Specjaliści ds. zabezpieczeń zgodnie twierdzą, że bezpieczne podejście do analizy potencjalnych zagrożeń APT musi obejmować zaawansowane funkcje środowiska sandbox obsługiwanego lokalnie i w chmurze oraz włączonego do ujednoliconej strategii zabezpieczeń. W jaki sposób identyfikować potencjalne ataki typu zero day exploit?
//Co to jest zero day pisaliśmy tutaj: http://avlab.pl/page/fud_czy_malware_zero_day
Firma FORTINET opracowała listę najważniejszych i najbardziej symptomatycznych zachowań początkowych oraz w zakresie eksfiltracji mających miejsce podczas potencjalnego ataku APT.
- Losowe generowanie adresów IP. Zdarza się, że zawartość APT zawiera kod losowo generujący łańcuchy adresów IP. Działanie to ma na celu łatwiejszą propagację.
- Próby nawiązania połączenia z serwerem zarządzającym. Po udanej infiltracji zagrożenia APT mogą podjąć próbę nawiązania połączenia z serwerem zarządzającym w celu eksfiltracji danych lub nawiązania połączenia z innymi niebezpiecznymi zasobami, na przykład przez sieć botnet. Wykrywanie opiera się na sygnaturach kontrolnych i wykrywaniu uzgadniania.
- Naśladowanie zachowania hosta. W celu uniknięcia wykrycia zagrożenie APT może naśladować zachowanie urządzenia lub aplikacji hosta.
- Maskowanie kodu JavaScript. Udokumentowane przypadki ataków APT opierały się na wielu technikach ukrywania (maskowania) prawdziwego znaczenia i celu złośliwego kodu JavaScript.
- Szyfrowanie ruchu w sieci. Tendencja do szyfrowania zawartości złośliwego oprogramowania APT zwiększa poziom zagrożenia dla całego ruchu w sieci podlegającego szyfrowaniu.
Przedsiębiorstwa świadome zagrożeń ze strony ataków typu Zero Day mogą teraz korzystać z najnowszych zabezpieczeń zintegrowanych w nowym systemie operacyjnym firmy Fortinet — FortiOS 5.
System FortiOS 5, którego premiera rynkowa odbyła się pod koniec roku 2012, zawiera ponad 150 rozszerzonych funkcji opracowanych z myślą o wyeliminowaniu aktualnych i ewoluujących zagrożeń, które czyhają na przedsiębiorstwa borykające się z kontrolą nad rosnącą liczbą urządzeń i aplikacji mobilnych. Do swojego arsenału rozwiązań przeciwdziałających zaawansowanym ciągłym zagrożeniom firma FORTINET dodała funkcje środowiska sandbox obsługiwanego lokalnie i w chmurze. Dzięki niemu można uruchamiać nieznane oprogramowanie złośliwe. Środowisko to uzupełnia funkcjonalność wyjątkowego procesora opartego na Compact Pattern Recognition Language, dzięki któremu pojedyncze sygnatury obejmują ponad 50 000 definicji różnych wirusów, w tym warianty typu Zero Day.
