Come fanno i criminali informatici ad entrare nelle infrastrutture aziendali? Scene da film in cui una chiavetta infetta viene lasciata in giro si verificano nella vita reale, ma non molto spesso. Negli ultimi dieci anni, i principali canali di diffusione delle minacce sono stati la posta elettronica e le pagine web dannose. Con la posta elettronica, tutto è abbastanza chiaro: una soluzione di sicurezza con un motore antiphishing e antivirus decente sul server di posta eliminerà la maggior parte delle minacce. In confronto, le minacce web di solito ricevono molta meno attenzione.
I cybercriminali utilizzano da tempo il web per tutti i tipi di cyberattacchi, e non ci riferiamo solo alle pagine di phishing che rubano le credenziali degli utenti per i servizi online o ai siti dannosi che sfruttano le vulnerabilità del browser. Anche gli attacchi avanzati, mirati a obiettivi specifici, si servono delle minacce web.
Minacce web negli attacchi mirati
Nell’analisi del 2019 sulle APT di Securelist, i nostri esperti in sicurezza forniscono un esempio di attacco APT che utilizza il metodo watering-hole. Nell’attacco mirato, i criminali informatici hanno compromesso il sito web dell’indiano Centre for Land Warfare Studies (CLAWS) e lo hanno usato per introdurre un documento dannoso che distribuiva un Trojan e ottenere l’accesso remoto al sistema.
Un paio di anni fa, un altro gruppo ha lanciato un attacco supply chain, compromettendo l’ambiente di compilazione dello sviluppatore di una popolare applicazione e incorporando un modulo dannoso nel prodotto. L’applicazione infetta, con la sua firma digitale autentica, è stata distribuita sul sito ufficiale dello sviluppatore durante un mese.
Non si tratta di casi isolati di meccanismi di minacce web impiegati negli attacchi APT. È risaputo che i cybercriminali studiano gli interessi dei dipendenti e inviano loro su servizi di messaggistica o sui social network link dannosi di siti web che potrebbero essere di loro interesse. L’ingegneria sociale funziona a meraviglia perché fa affidamento sulla buona fede delle persone.
Protezione integrata contro gli attacchi mirati
Ci sembrava ovvio che, per migliorare la protezione contro gli attacchi mirati, fosse necessario considerare le minacce web nel contesto di altri eventi che hanno luogo sulla rete aziendale. Pertanto, la nostra soluzione Kaspersky Web Traffic Security 6.1, rilasciata all’apertura del nuovo anno, può essere integrata alla piattaforma Kaspersky Anti-Targeted Attack. Operando in tandem si completano a vicenda per rafforzare le difese complessive della rete.
Adesso è possibile impostare una comunicazione bidirezionale tra la soluzione che protegge il gateway web e la soluzione che protegge dalle minacce mirate. In primo luogo, ciò consente all’applicazione basata sul gateway di inviare contenuti sospetti per un’analisi dinamica approfondita. In secondo luogo, Kaspersky Anti-Targeted Attack dispone ora anche di una fonte aggiuntiva di informazioni dal gateway, che consente di rilevare in anticipo i componenti dei file di un attacco complesso e di bloccare la comunicazione del malware con i server C&C, interrompendo così l’attacco mirato.
Teoricamente, una protezione integrata contro gli attacchi mirati può essere applicata su tutti i livelli. Ciò comporta la creazione di una piattaforma di difesa dalle minacce mirate per ricevere e analizzare i dati provenienti dalle workstation e dai server fisici o virtuali, come anche dal server di posta. Se viene rilevata una minaccia, i risultati della sua analisi possono essere inoltrati a Kaspersky Web Traffic Security e utilizzati per bloccare automaticamente oggetti simili a livello di gateway (e i tentativi da parte loro di comunicare con i server C&C).
Per ulteriori informazioni sulla nostra applicazione di protezione del gateway, consultate la pagina Kaspersky Web Traffic Security.