Процесс завершен, обнаружена попытка использования уязвимости в Excel

Обновлено: 21.11.2024

В конце 2017 года группа исследователей из Embedi обнаружила уязвимость в Microsoft Office, которая вот уже 17 лет незаметно подвергает системы опасности.

Уязвимость связана с процессом Office Equation Editor (EQNEDT32.EXE), устаревшим редактором формул, который позволяет пользователям создавать математические и научные уравнения. Редактор входит в пакет Microsoft Office и несколько других коммерческих приложений. Хотя приложение можно использовать для формулирования математических уравнений, оно в основном используется вместе с Microsoft Word в качестве встроенного объекта OLE. Microsoft выпустила бинарное исправление для этой уязвимости, но многие системы до сих пор не исправлены. Компания Morphisec выявила несколько кампаний, использующих эту уязвимость в качестве вектора атаки для загрузки и выполнения различных вредоносных полезных нагрузок. Более того, в процессе уравнения были обнаружены дополнительные существенные уязвимости.

Редактор уравнений Microsoft Office:

Об уязвимости редактора уравнений

CVE-2017-11882 — это редкая уязвимость, связанная с переполнением стека, которая позволяет полностью удаленно выполнить код за несколько простых шагов из-за отсутствия защиты ASLR/DEP/стековых канареек. Microsoft вручную выпустила бинарное исправление для этой уязвимости, включая включение ASLR для EQNEDT32.EXE, однако Equation Editor можно полностью исправить только путем перекомпиляции кода. Причины ручного исправления, а не перекомпиляции кода никогда не назывались, но ходят слухи, что исходные чертежи кода были утеряны.

Кто затронут?

Все версии Windows с любым Microsoft Office, включая Microsoft 365, установленные до конца ноября 2017 г.

Как это работает?

Как только жертва открывает файл вредоносного документа (RTF), она выпускает произвольный код, который запускает исполняемый файл с удаленного сервера, контролируемого злоумышленником.

Он обходит механизмы безопасности Windows и Office (даже Windows 10), поскольку продукт был скомпилирован без предотвращения выполнения данных (DEP) и рандомизации адресного пространства (ASLR).

Редактор формул использует формат бинарного уравнения, который называется MTEF . Заголовок MTEF и несколько записей называются данными MTEF. Заголовок содержит общую информацию о данных MTEF. Проанализировав содержимое файла, мы можем заметить, что класс объекта — Equation Editor 3, что означает, что это объект уравнения OLE.

Эта уязвимость активируется, когда EQNEDT32.EXE пытается скопировать имя шрифта в буфер, созданный как локальная переменная в неэкспортированной функции. Обратите внимание, что размер буфера составляет всего 40 (0x28) байт, а это означает, что если имя шрифта длиннее 40 байт, буфер переполнится. Это приводит к перезаписи базового указателя (EBP) и адреса возврата, поэтому после выполнения функции поток управления будет перенаправлен на назначенный адрес, установленный злоумышленником.

Структура стека

В приведенном выше примере функция вернется к 0046681c, адресу WinExec (из kernenl32.dll), где аргументом является «имя шрифта», то есть «cmd /c \\[185].[ 198].[59].[121]\jce.src] & UUUUUUUUU" в нашем примере, который загрузит полезную нагрузку из Интернета и запустит ее на компьютере жертвы.

Риск атаки

С момента публикации эксплойта мы выявили несколько кампаний, использующих этот редактор уравнений в качестве вектора атаки для внедрения вредоносных артефактов в систему. Компания Morphisec наблюдала ряд различных методов, используемых в дикой природе для выполнения вредоносного кода с удаленного сервера злоумышленника:

  • Выполнение cmd.exe(как на картинке выше)
  • Выполнение mshta.exe
  • Выполнение cscript.exe

Последние выявленные кампании извлекали с сервера SMB различные вредоносные данные, например: RokRAT , LokiBot и FormBook.

FormBook — это средство для кражи информации и паролей, которое в последнее время мы наблюдаем все чаще и чаще. это также кейлоггер и может делать скриншоты. Код вредоносного ПО достаточно запутан (без общих строк и вызовов API). LokiBot и FormBook используют методы RunPE/ProcessHollowing, чтобы избежать обнаружения и помешать возможностям продуктов для обеспечения безопасности.

