Protección contra amenazas web y ataques dirigidos

Se está usando activamente las amenazas web en ataques dirigidos, así que su neutralización debería ser parte integral de una estrategia de defensa contra las APTs (amenaza avanzada persistente).

¿Cómo es que los cibercriminales se infiltran en la infraestructura corporativa? En la vida real existen dispositivos como los que vemos en las películas, como una unidad USB conectada de modo subrepticio, pero no son tan frecuentes. En la última década, los canales de acceso de las amenazas por lo general han sido las páginas web y los correos electrónicos maliciosos. Con los correos, la cosa es bastante sencilla: una solución de seguridad con un motor decente de antivirus y antiphishing en el servidor del correo eliminará la mayoría de las amenazas. Por el contrario, las páginas web normalmente reciben menos atención.

Durante mucho tiempo, los cibercriminales han utilizado la web para toda suerte de ciberataques; y no nos referimos solamente a las páginas de phishing que roban credenciales de los usuarios haciéndose pasar por servicios en línea, o a los sitios maliciosos que explotan las vulnerabilidades del navegador. Los ataques dirigidos contra objetivos específicos también echaron mano de las amenazas web.

Amenazas web en ataque dirigidos

En el análisis de APTs del 2019 de Securelist, nuestros expertos en ciberseguridad ofrecen un ejemplo de un ataque de APT que se vale del método de water-hole. En el ataque dirigido, los cibercriminales comprometieron el sitio web del Centro de Estudios de Guerra Terrestre (CLAWS, por sus siglas en inglés) de la India, y lo utilizaron para albergar un documento malicioso que distribuyó un troyano cuyo objetivo era ganar acceso al sistema.

Un par de años atrás, otro grupo lanzó un ataque a la cadena de suministro, con lo cual comprometieron el entorno de compilación del desarrollador de una aplicación popular e insertaron un módulo malicioso en el producto. La aplicación infectada con el ataque de APT, que contaba con una firma digital de buena fe, se distribuyó durante un mes en el sitio web oficial del desarrollador.

Dichos casos de mecanismos de amenazas web implementados en ataques de APT no son sucesos aislados. Se sabe que los cibercriminales estudian los intereses de los empleados y, a través de aplicaciones de mensajería o redes sociales, les envían enlaces maliciosos que aparentan ser sitios web que probablemente les gusten. La ingeniería social obra maravillas en los sujetos incautos.

Protección integrada contra ataques dirigidos

Nos parecía evidente que, con el fin de mejorar la protección contra los ataques dirigidos, necesitábamos contemplar las amenazas web dentro un contexto donde hay otros eventos al interior de la red corporativa. Por lo tanto, Kaspersky Web Traffic Security 6.1, lanzado en vísperas del cambio de año, se puede integrar con la plataforma Kaspersky Anti-Targeted Attack. Operan de modo conjunto para proteger la seguridad de los datos de las empresas, por lo que se complementan y refuerzan las defensas generales de la red.

Ahora es posible configurar una comunicación bidireccional entre la solución de protección de la puerta de enlace web y la solución de protección contra amenazas dirigidas. Primero, eso permite que la aplicación basada en la puerta de enlace envíe el contenido sospechoso para someterlo a un análisis dinámico y exhaustivo.  En segundo lugar, ahora Kaspersky Anti-Targeted Attack cuenta con una fuente adicional de información proveniente de la puerta de enlace, lo que permite detectar oportunamente los componentes de archivo de un ataque sofisticado y bloquear la comunicación del malware con los servidores de comando y control. Esto, en consecuencia, frustra el escenario del ataque dirigido.

La protección integrada contra ataques dirigidos puede implementarse perfectamente en todos los niveles. Esto implica configurar una plataforma de defensa contra amenazas dirigidas para recibir y analizar datos los datos provenientes de las estaciones de trabajo y los servidores virtuales o físicos, así como del servidor de correo electrónico. Si se detecta una amenaza de ataque dirigido, los resultados de su análisis se remiten a Kaspersky Web Traffic Security y se usan para bloquear de modo automático los objetos similares (así como sus intentos de comunicarse con los servidores de comando y control) al nivel de puerta de enlace.

Consulta la página Kaspersky Web Traffic Security si deseas más información acerca de nuestra aplicación de protección para puertas de enlace.

Consejos