APT
Siber suçlular kurumsal altyapıya nasıl giriyor? Filmlerde herkesin erişebileceği bir yere bırakılan virüslü bir flash sürücüyle gerçekleştirilen komplolar gerçek hayatta da karşımıza çıksa da, bunlara çok sık rastlanmaz. Son on yılda ana tehdit dağıtım kanalları genellikle e-posta ve kötü amaçlı web sayfaları oldu. E-posta açısından her şey oldukça açık: Posta sunucusunda iyi bir kimlik avı önleme ve virüsten koruma motoru bulunan bir güvenlik çözümü, çoğu tehdidi ortadan kaldırır. Buna kıyasla web tehditleri genellikle çok daha az dikkat çekiyor.
Siber suçlular uzun zamandır web’i her türlü saldırı için kullanıyor. Üstelik yalnızca kullanıcıların çevrimiçi hizmetler için kimlik bilgilerini çalan kimlik avı sayfalarını veya tarayıcı güvenlik açıklarından yararlanan kötü amaçlı siteleri kastetmiyoruz. Belirli hedeflere yönelik gelişmiş saldırılar da web tehditlerini de kullanıyor.
Hedefli saldırılardaki web tehditleri
Securelist’in 2019 APT incelemesinde uzmanlarımız, “watering hole” yöntemini kullanan bir APT saldırısını örnek verdi. Siber suçlular Hindistan’ın Kara Harp Araştırmaları Merkezi’nin (CLAWS) web sitesine saldırarak sisteme uzaktan erişim sağlamak amacıyla siteyi Truva Atı dağıtan kötü amaçlı bir belgeyi barındırmak için kullanmıştı.
Birkaç yıl önce ise başka bir grup, popüler bir uygulamanın geliştiricisinin derleme ortamına saldrırarak kötü niyetli bir modülü ürüne gömen bir tedarik zinciri saldırısı başlatmıştı. Etkilenen uygulama, geçerli dijital imzası ile geliştiricinin resmi web sitesinde bir ay boyunca dağıtıldı.
Yukarıdakiler, APT saldırılarında Web tehdidi mekanizmalarının kullanıldığı istisnai durumlar değil. Siber suçluların, çalışanların ilgi alanlarını inceledikleri ve mesajlaşma uygulamaları veya sosyal ağlar üzerinden bu ilgi alanlarına hitap edecek web sitelerine benzeyen kötü amaçlı bağlantılar gönderdikleri biliniyor. Sosyal mühendislik çalışmaları, güven duyan kişiler üzerinde harikalar yaratabiliyor.
Entegre koruma
Hedefli saldırılara karşı korumayı iyileştirmek için, Web tehditlerini şirket ağındaki diğer olaylar bağlamında dikkate almamız gerektiği açıktı. Bu nedenle, yeni yılda piyasaya sürülen Kaspersky Web Traffic Security 6.1, Kaspersky Anti-Targeted Attack Platform ile entegre edilebiliyor. Ağın genel savunmasını güçlendirmek için birlikte çalışarak birbirlerini tamamlıyorlar.
Web ağ geçidini koruyan çözüm ile hedefli tehditlere karşı koruma sağlayan çözüm arasında çift yönlü iletişim kurmak artık mümkün. Bu, öncelikle ağ geçidi tabanlı uygulamanın derinlemesine dinamik analiz için şüpheli içerik göndermesine izin veriyor. İkincisi, Kaspersky Anti-Targeted Attack de artık ağ geçidinden ek bir bilgi kaynağına sahip olduğu için karmaşık bir saldırının dosya bileşenlerinin daha erken tespit edilmesini ve kötü amaçlı yazılımın C&C sunucularıyla iletişiminin engellenmesini sağlıyor.
Entegre koruma, ideal olarak her seviyede uygulanabilir. Bu; iş istasyonlarından, fiziksel veya sanal sunuculardan ve posta sunucusundan veri almak ve analiz etmek için hedefli bir tehdit savunma platformu kurmayı içerir. Bir tehdit algılandığı takdirde analizinin sonuçları Kaspersky Web Traffic Security’ye iletilerek benzer nesneleri (ve C&C sunucularıyla iletişim kurma girişimlerini) ağ geçidi düzeyinde otomatik olarak engellemek için kullanılabilir.
Ağ geçidi koruma uygulamamız hakkında daha fazla bilgi edinmek için Kaspersky Web Traffic Security sayfasına göz atın.
İpuçları