24 января анализ вредоносного трафика также заметил использование этого эксплойта кампаниями Hancitor — это, безусловно, указывает на широкое распространение эксплойта среди киберпреступных групп.

По состоянию на 11 января 2018 года RTF-файл, использующий эту уязвимость, имел коэффициент обнаружения 43/59 в VirusTotal — неплохо:

Однако небольшое изменение в выполняемой методике сразу же снижает оценку статического обнаружения — RTF-файл, использующий эту уязвимость от 16.01.2018, получает только 13/59 в VirusTotal:

Как Morphisec защищает вас от бэкдора редактора формул?

Защита движущихся целей от Morphisec останавливает атаки по всей цепочке атак, как на этапе эксплуатации документа, так и на самом вредоносном ПО. Morphisec не полагается на сигнатуры или шаблоны поведения, а скорее обрабатывает морфинг для предотвращения эксплуатации и вредоносного ПО (вместе и по отдельности). Атака остановлена ​​до того, как она сможет выполнить какую-либо вредоносную деятельность.

Второй раз за последние пять дней исследователи в области безопасности предупреждают, что хакеры используют критическую неисправленную уязвимость в широко используемом программном обеспечении.

Злоумышленники используют неисправленную уязвимость "нулевого дня" в популярной электронной таблице Excel корпорации Microsoft, используя ее для захвата некоторых систем в Азии, многие из которых находятся в государственных учреждениях и крупных корпорациях, говорится в сообщении. Винсент Уифер, вице-президент группы реагирования на проблемы безопасности корпорации Symantec.

В течение нескольких недель хакеры аналогичным образом использовали еще одну неисправленную уязвимость в Adobe Reader, хотя теперь, когда код эксплойта стал общедоступным, эксперты ожидают, что количество атак быстро возрастет.

По словам Уифера, самая новая уязвимость во всех поддерживаемых версиях Excel, включая последнюю — Excel в Office 2007 для Windows и Office 2008 для Mac — связана с форматом файла программы.

"Эта уязвимость очень похожа на уязвимость Adobe [Reader], которую мы обнаружили ранее, поскольку она используется как целевая угроза", — сказал Уифер. Он сказал, что исследователи Symantec впервые обнаружили код атаки вчера и в тот же день сообщили о своих выводах в Microsoft.

Сегодня Microsoft выпустила бюллетень по безопасности с дополнительной информацией об ошибке; обычно это первый шаг к выпуску исправления, когда уязвимость становится общедоступной.

Представитель Microsoft Билл Сиск преуменьшил угрозу для большинства пользователей, повторив комментарий Уифера о том, что количество атак было зафиксировано лишь в ограниченном количестве. Но он пообещал, что компания исправит проблему. «В настоящее время Microsoft работает над обновлением безопасности для Microsoft Office, которое устраняет эту уязвимость, и выпустит его после завершения тестирования», — сказал он в электронном письме.

Согласно рекомендациям Microsoft, этой уязвимости подвержены Excel 2000, 2002, 2003 и 2007 для Windows и Excel 2004 и 2008 для Mac OS X.

До тех пор, пока не будет выпущено исправление, Microsoft заявила, что пользователи могут защитить себя, заблокировав открытие файлов Excel, процесс, который требует редактирования реестра Windows, что обычно не по силам большинству пользователей. Кроме того, пользователи могут запускать документы Excel 2003 через изолированную среду преобразования Microsoft Office (MOICE) — инструмент, который компания запустила в 2007 году и который преобразует эти файлы в более безопасные форматы Office 2007, чтобы удалить возможный код эксплойта.

Однако неясно, насколько MOICE будет эффективен в предотвращении атак, поскольку распространяемый сейчас эксплойт был создан с учетом Excel 2007, — сказал Уифер. Согласно дополнительному анализу Symantec, эксплойт работает на ПК с этой версией Excel, но не работает на более ранних версиях.

Хакеры используют ошибку Excel для доставки троянского коня на целевые машины, добавил Вивер. Троянец действует как загрузчик, способный извлекать и устанавливать дополнительные вредоносные программы на захваченный компьютер.

Уифер отказался проводить черту между недавними событиями нулевого дня, отметив, что атаки, особенно целевые атаки, такие как активация уязвимостей Excel и Adobe Reader, часто происходят волнами. Но он меньше колебался, чтобы размышлять о ближайшем будущем.

