Hoe komen cybercriminelen de bedrijfsinfrastructuur binnen? In films zien we hoe men geïnfecteerde usb-sticks rond laat slingeren, en dat gebeurt ook in het echte leven, maar niet zo vaak. In de afgelopen tien jaar is het belangrijkste toeleveringskanaal voor dreigingen veruit e-mail en schadelijke websites gebleken. Bij e-mail is alles vrij duidelijk: een beveiligingsoplossing met een goede anti-phishing-en antivirus-engine op de mailserver elimineert de meeste dreigingen. In vergelijking met e-mail krijgen web-dreigingen normaal gesproken veel minder aandacht.
Cybercriminelen gebruiken websites al erg lang voor allerlei soorten aanvallen, en dan hebben we het niet alleen over phishing-pagina’s die inloggegevens van gebruikers stelen voor online diensten, of schadelijke websites die kwetsbaarheden in de browser benutten. Geavanceerde aanvallen gericht op specifieke doelwitten kunnen ook gebruikmaken van web-dreigingen.
Web-dreigingen in gerichte aanvallen
In de 2019 APT-beoordeling van Securelist geven onze experts een voorbeeld van een APT-aanval die gebruikmaakt van de watering-hole-methode. In de aanval braken cybercriminelen in op de website van het Indiase Centre for Land Warfare Studies (CLAWS), en gebruikte het deze toegang om een schadelijk document te hosten dat een Trojan verspreidde om op afstand toegang te verkrijgen tot het systeem.
Een aantal jaar geleden lanceerde een andere groep een supply-chain-aanval, waarbij werd ingebroken op de compilatie-omgeving van de ontwikkelaar van een populaire applicatie en er een schadelijke module in het product werd gestopt. De geïnfecteerde applicatie, met zijn bonafide digitale handtekening, werd gedurende een maand op de officiële website van de ontwikkelaar verspreid.
Dit zijn geen alleenstaande gevallen van web-dreigingsmechanismes die worden toegepast in APT-aanvallen. Het is bekend dat cybercriminelen de interesses van werknemers bestuderen en ze schadelijke links sturen via messengers of sociale netwerken die eruitzien als websites die waarschijnlijk aansluiten op hun voorkeuren. Social engineering doet wonderen bij goedgelovige individuen.
Geïntegreerde bescherming
Het werd duidelijk dat om de bescherming tegen gerichte aanvallen te verbeteren, we rekening moesten houden met web-dreigingen in de context van andere evenementen op het bedrijfsnetwerk. Daarom is Kaspersky Web Traffic Security 6.1, in de aanloop naar het nieuwe jaar uitgebracht, integreerbaar met het Kaspersky Anti-Targeted Attack-platform. Ze werken samen en vullen elkaar aan, waardoor de algehele verdediging van het netwerk een stuk robuuster wordt.
Het is nu mogelijk om bidirectionele communicatie tussen het systeem dat de web-gateway beschermt en het systeem dat u tegen gerichte aanvallen beschermt te hebben. Ten eerste zorgt dit ervoor dat de gateway-gebaseerde applicatie verdachte content voor een uitgebreide, dynamische analyse verstuurt. Ten tweede heeft Kaspersky Anti-Targeted Attack nu ook een aanvullende bron van informatie van de gateway, waardoor de bestandscomponenten van een complexe aanval eerder kunnen worden gedetecteerd en de malware-communicatie met C&C-servers kan worden geblokkeerd, en zo wordt het scenario van de gerichte aanval dus verstoord.
Idealiter kan de geïntegreerde bescherming op alle niveaus worden geïmplementeerd. Dit omvat het instellen van een verdedigingsplatform voor gerichte dreigingen om gegevens van werkstations en fysieke of virtuele servers te ontvangen en analyseren, evenals de mailserver. Als er een dreiging wordt gedetecteerd, kunnen de resultaten van deze analyse worden doorgestuurd naar Kaspersky Web Traffic Security en gebruikt worden om vergelijkbare objecten automatisch te blokkeren (en pogingen om met de C&C-servers te communiceren) op het gateway-niveau.
Bekijk de Kaspersky Web Traffic Security-pagina voor meer informatie over onze applicatie voor gateway-bescherming.