Перейти к содержанию

Простая защита от сложных атак

KL FC Bot
 Поделиться

Рекомендуемые сообщения

KL FC Bot Гигант мысли

KL FC Bot

Опубликовано
Опубликовано

Как подсказывает логика, атака на компанию имеет смысл только в том случае, если возможная прибыль будет выше, чем затраты на организацию этой атаки. В недалеком прошлом злоумышленники оберегали свои наработки друг от друга, как настоящую коммерческую тайну. Инструменты для продвинутых атак если и продавались в даркнете, то далеко не всем и за значительные суммы. По-настоящему технически сложные атаки использовались только против крупных предприятий или государственных структур. Поэтому небольшим компаниям хватало защиты от массовых угроз.

Сейчас тренды изменились. Инструменты, разработанные для сложных атак, периодически оказываются если не в свободном доступе, то в свободной продаже; авторы вредоносов все чаще сдают свои разработки «в аренду» по модели Malware-as-a-service; киберпреступные группировки объединяются в своеобразные картели. Все это приводит к тому, что стоимость организации атаки значительно снижается. Следовательно, опускается планка «прибыльности цели», а значит, теперь даже небольшую компанию могут атаковать достаточно сложными инструментами.

Пока вы защищаете компанию от рассылок вредоносов в спамерских письмах и невнимательности сотрудников, для защиты хватает традиционных решений. Но c тех пор как стало понятно, что ваш бизнес может стать целью более серьезной атаки, требуется новый подход. Теперь, даже выбрав целью небольшую фирму, злоумышленники могут воспользоваться атакой через цепочку поставок, годами скрываться в инфраструктуре жертвы, шпионя за ней, применять эксплойты для уязвимостей нулевого дня и вредоносные инструменты, работающие через легитимный софт.

Компании уровня Enterprise для защиты от таких угроз пользуются принципиально иными защитными средствами — в первую очередь, решениями класса Endpoint Detection and Response. Но, как правило, такие платформы требуют если не собственного полноценного центра безопасности (Security Operations Center), то по крайней мере целой команды ИБ-специалистов. Не каждой компании целесообразно иметь в штате такое количество безопасников.

Впрочем, это не значит, что корпоративную инфраструктуру придется оставить незащищенной. Мы разработали другой подход к защите конечных точек, подразумевающий применение интегрированного решения, объединяющего функции Endpoint Protection Platform (EPP) и Endpoint Detection and Response (EDR) с дополнительными инструментами. Таким образом, мы создали единое автоматизированное решение, обеспечивающее защиту как от массовых, так и от более сложных угроз.

Главная новинка здесь — Kaspersky Endpoint Detection and Response (EDR) Optimum. Этот компонент позволяет реализовать основные функции EDR, необходимые для широкого спектра компаний: прозрачность инфраструктуры, меры по расследованию инцидентов и реагированию на инциденты.

Благодаря этому Kaspersky EDR Optimum позволяет быстро найти корень проблемы, оценить настоящий масштаб и источник атаки, а значит, обеспечить автоматическую реакцию по всем рабочим станциям. Что, в свою очередь, минимизирует ущерб и обеспечит непрерывность бизнес-процессов.

Главное в нем то, что он прост в обращении и не нуждается в наличии особых экспертных навыков у оператора. Кроме того, за счет высокого уровня автоматизации ему требуется гораздо меньше внимания в повседневной работе, чем можно было бы ожидать от решения класса EDR. А это ключевой фактор, который позволит широкому рынку начать строить свою защиту от сложных угроз без полной перенастройки процессов и расходования значительных ресурсов.

В зависимости от того, какие функции необходимы каждой конкретной компании, наше решение может включать дополнительные инструменты для защиты почтовых серверов и интернет-шлюзов, а также продвинутую песочницу для изучения подозрительных объектов в изолированной среде — Kaspersky Sandbox. Она позволяет автоматически блокировать продвинутые, неизвестные и сложные угрозы без привлечения дополнительных ресурсов, что также позволяет уменьшить нагрузку на ИТ.

Если вы уже используете Kaspersky Security для бизнеса, то можете в любой момент усилить его функциональность, активировав дополнительный лицензионный ключ. Узнать больше об интегрированном подходе и о функциях наших защитных решений, а также запросить пробную версию можно на странице предложения.