"Как только вы говорите о [неисправленной] уязвимости, люди начинают рассматривать ее для использования в широкомасштабных атаках", — сказал он.

Старший репортер Грегг Кейзер рассказывает о Windows, Office, Apple/enterprise, веб-браузерах и веб-приложениях для Computerworld.

Mimecast Threat Center обнаружил уязвимость в инструменте Microsoft Excel, которая позволяет удаленно внедрять вредоносную полезную нагрузку.

Обзор

(Примечание редактора: команда Mimecast Threat Center выражает благодарность члену команды Дорону Аттиасу за вклад в следующее исследование.)

Центр угроз Mimecast обнаружил и разработал метод, в котором используется функция Microsoft Excel, называемая Power Query, для динамического запуска удаленной атаки с динамическим обменом данными (DDE) на электронную таблицу Excel и активного управления полезной нагрузкой Power Query.

Power Query — это мощный и масштабируемый инструмент бизнес-аналитики (BI), который позволяет пользователям интегрировать свои электронные таблицы с другими источниками данных, такими как внешняя база данных, текстовый документ, другая электронная таблица или веб-страница. , назвать несколько. Когда источники связаны, данные можно загружать и сохранять в электронной таблице или загружать динамически (например, при открытии документа).

Команда Mimecast Threat Center обнаружила, что Power Query также можно использовать для запуска сложных, трудно обнаруживаемых атак, объединяющих несколько поверхностей атаки.Используя Power Query, злоумышленники могут внедрить вредоносный контент в отдельный источник данных, а затем загрузить его в электронную таблицу при ее открытии. Вредоносный код может быть использован для удаления и запуска вредоносных программ, которые могут поставить под угрозу компьютер пользователя.

Эта функция предоставляет такие широкие возможности управления, что ее можно использовать для снятия отпечатков пальцев с песочницы или компьютера жертвы еще до доставки какой-либо полезной нагрузки. Злоумышленник имеет потенциальные элементы управления предварительной полезной нагрузкой и предварительной эксплуатацией и может доставить вредоносную полезную нагрузку жертве, а также сделать файл безопасным для песочницы или других решений безопасности.

Mimecast сотрудничал с Microsoft в рамках процесса Координированного раскрытия информации об уязвимостях (CVD), чтобы определить, является ли это предполагаемым поведением для Power Query или это проблема, которую необходимо решить. В настоящее время Microsoft отказалась выпускать исправление и вместо этого предложила обходной путь, помогающий устранить проблему.

Получайте последние исследования угроз из Центра угроз Mimecast на свой почтовый ящик. Подпишитесь на рассылку Cyber ​​Resilience Insights сегодня.

Мы предоставляем подробное пошаговое руководство по потенциальной уязвимости, использующей Power Query для запуска эксплойта DDE, который может сбрасывать и выполнять полезную нагрузку с сайта обмена файлами.

Угрозы, использующие Power Query в качестве поверхности атаки

Поскольку Power Query — это мощный инструмент в Microsoft Excel, потенциальная угроза злоупотребления этой функцией велика. В случае взлома его можно использовать для запуска изощренных атак, сочетающих в себе несколько потенциальных поверхностей атак, от повышения локальных привилегий, атак DDE и эксплойтов удаленного выполнения кода.

Функция Power Query позволяет легко и динамично встраивать удаленный контент. Такие атаки обычно трудно обнаружить, и они дают злоумышленникам больше шансов скомпрометировать хост жертвы. Используя потенциальную уязвимость в Power Query, злоумышленники потенциально могут внедрить любую вредоносную полезную нагрузку, которая не будет сохранена внутри самого документа, а будет загружена из Интернета при открытии документа.

Удаленный контент извлекается и загружается в электронную таблицу.

Анализ формата файла

Проверив формат файла, мы увидели, что "table/table1.xml" был создан со свойствами "имя: "localhost"" (по умолчанию) и "тип: "queryTable.""

Связь между таблицей и конкретными свойствами таблицы запроса была описана в потоке .rels («_rels/table1.xml.rels»), который содержал поле с именем «target» и который указывал на «../queryTables/queryTable1.xml». quetyTable1.xml содержал данные, связывающие «connection.xml» (который собирает все свойства соединения документа) с использованием Поле «connectionId». под " ." Соединение было установлено с объектом dbPr с помощью команды «Select *».

Сам веб-запрос хранился в документе «xl\customXL\item1» и был закодирован в base64.

