Trend Micro Incorporated (TYO: 4704; TSE: 4704) wprowadza kolejną innowację do swojego rozwiązania Custom Defense. Służy ona identyfikacji i blokowaniu komunikacji z serwerami command and control wykorzystywanymi przez zagrożenia APT i ataki ukierunkowane. Trend Micro Custom Defense to pierwsze dostępne w branży zabezpieczenie przed zaawansowanymi formami ataków, które nie tylko wykrywa i analizuje groźne incydenty, lecz również błyskawicznie dostosowuje strategię obronną i pozwala na kontrolę sposobu reagowania.
Innowacyjne narzędzia do ochrony przed C&C korzystają z funkcji dostosowanego do potrzeb wykrywania i ochrony sieci, bram sieciowych, serwerów i punktów końcowych, a także ze scentralizowanego systemu alertów i baz danych o zagrożeniach, dzięki którym klienci mają dostęp do najświeższych informacji oraz mogą kontrolować swoje zabezpieczenia przed aktywnością C&C. Po raz pierwszy przedsiębiorstwa będą dysponować wystarczającą wiedzą i oglądem sytuacji, aby wykryć i zneutralizować ataki tego rodzaju, zanim wywołają one szkody
Zaawansowane ukierunkowane zagrożenia (APT) i komunikacja C&C
Zaawansowane i ukierunkowane zagrożenia i ataki na konkretne cele w dalszym ciągu wykraczają poza możliwości ochrony oferowane klientom przez standardowe rozwiązania. Jako przykłady można wymienić ataki na New York Times, Wall Street Journal, czy System Rezerwy Federalnej Stanów Zjednoczonych. Z badania przeprowadzonego niedawno wśród członków ISACA wynika, że 21 procent respondentów przyznało, iż ich firma bądź instytucja stała się już ofiarą ataku APT. 63 procent twierdzi, że to tylko kwestia czasu, zanim ich organizacja zostanie zaatakowana.
Ataki tego typu są zazwyczaj przeprowadzane zdalnie za pośrednictwem komunikacji command and control, odbywającej się pomiędzy atakowanym systemem i atakującymi. Zaawansowane złośliwe oprogramowanie stosowane podczas ataku „oddzwania” do cyberprzestępców pozwalając na ściągnięcie dodatkowych programów i instrukcji. Podczas ataku przestępcy posługują się otwartym kanałem komunikacji, aby manipulować dostępem do sieci przez backdoor oraz namierzać i pozyskiwać poszukiwane dane. Badanie przeprowadzone przez Verizon w 2012 wykazało, że z kanałów backdoor i command & control korzystano w prawie połowie zbadanych przypadków kradzieży danych.
Wyzwania związane z wykrywaniem aktywności C&C
Identyfikacja komunikacji C&C i reagowanie na nią odgrywają kluczową rolę podczas wykrywania ataków na konkretne cele, lecz w przeciwieństwie do dużej skali botnetów nieregularny i niepozorny charakter transferu C&C czyni go trudnym do wykrycia. Cyberprzestępcy nie ułatwiają tego zadania, starając się zamaskować tego typu komunikację przy użyciu takich technik jak zmiana i przekierowanie adresów, wykorzystywanie legalnych aplikacji i stron do połączeń, a nawet uruchamianie serwerów C&C w obrębie sieci klienta. Analitycy Trend Micro ustalili, że przeciętna długość życia adresu C&C wynosi mniej niż trzy dni, a wielu przestępców stosujących bardziej subtelne metody wykorzystuje techniki wykrywalne jedynie przy pomocy wyspecjalizowanych narzędzi działających na poziomie sieci lokalnej danej firmy lub instytucji.
Dane o namierzonej komunikacji command and control zebrane przez zespół TrendLabs™ podają liczbę ponad 1500 aktywnych stron C&C przy liczbie ofiar wahającej się od 1 do 25 tys. na stronę. Warto zauważyć, że dwie trzecie z tych stron miało trzy lub mniej aktywnych ofiar. Ponad 25 procent stron istniało jeden dzień lub krócej, ponad 50 procent cztery dni lub krócej.
„Większość dostawców zabezpieczeń nie dysponuje wiedzą, zasięgiem, technologiami i zasobami, pozwalającymi na niezawodną identyfikację różnych rodzajów komunikacji C&C. Kiedy oferowane przez nich produkty do ochrony sieci, systemu wiadomości czy punktów końcowych rzeczywiście namierzą C&C, zostanie on najprawdopodobniej zablokowany lub odnotowany bez powiadomienia kogokolwiek – w ten sam sposób reaguje się na każdy mniej istotny incydent. Zatem w większości przypadków organizacje nie zdają sobie sprawy z tego, że mogą być właśnie atakowane” – mówi Steve Quane, Chief Product Officer w firmie Trend Micro.
Zespoły zajmujące się zabezpieczeniami w przedsiębiorstwach muszą być w stanie udzielić rzetelnej odpowiedzi na kilka krytycznych pytań:
- Czy w mojej sieci ma miejsce aktywność command and control?
- Czy mam do czynienia z botnetem, czy atakiem ukierunkowanym?
- Jaki duże jest ryzyko? Skąd i od kogo wychodzi atak?
