¿Cómo lo hacen los ciberdelincuentes para introducirse en la infraestructura corporativa? Las situaciones que vemos en las películas en las que se deja una memoria USB infectada por ahí también pasan en la vida real, aunque menos a menudo. En la última década, los canales de acceso de las amenazas por lo general han sido las páginas web y los correos electrónicos maliciosos. Con los correos, la cosa es bastante sencilla: una solución de seguridad con un motor decente de antivirus y antiphishing en el servidor del correo eliminará la mayoría de las amenazas. Por el contrario, las páginas web normalmente reciben menos atención.
Durante mucho tiempo, los cibercriminales han utilizado la web para todo tipo de ataques; y no nos referimos solo a las páginas de phishing que roban credenciales de los usuarios haciéndose pasar por servicios en línea, o a los sitios maliciosos que explotan las vulnerabilidades del navegador. Los ataques dirigidos contra objetivos específicos también echaron mano de las amenazas en web.
Amenazas web en ataques dirigidos
En el análisis de APT del 2019 de Securelist, nuestros expertos ofrecen un ejemplo de un ataque de APT que usa el método de water-hole. En el ataque, los ciberdelincuentes comprometieron el sitio web del Centro de Estudios de Guerra Terrestre (CLAWS, por sus siglas en inglés) de la India y lo utilizaron para albergar un documento malicioso que distribuyó un troyano cuyo objetivo era conseguir el acceso al sistema.
Hace un par de años, otro grupo lanzó un ataque a la cadena de suministro que comprometió el entorno de compilación del desarrollador de una aplicación popular, también insertaron un módulo malicioso en el producto. La aplicación infectada, que contaba con una firma digital auténtica, se estuvo distribuyendo durante un mes en el sitio web oficial del desarrollador.
El problema es que estos mecanismos de amenazas en web implementados en ataques APT no son casos aislados. Se sabe que los cibercriminales estudian los intereses de los empleados y, mediante las aplicaciones de mensajería o redes sociales, les envían enlaces maliciosos que aparentan proceder de sitios web de su preferencia. La ingeniería social puede hacer maravillas con las personas más ingenuas.
Protección integrada
Nos resultó evidente que, con el fin de mejorar la protección contra los ataques dirigidos, necesitábamos contemplar las amenazas web en el contexto de otros eventos dentro de la red corporativa. Por lo tanto, Kaspersky Web Traffic Security 6.1, lanzado en vísperas del cambio de año, se puede integrar con la plataforma Kaspersky Anti-Targeted Attack. Operan de forma conjunta, por lo que se complementan y refuerzan las defensas generales de la red.
Ahora es posible configurar una comunicación bidireccional entre la solución de protección de la puerta de enlace web y la solución de protección contra amenazas dirigidas. En primer lugar, esto permite que la aplicación basada en la puerta de enlace envíe el contenido sospechoso para someterlo a un análisis dinámico y exhaustivo. En segundo lugar, ahora Kaspersky Anti-Targeted Attack cuenta con una fuente adicional de información que proviene de la puerta de enlace, lo que permite detectar oportunamente los componentes del archivo de un ataque sofisticado y bloquear la comunicación del malware con los servidores de comando y control. Esto, en consecuencia, afecta al escenario del ataque dirigido.
Lo ideal sería que la protección integrada pudiera implementarse perfectamente en todos los niveles. Esto implica configurar una plataforma de defensa contra amenazas dirigidas para recibir y analizar los datos que proceden de las estaciones de trabajo y los servidores virtuales o físicos, así como del servidor de correo electrónico. Si se detecta una amenaza, los resultados de su análisis se remiten a Kaspersky Web Traffic Security y se usan para bloquear de forma automática los objetos similares (así como sus intentos de comunicarse con los servidores de comando y control) al nivel de puerta de enlace.
Puedes consultar la página Kaspersky Web Traffic Security para más información acerca de nuestra aplicación de protección para puertas de enlace.