После декодирования base64 мы открыли находящийся внутри документ «section1», который содержал сам запрос.

Чтобы запустить DDE, пользователь должен дважды щелкнуть ячейку, которая загружает DDE, а затем щелкнуть еще раз, чтобы освободить ее. Эти операции вызовут DDE и запустят полезную нагрузку, полученную из Интернета.

Обход необходимости двойного щелчка — включение автоматического выполнения

Чтобы обойти проблему «нажми и работай», обнаружилось, что в старых версиях Microsoft Office есть некоторые отличия в реализации «Получить внешние данные>> из Интернета». Как уже упоминалось, «dbPr» создается при использовании Microsoft Office 2016, и пользователь должен действовать, чтобы активировать полезную нагрузку (в некоторых случаях, таких как песочницы, эти щелчки могут вызвать обход песочницы).

Когда «Получить внешние данные>> из Интернета» используется в более старых версиях Office (например, 2010), объект, созданный в «Connections.xml», не является «dbPr», как упоминалось ранее. но «webPr», что намного проще. В отличие от «dbPr», «webPr» не требует никаких действий пользователя для запуска полезной нагрузки.

Обход антивирусных программ и песочниц с помощью эксплуатируемого инструмента Power Query

Установив определенный веб-заголовок с помощью Power Query в «расширенном» режиме. Power Query выполнил веб-запрос с запрошенным заголовком «Referer».

Если другое приложение пытается частично имитировать поведение Power Query и не запрашивает веб-страницу с правильным заголовком «Referer», полезные данные будут обслуживаться только при открытии исходного документа с помощью приложения Microsoft Excel.

Поскольку песочница также отправляет пользовательский заголовок как часть запроса, необходим новый способ избежать обнаружения. Вместо этого в Power Query использовались «автоматическое обновление» и интервалы «обновления».

Предотвращение вредоносного содержимого, которое потенциально может пометить этот файл как вредоносное, путем принудительного обновления данных файла при его открытии и удаления данных из диапазона внешних данных перед сохранением.Эти свойства гарантируют, что полезная нагрузка в файле будет обновляться при открытии файла. Установка обновления файла каждую минуту (минимальное время) и подача полезной нагрузки при 10-м запросе. Это означает, что каждая песочница, выполняющая файл менее чем за 10 минут, никогда не получит нашу полезную нагрузку.

В приведенном примере большинство антивирусов со статическим анализом не обнаружат файл (который не содержит полезной нагрузки), а песочницы или другие решения для обеспечения безопасности, которые загружают контент только один или два раза, пропустят его. также.

Временное решение и закрытие

Команда Mimecast Threat Center обратилась в Microsoft Security Response Center (MRSC) с нашей информацией и рабочим доказательством концепции. MRSC открыл дело, но Microsoft решила не исправлять это поведение, и их ответ включал обходной путь: либо использование групповой политики для блокировки внешних подключений к данным, либо использование центра управления безопасностью Office для достижения того же. MRSC принял наш запрос на публикацию этого исследования в соответствии с политикой CVD.

Microsoft опубликовала рекомендацию (4053440), в которой указаны шаги и процедуры для предоставления информации о параметрах безопасности для приложений Microsoft Office. В этом совете содержится руководство о том, что пользователи могут сделать, чтобы обеспечить надлежащую защиту этих приложений при обработке полей динамического обмена данными.

Злоумышленники пытаются разрушить обнаружение жертв. Несмотря на то, что существует вероятность того, что такого рода атаки могут быть обнаружены с течением времени, поскольку информация об угрозах передается между различными экспертами по безопасности и платформами обмена информацией, Mimecast настоятельно рекомендует всем пользователям Microsoft Excel использовать обходные пути, предложенные Microsoft как потенциальную угрозу для этих пользователей Microsoft. является реальным, и эксплойт может нанести ущерб.

Mimecast Targeted Threat Protection обнаруживает и блокирует использование этого метода с помощью расширенного глубокого синтаксического анализа и деобфускации после анализа кода каждого анализируемого файла в реальном времени.

Эксплойт нулевого дня (0day) — это кибератака, нацеленная на уязвимость в программном обеспечении, о которой не знает ни поставщик программного обеспечения, ни поставщики антивирусных программ. Злоумышленник замечает уязвимость в программном обеспечении до того, как кто-либо заинтересован в ее устранении, быстро создает эксплойт и использует его для атаки. Такие атаки с большой вероятностью увенчаются успехом, потому что защиты нет. Это делает атаки нулевого дня серьезной угрозой безопасности.