View the full article

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • KL FC Bot
      Что такое ClickFix и как защититься от таких атак | Блог Касперского
      Автор KL FC Bot
      Злоумышленники все чаще используют для заражения компьютеров Windows технику ClickFix, заставляя пользователей самостоятельно запускать вредоносные скрипты. Впервые применение этой тактики было замечено весной 2024 года. За прошедшее время злоумышленники успели придумать целый ряд сценариев ее применения.
      Что такое ClickFix
      Техника ClickFix — это, по сути, попытка злоумышленников выполнить вредоносную команду на компьютере жертвы, полагаясь исключительно на приемы социальной инженерии. Злоумышленники под тем или иным предлогом убеждают пользователя скопировать длинную строку (в подавляющем большинстве случаев это скрипт PowerShell), вставить ее в окно запуска программы и нажать Enter, что в итоге должно привести к компрометации системы.
      Чаще всего атака начинается со всплывающего окна, имитирующего нотификацию о какой-либо технической проблеме. Чтобы исправить эту проблему, пользователю необходимо выполнить несколько простых действий, которые так или иначе сводятся к копированию какого-то объекта и запуску его через окно Run. Впрочем, в Windows 11 PowerShell можно выполнить и из строки поиска приложений, настроек и документов, которая открывается при нажатии на иконку с логотипом, поэтому жертву просят скопировать что-либо именно туда.
      Атака ClickFix — как своими руками заразить собственный компьютер зловредом за три простых шага. Источник
      Название ClickFix эта техника получила, поскольку чаще всего в нотификации присутствует кнопка, название которой так или иначе связано с глаголом починить (Fix, How to fix, Fix it) и на которую пользователю надо кликнуть, чтобы решить якобы возникшую проблему или увидеть инструкцию по ее решению. Однако это не обязательный элемент — необходимость запуска могут аргументировать требованием проверить безопасность компьютера или, например, просьбой подтвердить, что пользователь не робот. В таком случае могут обойтись и без кнопки Fix.
      Пример инструкции для подтверждения, что вы не робот. Источник
      От реализации к реализации схема может немного отличаться, но чаще всего атакующие выдают жертве следующую инструкцию:
      нажать кнопку для копирования решающего проблему кода; нажать сочетание клавиш [Win] + [R]; нажать сочетание [Ctrl] + [V]; нажать [Enter]. Что при этом происходит на самом деле? Первый шаг скопирует в буфер обмена какой-то невидимый пользователю скрипт. Второй — откроет окно Run («Выполнить»), которое в Windows предназначено для быстрого запуска программ, открытия файлов и папок, а также ввода команд. На третьем этапе в него из буфера обмена будет вставлен скрипт PowerShell. Наконец, на последнем этапе этот код будет запущен с текущими привилегиями пользователя.
      В результате выполнения скрипта на компьютер загружается и устанавливается какой-либо зловред — конкретная вредоносная нагрузка разнится от кампании к кампании. То есть получается, что пользователь своими руками запускает вредоносный скрипт в собственной системе и заражает свой компьютер.
       
      View the full article
    • elen sim
      Какой антивирус лучше настроить для максимальной защиты
      Автор elen sim
      Какой антивирус лучше настроить для максимальной защиты при работе с онлайн-банкингом — достаточно ли возможностей у Kaspersky Internet Security, или стоит рассмотреть Kaspersky Plus/Total Security?
    • foroven
      Обнаружена сетевая атака
      Автор foroven
      Добрый день. После того как мы словили вирус шифровальщик и был установлен антивирусный продукт лаборатории Касперского, в его журнале каждый час стали появляться записи о сетевой атаке. Причем адрес атакующего компьютера это Linux-система с установленным Kerio Control. Может ли Касперсий так реагировать на его работу? Или он может быть заражен? Спасибо.
    • KL FC Bot
      Фишинг через Google Ads: атаки на SEOшников и маркетологов
      Автор KL FC Bot
      Многие сотрудники компаний используют в повседневной работе внешние онлайн-сервисы, доступные через браузер. Некоторые помнят адреса часто используемых сайтов и набирают их по памяти, другие сохраняют закладки. Но есть люди, которые каждый раз вбивают название сайта в поисковик и переходят по первой ссылке в выдаче. Именно на них, по всей видимости, и рассчитывают злоумышленники, продвигающие фишинговые сайты через платформу Google Ads. За счет этого фальшивые страницы выдаются в поиске выше, чем ссылка на легитимный сайт.
      Согласно отчету Ads Safety Report, за 2024 год Google заблокировала или удалила 415 миллионов рекламных объявлений Google Ads за нарушения правил, преимущественно связанных с мошенничеством. Компания также заблокировала 15 миллионов рекламных аккаунтов, размещавших подобную рекламу. Эта статистика дает возможность представить масштаб проблемы — Google Ads является невероятно популярным среди преступников инструментом для продвижения вредоносных ресурсов. Большая часть таких схем направлена на домашних пользователей, но в последнее время в новостях появлялись заметки с описаниями случаев охоты за корпоративными аккаунтами в таких сервисах, как Semrush, или даже в самом сервисе Google Ads.
      Поддельные страницы Semrush
      Semrush — популярная платформа для подбора ключевых слов, анализа сайтов конкурентов, отслеживания обратных ссылок и тому подобного. Ей пользуются SEO-специалисты по всему миру. Для большей эффективности Semrush часто интегрируется с Google Analytics и Google Search Console — а аккаунты в этих сервисах могут содержать массу конфиденциальной информации о бизнесе компаний. Например, показатели доходов, сведения о маркетинговых стратегиях, анализ поведения клиентов и многое другое.
      Если злоумышленники смогут получить доступ к аккаунту Semrush, то эта информация может быть использована для проведения новых атак на других сотрудников или просто продана в даркнете.
      Неудивительно, что нашлись злоумышленники, затеявшие фишинговую кампанию, нацеленную на SEO-специалистов. Они создали серию сайтов, оформление которых достаточно точно повторяет страницу входа в аккаунт Semrush. Для убедительности преступники использовали целый ряд доменных имен, содержащих название имитируемой компании: «semrush[.]click», «semrush[.]tech», «auth.seem-rush[.]com», «semrush-pro[.]co», «sem-rushh[.]com» и так далее. И все эти сайты продвигались с помощью объявлений в Google Ads.
       
      View the full article
    • KL FC Bot
      Ransomware-группировка использует ClickFix для атак на компании
      Автор KL FC Bot
      Ransomware-группировка Interlock начала использовать технику ClickFix для проникновения в инфраструктуру своих жертв. В одном из недавних постов мы уже рассказывали об общей идее ClickFix, а сегодня поговорим о конкретном примере использования этой тактики одной из группировок. Исследователи кибербезопасности обнаружили, что Interlock использует поддельную CAPTCHA якобы от Cloudflare на странице, маскирующейся под сайт Advanced IP Scanner — популярного бесплатного сетевого сканера.
      Исходя из этого можно предположить, что атаки нацелены на ИТ-специалистов, работающих в потенциально интересующих группировку организациях. Судя по всему, Interlock находится на этапе тестирования новых инструментов, в частности техники ClickFix.
      Как Interlock использует ClickFix для распространения вредоносного ПО
      Злоумышленники из Interlock заманивают жертву на страницу, адрес которой имитирует адрес сайта Advanced IP Scanner. Описавшие атаку исследователи нашли одну и ту же страницу, размещенную по нескольким адресам в Сети.
      При переходе по ссылке пользователь видит извещение о необходимости пройти CAPTCHA, якобы от Cloudflare. В сопутствующем тексте мошенники рассказывают жертве о том, что Cloudflare «помогает компаниям восстановить контроль над своими технологиями». За этим достаточно типичным бизнесовым текстом, скопированным со страницы «Что такое Cloudflare?» настоящего веб-сайта компании, следует указание: нажать сочетание [Win] + [R], затем [Ctrl] + [V] и, наконец, [Enter]. После этой инструкции находятся кнопки Fix it (Исправить проблему) и Retry (Повторить попытку).
      Внизу следует объяснение: якобы ресурс, на который пытается войти жертва, должен проверить безопасность соединения.
      На практике, когда жертва нажимает кнопку Fix it, в буфер обмена автоматически копируется вредоносная команда
      PowerShell. После этого пользователь сам открывает консоль с помощью сочетания клавиш [Win] + [R] и сам же вставляет эту команду через [Ctrl] + [V]. После нажатия [Enter] вредоносная команда выполняется.
      В результате выполнения команды на компьютер жертвы загружается 36-мегабайтный файл поддельного установщика PyInstaller,. Для отвлечения внимания жертвы при этом в браузере открывается окно с настоящим сайтом Advanced IP Scanner.
       
      View the full article
×
×
  • Создать...