Czasami ryzyko nie leży w nieznanym, ale w znanym. Odwiedzasz blog techniczny, z którym zawsze się zapoznajesz, wchodzisz na portal swojego stowarzyszenia zawodowego lub odwiedzasz stronę internetową narzędzia, z którego korzystasz co tydzień. Wszystko wydaje się godne zaufania... dopóki nieświadomie nie pobierzesz złośliwego oprogramowania, które jest specjalnie ukierunkowane na Twój profil zawodowy.
Jest to zasada ataków typu wodopój (wodopój). Strategia, która wykorzystuje zaufanie użytkownika do niektórych stron internetowych, aby wkraść się na nie bez wzbudzania podejrzeń. Celem nie jest zainfekowanie samej witryny, ale wykorzystanie jej jako narzędzia do kompromitowania odwiedzających.
Jak działa wodopój
Atakujący identyfikuje, które witryny są często odwiedzane przez członków określonej grupy - na przykład specjalistów z branży, pracowników firmy lub członków gildii - i infekuje je złośliwym kodem.
Gdy cel wchodzi do sieci jak zwykle, jego system może zostać automatycznie zaatakowany przez luki w przeglądarce, nieaktualne wtyczki lub niewidoczne pliki do pobrania.
W przeciwieństwie do phishingu, który musi przekonać użytkownika do kliknięcia czegoś podejrzanego, tutaj odchodzisz z własnej woli do zaufanej witryny. I właśnie dlatego ten atak jest tak skuteczny.
Znane przypadki, które wzbudziły podejrzenia
Kilka grup zaawansowanych zagrożeń (APT) z powodzeniem zastosowało tę taktykę. Przykładem był atak na członków amerykańskiej społeczności bezpieczeństwa narodowego przy użyciu wyspecjalizowanych witryn obronnych.
Niedawno wykryto kampanie wymierzone w badaczy kryptografii za pośrednictwem legalnych platform akademickich i technicznych, które zostały tymczasowo przejęte bez ostrzeżenia ze strony ich administratorów.
Jak wykryć, czy zaufana witryna została naruszona?
Nie zawsze jest to oczywiste, ale można zwracać uwagę na pewne oznaki:
- Strona ładuje się wolniej niż zwykle lub występują dziwne błędy w skryptach.
- Przeglądarka wyświetla nieoczekiwane ostrzeżenia dotyczące bezpieczeństwa.
- Zmiany w zachowaniu urządzenia po uzyskaniu dostępu (np. nietypowe procesy, spowolnienie, nieprawidłowe zużycie pamięci).
- Automatyczne pobieranie bez ingerencji użytkownika.
Oczywiście znaki te nie są ostateczne, ale jeśli masz podejrzenia, najlepiej odciąć dostęp i sprawdzić.
Dobre praktyki zmniejszające ryzyko bez ograniczania działalności
Wiemy, że unikanie wszystkich zewnętrznych witryn nie jest realistyczną opcją. Oto kilka środków, które można podjąć, aby chronić się bez uszczerbku dla produktywności:
1) Korzystaj z aktualnych przeglądarek i bezpiecznych rozszerzeń.
Przeglądarka jest pierwszą linią obrony. Zawsze aktualizuj ją i unikaj rozszerzeń, których nie potrzebujesz. Niektóre kampanie wykorzystują podatne wtyczki do przeprowadzania cichych ataków.
2. wdrożenie filtrowania nawigacji i analizy ruchu.
Rozwiązania bezpieczeństwa obwodowego (takie jak zapory nowej generacji lub systemy wykrywania DNS) mogą pomóc w identyfikacji znanych domen, które są powiązane z aktywnymi kampaniami infekcji.
3. Odizolowanie nawigacji od ryzyka
Dla określonych profili w zespole - takich jak programiści, pracownicy IT lub badacze - można wdrożyć zawarta nawigacja za pośrednictwem środowisk wirtualnych, zdalnych pulpitów lub przeglądarek w piaskownicy. Ogranicza to zakres szkód w przypadku infekcji.
4. Ustanowienie protokołów pobierania
Każdy plik pobrany z zewnętrznych witryn powinien przejść przez aktualny program antywirusowy i, jeśli to możliwe, dodatkowy system kontroli przed otwarciem na sprzęcie produkcyjnym.
5. Podnoszenie świadomości bez siania paranoi
Nie chodzi o to, aby Twój zespół przestał badać, szukać rozwiązań lub konsultować się z forami. Kluczem jest edukacja w celu wykrywania zagrożeńwiedzą, jak postępować w razie wątpliwości i mają wdrożone procesy w celu zminimalizowania narażenia.
Niewidzialny może być również skierowany
Ataki typu "watering hole" nie są przypadkowe. Są selektywne, inteligentne i często ciche. Ich skuteczność polega na wykorzystywaniu przyzwyczajeń i zaufania.
Najlepszym sposobem na ochronę jest więc zachowanie czujności bez unieruchamiania się. Skuteczne bezpieczeństwo to bezpieczeństwo, które towarzyszy zespołowi podczas wykonywania pracy. Bez tarć, ale z osądem.
W MasterBase® jesteśmy przygotowani i dysponujemy platformą, która pomoże w prosty, skuteczny i tani sposób zautomatyzować procesy biznesowe, zapewniając bezpieczeństwo od samego początku. Ponadto możesz poprosić o pomoc konsultanta, który będzie towarzyszył Ci we wdrażaniu zautomatyzowanych procesów dostosowanych do Twoich celów i koncentrujących się na kompleksowej ochronie.