Обычные векторы атак включают веб-браузеры, которые являются распространенными целями из-за их повсеместного распространения, и вложения электронной почты, которые используют уязвимости в приложении, открывающем вложение, или в определенных типах файлов, таких как Word, Excel, PDF или Flash.

Близким понятием является вредоносное ПО нулевого дня — компьютерный вирус, для которого еще не доступны определенные сигнатуры антивирусного программного обеспечения, поэтому антивирусное программное обеспечение на основе сигнатур не может его остановить.

Обычные цели эксплойта нулевого дня включают:

  1. Государственные ведомства.
  2. Крупные предприятия.
  3. Лица, имеющие доступ к ценным бизнес-данным, таким как интеллектуальная собственность.
  4. Большое количество домашних пользователей, использующих уязвимую систему, например браузер или операционную систему. Хакеры могут использовать уязвимости для взлома компьютеров и создания крупных бот-сетей.
  5. Аппаратные устройства, встроенное ПО и Интернет вещей (IoT).
  6. В некоторых случаях правительства используют эксплойты нулевого дня для атак на отдельных лиц, организации или страны, которые угрожают их естественной безопасности.

Поскольку уязвимости нулевого дня представляют ценность для разных сторон, существует рынок, на котором организации платят исследователям, которые обнаруживают уязвимости. В дополнение к этому «белому рынку» существуют серый и черный рынки, на которых уязвимости нулевого дня продаются без публичного раскрытия на сумму до сотен тысяч долларов.

Примеры атак нулевого дня

Некоторые громкие примеры атак нулевого дня включают:

    1. Stuxnet. Этот вредоносный компьютерный червь нацелен на компьютеры, используемые в производственных целях в нескольких странах, включая Иран, Индию и Индонезию. Основной целью были иранские заводы по обогащению урана с намерением подорвать ядерную программу страны. Уязвимости нулевого дня существовали в программном обеспечении, работающем на промышленных компьютерах, известном как программируемые логические контроллеры (ПЛК), которые работали под управлением Microsoft Windows. Червь заражал ПЛК через уязвимости в программном обеспечении Siemens Step7, заставляя ПЛК выполнять неожиданные команды на оборудовании сборочной линии, выводя из строя центрифуги, используемые для разделения ядерных материалов.
    2. Атака Sony «нулевого дня». Sony Pictures стала жертвой эксплойта нулевого дня в конце 2014 года. Атака нанесла ущерб сети Sony и привела к публикации конфиденциальных корпоративных данных на сайтах обмена файлами.Скомпрометированные данные включали информацию о предстоящих фильмах, бизнес-планы и личные адреса электронной почты высших руководителей Sony. Подробности точной уязвимости, использованной в атаке на Sony, остаются неизвестными.
    3. RSA. В 2011 году хакеры воспользовались неисправленной на тот момент уязвимостью в Adobe Flash Player, чтобы получить доступ к сети охранной компании RSA. Злоумышленники рассылали электронные письма с вложениями в виде таблиц Excel небольшим группам сотрудников RSA. Электронные таблицы содержали встроенный файл Flash, в котором использовалась уязвимость Flash нулевого дня. Когда один из сотрудников открыл электронную таблицу, злоумышленники установили инструмент удаленного администрирования Poison Ivy, чтобы получить контроль над компьютером. Получив доступ к сети, злоумышленники искали конфиденциальную информацию, копировали ее и передавали на внешние серверы, которые они контролировали. RSA признала, что среди украденных данных была конфиденциальная информация, связанная с продуктами двухфакторной аутентификации SecurID, используемыми по всему миру для доступа к конфиденциальным данным и устройствам.
    4. Операция «Аврора». Этот эксплойт нулевого дня в 2009 г. был нацелен на интеллектуальную собственность нескольких крупных компаний, включая Google, Adobe Systems, Yahoo и Dow Chemical. Уязвимости существовали как в Internet Explorer, так и в Perforce; последний использовался Google для управления своим исходным кодом.

    Безопасность API: Демистификация рисков следующего крупного вектора атаки

    Обнаружение уязвимостей нулевого дня

    По определению для эксплойтов нулевого дня не существует исправлений или антивирусных сигнатур, что затрудняет их обнаружение. Однако существует несколько способов обнаружения ранее неизвестных уязвимостей программного обеспечения.

