Защита от веб-угроз в контексте целевых атак

Киберпреступность давно использует веб для разного рода атак. И это далеко не только фишинговые страницы, пытающиеся выманить учетные данные к онлайн-сервисам, и случайные вредоносные сайты, эксплуатирующие браузерные уязвимости. Веб-угрозы применяются и в продвинутых атаках, которые должны нанести вред конкретным целям.
Веб-угрозы в целевых атаках
В  отчете об APT-угрозах за 2019  год наши эксперты приводят пример APT-атаки с применением техники watering hole. Злоумышленники каким-то образом скомпрометировали веб-сайт индийского «Центра исследований сухопутных войн» (Centre for Land Warfare Studies, CLAWS) и использовали его для хостинга вредоносного документа, с помощью которого распространяли троян для удаленного доступа к системе.
Пару лет назад другая группировка провернула  атаку через цепочку поставок : они скомпрометировали среду компиляции разработчика популярного приложения и встроили в продукт свой вредоносный модуль. В результате на легитимном сайте разработчика целый месяц распространялось зараженное приложение с абсолютно подлинной цифровой подписью.
И это не единичные случаи применения веб-механизмов в APT-атаках. Бывает, что злоумышленники изучают интересы сотрудников и через мессенджеры или социальные сети присылают вредоносную ссылку, имитирующую сайт на близкую им тему. Да мало ли способов подобрать «отмычку» к человеку при помощи методов социальной инженерии?
Комплексная защита
Нам стало очевидно, что для повышения эффективности защиты от целевых атак веб-угрозы нужно рассматривать не отдельно, а в контексте прочих событий в корпоративной сети. Поэтому новая версия нашего приложения Kaspersky Web Traffic Security 6.1, вышедшая в последних числах прошлого года, позволяет интегрироваться с платформой Kaspersky Anti-Targeted Attack. Работая в тандеме, они дополняют друг друга, укрепляя общую «обороноспособность» сети.
Теперь при необходимости можно настроить двунаправленную связь между решением для защиты веб-шлюза и решением, защищающим от целевых угроз. Благодаря этому, во-первых, приложение, работающее на шлюзе, получает возможность отправлять подозрительный контент для углубленного динамического анализа. Во-вторых, Kaspersky Anti-Targeted Attack теперь имеет дополнительный источник информации от шлюза, практически еще один сенсор. В результате это позволяет гораздо раньше обнаруживать файловые компоненты сложных атак и блокировать коммуникации с управляющими серверами, а следовательно, нарушать сценарии сложных целевых атак.
В идеале можно реализовать сценарий комплексной защиты на всех уровнях: настроить платформу защиты от целевых угроз так, чтобы она получала и анализировала данные с рабочих станций, физических и виртуальных серверов, а также с почтового сервера. В случае обнаружения угрозы результаты ее анализа могут быть переданы Kaspersky Web Traffic Security и использованы для автоматической блокировки аналогичных объектов (и их попыток связи с управляющими серверами) на уровне шлюза.
Больше информации о приложении для защиты шлюзов можно узнать на странице  Kaspersky Web Traffic Security .
Источник
Batafsil | Подробно | Read more... InfoCOM