محفاظت در برابر تهدیدِ وبی و حملات هدف‌دار

۱۳۹۸/۱۱/۷امنیت اطلاعات

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ مجرمان سایبری چطور به زیرساختِ سازمانی رخنه می‌کنند؟ پلات‌دیوایس‌ها (تکنیک‌های پیش‌برنده‌ی نقشه) فقط برای فیلم‌ها نیستند، در دنیای واقعی هم اتفاق می‌افتند. به طور کلی در طول ده سال اخیر کانال‌های اصلی ارسال تهدید، ایمیل‌ها و صفحات وبیِ آلوده بوده‌اند. در مورد ایمیل که تقریباً همه‌چیز واضح و روشن است: یک راهکار امنیتی با موتور آنتی‌فیشینگ و آنتی‌ویروس مناسب روی میل‌سرور می‌تواند اکثر تهدیدها را از بین ببرد. اما در مقایسه، تهدیدهای وبی معمولاً کمتر جلب توجه می‌کنند. مجرمان سایبری مدت‌هاست برای هر نوع از حملات از وب استفاده می‌کنند- منظورمان صرفاً صفحات فیشینگی که اطلاعات محرمانه‌ی کاربران را برای سرویس‌های آنلاین سرقت می‌کنند یا سایت‌های آلوده‌ای که آسیب‌پذیری‌های مرورگر را اکسپلویت می‌کنند نیست. حملات پیشرفته‌ی هدف‌دار هم از تهدیدهای وبی برای مقاصد شرورانه‌ی خود استفاده می‌کنند.

تهدیدهای وبی در حملات هدف‌دار

متخصصین بخش تحلیل APT سکیورلیست در سال 2019 نمونه‌ای داده‌اند از یک حمله‌ی APT که از روش حمله‌ی گودال آب[1] استفاده می‌کرد. در این حمله، مجرمان سایبری وبسایتِ CLAWS (مرکز مطالعات جنگ زمینی هندوستان) را دستکاری کرده و از آن برای میزبانیِ داکیومنتی آلوده استفاده نمودند؛ داکیومنتی که برای دسترسی ریموت به سیستم تروجانی را توزیع کرد. چند سال پیش، گروه دیگری اقدام به یک حمله‌ی زنجیره تأمین کردند و طی این حمله، محیط کامپایلیشنِ توسعه‌دهنده‌ی اپی محبوب را دستکاری نمودند. سپس ماژولی آلوده را نیز در محصول جاگذاری کردند. این اپ آلوده با امضای دیجیتال واقعی‌اش به مدت یکماه روی وبسایت رسمیِ توسعه‌دهنده توزیع شده بوده است. موارد فوق تنها به مکانیزم‌های تهدید بکارگرفته‌شده در حملات APT محدود نمی‌شوند. مجرمان سایبری به مطالعه‌ی علایق کارمندان و ارسال لینک‌های آلوده در پیام‌رسان‌ها و یا شبکه‌های اجتماعی‌ -در قالب وبسایت‌هایی به ظاهر مورد علاقه‌ی آن‌ها- معروفند. مهندسی اجتماعی رگ خواب افراد را بلد است و خوب می‌داند چطور اعتماد آن‌ها را جلب کند.

حفاظت یکپارچه

در نهایت به این موضوع پی بردیم که برای ارتقای سطح حفاظت در مقابل حملات هدف‌دار می‌بایست تهدیدهای وبی را در زمینه‌ی سایر رویدادها در شبکه‌ی یک سازمان نیز لحاظ می‌کردیم. بنابراین، Kaspersky Web Traffic Security 6.1 که درست قبل از شروع سال نو منتشر شد با پلت‌فرم Kaspersky Anti-Targeted Attack قابل‌یکپارچه‌سازیست. این دو دست در دست یکدیگر می‌توانند سطح دفاعی شبکه را به طور کلی بالا ببرند.

اکنون این امکان وجود دارد که بتوان ارتباطی دوسویه را بین راهکار حفاظت وب و راهکار محافظت در برابر تهدیدهای هدف‌دار ایجاد نمود. ابتدا این ارتباط اجازه می‌دهد اپِ مبتنی بر درگاه وب، محتوایی مشکوک را ارسال کند (برای تحلیل عمیق و پویا). دوم اینکه Kaspersky Anti-Targeted Attack همچنین اکنون یک منبع اطلاعاتی اضافی از این درگاه وبی دارد که موجب شناسایی اولیه‌ی اجزای فایل یک حمله‌ی پیچیده و مسدود شدن ارتباط بدافزار با سرورهای  C&C می‌شود؛ سرورهایی که به بواسطه‌ی آن‌ها سناریوی حمله‌ی هدف‌دار مختل می‌گردد. در حالت ایده‌آل، حفاظت یکپارچه می‌تواند در تمام سطوح به کار گرفته شود. این شامل راه‌اندازی یک پلت‌فرم دفاع در برابر تهدید هدف‌دار برای دریافت و تحلیل اطلاعات از سوی ایستگاه‌های کار و سرورهای فیزیکی/مجازی و همچنین میل‌سرورها می‌شود. اگر تهدیدی شناسایی شود، نتایج تحلیلش می‌تواند به Kaspersky Web Traffic Security فوروارد شده و به طور اتوماتیک برای مسدود کردن موارد مشابه مورد –در سطح درگاه وب- استفاده قرار گیرد.

 

[1] Watering hole attack

 

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.