    Сканирование уязвимостей

    Сканирование уязвимостей может обнаружить некоторые эксплойты нулевого дня. Поставщики систем безопасности, предлагающие решения для сканирования уязвимостей, могут имитировать атаки на программный код, проводить проверки кода и пытаться найти новые уязвимости, которые могли появиться после обновления программного обеспечения.

    Этот подход не может обнаружить все эксплойты нулевого дня. Но даже для тех, кого он обнаруживает, сканирования недостаточно — организации должны действовать в соответствии с результатами сканирования, выполнять проверку кода и дезинфицировать свой код, чтобы предотвратить эксплойт. На самом деле большинство организаций медленно реагируют на недавно обнаруженные уязвимости, в то время как злоумышленники могут очень быстро использовать эксплойт нулевого дня.

    Управление исправлениями

    Еще одна стратегия заключается в том, чтобы как можно быстрее развертывать исправления программного обеспечения для недавно обнаруженных уязвимостей программного обеспечения. Хотя это не может предотвратить атаки нулевого дня, быстрое применение исправлений и обновлений программного обеспечения может значительно снизить риск атаки.

    Однако есть три фактора, которые могут задержать развертывание исправлений безопасности. Поставщикам программного обеспечения требуется время, чтобы обнаружить уязвимости, разработать исправление и распространить его среди пользователей. Установка исправления в системах организации также может занять некоторое время. Чем дольше длится этот процесс, тем выше риск атаки нулевого дня.

    Проверка и очистка ввода

    Проверка входных данных решает многие проблемы, связанные со сканированием уязвимостей и управлением исправлениями. Это не оставляет организации незащищенными, пока они устанавливают исправления для систем или очищают код — процессы, которые могут занять время. Он управляется экспертами по безопасности и является гораздо более гибким, способным адаптироваться и реагировать на новые угрозы в режиме реального времени.

    Один из наиболее эффективных способов предотвращения атак нулевого дня — развертывание брандмауэра веб-приложений (WAF) на границе сети. WAF проверяет весь входящий трафик и отфильтровывает вредоносные входные данные, которые могут быть нацелены на уязвимости системы безопасности.

    Кроме того, самым последним достижением в борьбе с атаками нулевого дня является самозащита приложений во время выполнения (RASP). Агенты RASP находятся внутри приложений, проверяя полезные данные запроса в контексте кода приложения во время выполнения, чтобы определить, является ли запрос нормальным или вредоносным, что позволяет приложениям защищать себя.

    Инициатива нулевого дня

    Программа, созданная для поощрения исследователей безопасности за ответственное раскрытие уязвимостей, а не за продажу информации на черном рынке. Его цель — создать широкое сообщество исследователей уязвимостей, которые смогут обнаруживать уязвимости в системе безопасности раньше, чем это сделают хакеры, и предупреждать поставщиков программного обеспечения.

    Узнайте, как брандмауэр веб-приложений Imperva может помочь вам с эксплойтами нулевого дня.

    Снижение угроз нулевого дня Imperva

    Сканирование уязвимостей и управление исправлениями — это частичные решения для атак нулевого дня. И они создают большое окно уязвимости из-за времени, которое требуется для разработки и применения исправлений и исправлений кода.

    Брандмауэр веб-приложений Imperva (WAF) — это управляемая служба проверки ввода, развернутая на границе вашей сети, которая интеллектуально фильтрует и проверяет входящий трафик, блокируя атаки на границе сети.

    Imperva RASP — это последняя инновация в борьбе с атаками нулевого дня. Используя запатентованные методы, основанные на грамматике, которые используют LangSec, RASP позволяет приложениям защищать себя без подписей или исправлений, обеспечивая безопасность по умолчанию и избавляя вас от эксплуатационных расходов на исправление нулевого дня вне цикла.

    Облачный WAF Imperva блокирует атаки нулевого дня, используя краудсорсинговые средства безопасности для выявления новых угроз

    Облачный WAF Imperva использует средства краудсорсинга для защиты от атак нулевого дня, собирая данные об атаках для мгновенного реагирования на угрозы. Как только в сети Incapsula обнаруживается новая угроза, быстро развертывается способ ее устранения для защиты всей пользовательской базы.

    Читайте также: