12.1 настроена политика запрет всего по категориям. 
      Правилом выше размещаю разрешение, выбираю определенные категории и в поле пользователей выбираю пользователей поиском из AD. 
      К сожалению разрешающее правило таким образом сформированное не работает, подскажите, пожалуйста, если реализовывали, как организовать белый список пользователей, которым разрешены некоторые категории из запрещенных?
      Условно идти от обратного, запрещая не всем сотрудникам, не подходит из-за большого количества пользователей



    • KL FC Bot
      Уловки целевого фишинга в массовой рассылке | Блог Касперского
      От KL FC Bot
      Тенденция к использованию в массовых рассылках уловок, характерных для целевого фишинга продолжает нарастать. Недавно нам попался образец письма, в котором атакующие использовали целую коллекцию достаточно сложных трюков. Казалось бы, применять их все в массовой фишинговой атаке — смысла не много. И тем не менее злоумышленники не поленились. (Хотя, как выяснилось при подробном анализе, атака была обречена на провал.) Мы решили, что это отличный повод для того, чтобы описать используемые фишерами приемы.
      Письмо, имитирующее рассылку корпоративных гайдлайнов
      В письме прекрасно практически все. Оно адресовано конкретному человеку в конкретной организации, при этом в имени отправителя используется прием Ghost Spoofing, то есть в поле From забита имитация легитимного адреса компании, в которой работает жертва (но, разумеется, не имеющая отношения к адресу из поля Reply To).
      Рассылается письмо через инфраструктуру легитимной маркетинговой компании с хорошей репутацией, что не вызывает подозрений у почтовых фильтров. Вдобавок название этой компании и домен верхнего уровня, на котором размещен ее сайт, подобраны таким образом, чтобы усыплять бдительность получателя, — сайт находится в Индонезии, и домен .id может восприниматься вообще не как часть адреса, а как сокращение от слова идентификатор. Рядом с имитацией адреса, забитой в поле From, это выглядит достаточно натурально.
      Письмо, имитирующее рассылку корпоративных гайдлайнов.
       
      View the full article
    • KL FC Bot
      Как защититься от слежки через stalkerware и AirTag | Блог Касперского
      От KL FC Bot
      Следить за вами теперь могут не только спецслужбы или миллионеры, нанявшие частных детективов. Слежка так проста и дешева, что ей пользуются и ревнивые супруги, и автомобильные угонщики, и даже избыточно подозрительные работодатели. Им не нужно выглядывать из-за угла, прятаться в магазинах и даже приближаться к жертве. Для слежки прекрасно подойдут смартфон и один из маячков-трекеров, работающих по Bluetooth, — например, Apple AirTag, Samsung Smart Tag или Chipolo. Согласно одному из исков к Apple, этот способ шпионажа используется в самых разных преступлениях — от слежки за бывшими до подготовки убийств.
      К счастью для всех нас, защита существует! В рамках кампании «Лаборатории Касперского» по противодействию сталкингу мы расскажем, как за вами могут следить и что с этим делать.
      Слежка онлайн и офлайн
      Слежку за жертвой обычно реализуют одним из двух способов.
      Способ первый, чисто программный. На смартфон жертвы устанавливается коммерческое приложение для слежки — мы называем эту категорию stalkerware или spouseware. Часто такие приложения рекламируются как «приложения родительского контроля», но от легитимного родительского контроля они отличаются скрытностью — после установки деятельность приложения никак не анонсируется. Чаще всего приложение вообще незаметно на устройстве, но иногда оно маскируется подо что-то невинное, будь то мессенджер, игра или приложение-фотоальбом. Сталкерские приложения регулярно передают на сервер геолокацию жертвы, способны отправлять атакующему переписки со смартфона и другую конфиденциальную информацию, включать звукозапись с микрофона.
      Главным недостатком stalkerware для атакующего является усложненная установка — для нее нужно заполучить разблокированный смартфон жертвы на некоторое время. Поэтому во многих случаях, особенно когда сталкингом занимается бывший партнер или автоугонщик, в ход идет второй способ.
      Способ второй, с беспроводным маячком. Жертве подкидывают следящее устройство. В машине его могут засунуть в любое малозаметное место — например, за номерной знак — а человеку трекер подкладывают в сумку или другие личные вещи.
       
      View the full article
    • KL FC Bot
      Простые и эффективные советы для защиты от хакеров | Блог Касперского
      От KL FC Bot
      С киберпреступниками рано или поздно сталкиваются практически все — от детей до пенсионеров. И если вы все время откладывали на потом свою кибербезопасность, потому что эта тема кажется вам слишком сложной, то держите пять очень простых советов, которые легко понять и просто выполнять. Но каждый из них сильно улучшит вашу защиту от самых распространенных киберугроз. Мы подготовили этот пост в рамках информационной кампании Интерпола #ThinkTwice, призванной улучшить осведомленность об основных методах кибермошенничества и простых, но надежных способах противодействовать им.
      Автоматизируйте пароли
      Пароли к каждому сайту и приложению должны быть длинными (минимум 12 символов) и никогда не должны повторяться. Придумывать и запоминать столько паролей не может никто, поэтому храните, создавайте и вводите их при помощи менеджера паролей. Вам придется придумать и запомнить только один (длинный!) мастер-пароль к нему, а все остальное — от создания до заполнения паролей — будет происходить автоматически.
      Важные нюансы: менеджер паролей нужно установить на все свои устройства, чтобы вводить пароли с удобством повсюду. Данные будут синхронизироваться между всеми вашими устройствами, и, сохранив пароль в смартфоне, вы сможете автоматически подставить его в поле ввода на компьютере, и наоборот. Кстати, в менеджере паролей можно хранить в зашифрованном виде не только пароли, но и пин-коды, данные кредитных карт, адреса, заметки и даже сканы документов.
      Уровень PRO: для максимальной безопасности отключите вход в парольный менеджер по биометрии — так вам придется каждый раз вводить мастер-пароль, зато никто не сможет получить доступ ко всем вашим данным, не зная мастер-пароля (на стикере его писать не надо).
       
      View the full article
×
×
  • Создать...