APT
Wie dringen Cyberkriminelle in die Unternehmensinfrastruktur ein? In Filmen kommt es oft zur Infizierung der Systeme durch einen bösartigen USB Stick. Dies kann außerhalb der Leinwand passieren, gehört jedoch nicht zum Alltag. In den letzten zehn Jahren galten E-Mails und bösartige Webseiten also wichtigste Infektionskanäle. Bei E-Mails liegt die Lösung auf der Hand: Eine Sicherheitslösung mit einer anständigen Antiphishing- und Antivirus-Engine auf dem E-Mail-Server beseitigt die meisten Bedrohungen. Im Vergleich dazu erhalten Web-Bedrohungen normalerweise viel weniger Aufmerksamkeit.
Cyberkriminelle nutzen das Web seit langem für alle Arten von Angriffen, und damit sind nicht nur Phishing-Seiten gemeint, die Anmeldedaten für Onlinedienste stehlen, oder böswillige Websites, die Sicherheitslücken im Browser ausnutzen. Fortgeschrittene Angriffe auf bestimmte Ziele verwenden ebenfalls Web-Bedrohungen.
Web-Bedrohungen bei gezielten Angriffen
In Securelists APT-Rezension für das Jahr 2019 erklären unsere Experten einen APT-Angriff anhand eines Beispiels, bei dem die Watering Hole Angriffsstrategie verwendet wird. Bei dem Angriff haben Cyberkriminelle die Website des indischen Zentrums für Landkriegsforschung (CLAWS) kompromittiert und ein bösartiges Dokument gehostet. Mit dem verteilten Trojaner erhielten die Angreifer Fernzugang auf das System.
Vor ein paar Jahren startete eine andere Gruppe einen Supply-Chain-Angriff, der die Kompilierungsumgebung des Entwicklers einer beliebten Anwendung gefährdete und ein bösartiges Modul in das Produkt einbettete. Die infizierte Anwendung mit ihrer echten digitalen Signatur wurde einen Monat lang auf der offiziellen Website des Entwicklers verteilt.
Dies sind keine Einzelfälle von Web-Bedrohungsmechanismen, bei denen APT-Angriffe eingesetzt werden. Es ist bekannt, dass Cyberkriminelle die Interessen von Mitarbeitern untersuchen und ihnen böswillige Links über Messenger oder soziale Netzwerken senden, die wie Websites aussehen, die ihnen gefallen könnten. Social Engineering wirkt Wunder auf blindvertrauende Individuen.
Integrierte Absicherung
Uns wurde klar, dass wir zur Verbesserung des Schutzes vor gezielten Angriffen Web-Bedrohungen im Zusammenhang mit anderen Ereignissen im Unternehmensnetzwerk berücksichtigen mussten. Aus diesem Grund kann unsere veröffentlichte Kaspersky Web Traffic Security 6.1 in die Kaspersky Anti-Targeted Attack-Plattform integriert werden. Sie ergänzen sich gegenseitig und stärken die allgemeine Abwehr des Netzwerks.
Die Einrichtung einer bidirektionalen Kommunikation zwischen der Schutzlösung der Web-Gateways und der Schutzlösung vor gezielten Bedrohungen ist jetzt möglich. Auf diese Weise kann die Gateway-basierte Anwendung verdächtige Inhalte für eine eingehende dynamische Analyse an KATA senden. Zum anderen verfügt Kaspersky Anti-Targeted Attack nun auch über eine zusätzliche Informationsquelle vom Gateway, die es ermöglicht, die Dateikomponenten eines komplexen Angriffs früher zu erkennen und die Kommunikation von Malware mit C&C-Servern zu blockieren, wodurch das Angriffsszenario gestört wird.
Im Idealfall kann ein integrierter Schutz auf allen Ebenen implementiert werden. Dies beinhaltet das Einrichten einer gezielten Bedrohungsabwehrplattform zum Empfangen und Analysieren von Daten, Workstations und physischen oder virtuellen Servern sowie vom Mailserver. Wenn eine Bedrohung erkannt wird, können die Ergebnisse der Analyse an Kaspersky Web Traffic Security weitergeleitet werden. Die Daten werden zur Identifizierung und Blockierung ähnlicher Objekte (und Kommunizierungsversuche mit C&C-Servern) auf Gateway-Ebene verwendet.
Weitere Informationen zu unserer Gateway-Schutzanwendung finden Sie auf der Seite von Kaspersky Web Traffic Security.
Tipps