- Czy należy natychmiast go zablokować i podjąć środki zaradcze czy raczej dalej go monitorować?
Rozwiązanie Trend Micro Custom Defense i reagowanie na ataki C&C
Jedynie pakiet Trend Micro Custom Defense pozwala świadomie odpowiedzieć na wszystkie z tych pytań, zapewniając wykrywanie aktywności C&C, dostęp do wiedzy na ich temat oraz wybór sposobu reagowania niezbędne do powstrzymania ataków zanim dojdzie do szkód. Trend Micro przedstawiło i zademonstrowało te nowe, wyjątkowe funkcje związane ze spersonalizowaną ochroną i reagowaniem na C&C podczas konferencji RSA 2013:
– ulepszona identyfikacja i śledzenie komunikacji C&C w chmurze i sieci klienta
-wbudowana funkcja wykrywania aktywności C&C na poziomie sieci, bram sieciowych, serwerów i zabezpieczeń punktów końcowych
– scentralizowany system alertów C&C, dedykowana baza danych o zagrożeniach C&C, opcje elastycznego reagowania
– system aktualizacji informujący o wykryciu nowych zagrożeń C&C
– otwarta architektura API usług sieciowych pozwala na włączenie dowolnego zabezpieczenia do pakietu Custom Defense
Jak to działa?
System Smart Protection Network automatycznie identyfikuje aktywne strony C&C na całym świecie, opierając się na 12 miliardach zapytań IP/URL przetwarzanych każdego dnia oraz na korelacji ponad sześciu terabajtów danych. Aby nadążyć za dynamicznymi zmianami adresów C&C, maszyny służące do korelacji są aktualizowane z wykorzystaniem najnowszych innowacji opracowywanych przez zespół 1200 ekspertów Trend Micro – ich celem jest nieustanne wykrywanie ataków pomimo stosowania technik maskujących przez cyberprzestępców.
Analitycy Trend Micro zajmują się również zbieraniem i badaniem danych będących dowodami na planowanie ataków wycelowanych w dziesiątki tysięcy klientów korporacyjnych Trend Micro na całym świecie. Analizując kolejne warstwy struktury ataku, zdobywają oni informacje o technikach C&C, złośliwym oprogramowaniu i metodach ataku, umożliwiając ciągłe udoskonalanie systemu Smart Protection Network i produktów Trend Micro.
Wykrywanie i uczenie się na poziomie sieci, dzięki Trend Micro™ Deep Discovery Advanced Threat Protection
Trend Micro Deep Discovery korzysta z narzędzi dostosowanych do potrzeb każdego klienta, wykrywając zaawansowane złośliwe oprogramowanie, niebezpieczne rodzaje komunikacji i aktywności na poziomie sieci. Unikatowa funkcja wykrywania „odcisku palca” (ang. fingerprint) zamaskowanego transferu C&C umożliwia identyfikację ataku ukrytego za legalnymi aplikacjami i stronami, a także innych zaawansowanych technik takich jak użycie wewnętrznych serwerów C&C. Deep Security umożliwia analizę w środowisku testowym sandbox, a także odkrycie nowych adresów C&C podczas ataków zero-day oraz aktualizację bazy Smart Protection Network i zabezpieczeń punktów końcowych sieci klientów.
Zintegrowana ochrona wszystkich produktów, scentralizowany system alertów i kontroli
Najświeższe dane na temat wykrytej globalnej i lokalnej komunikacji C&C sprawiają, że zabezpieczenia Trend Micro działające na poziomie punktów końcowych, serwerów, sieci, bram sieciowych oraz systemu poczty i komunikatorów identyfikują i kontrolują aktywność C&C w całym obszarze sieci klienta. Po wykryciu aktywności C&C w dowolnym punkcie sieci informacja na ten temat pojawia się w centralnej konsoli, powiadamiając zespół zajmujący się ochroną sieci, który może zdecydować o podjęciu dalszych działań. Proces oceny ryzyka, przeciwdziałania i zastosowania środków zaradczych wobec ataków C&C odbywa się przy wykorzystaniu danych na temat poziomu zagrożenia, aktywności, pochodzenia i powiązanych adresów danej strony C&C, zebranych przez unikalny serwis Threat Connect Intelligence. Dane te pomagają w ustaleniu tego, jak bardzo niebezpieczny jest dany atak, czy należy go natychmiast zablokować i jakie działania powinno podjąć się później.
Dostępność produktów
Funkcje Custom Defense C&C będą dostępne w następujących produktach (wersja Beta ukaże się w lutym 2013, wersje ostateczne w pierwszej połowie roku).
Zabezpieczenia punktów końcowych
Zabezpieczenia punktów końcowych
· Trend Micro™ OfficeScan™
Zabezpieczenia serwerów, wirtualizacji i chmury
· Trend Micro™ Deep Security
Zabezpieczenia sieci
· Trend Micro™ Deep Discovery
Zabezpieczenia poczty i komunikatorów
· Trend Micro™ InterScan Mail Security
· Trend Micro™ ScanMail™ for Exchange, Trend Micro™ ScanMail™ for Lotus Domino
Zabezpieczenia stron www
· Trend Micro™ InterScan™ Web Security
Centralne zarządzanie
· Trend Micro™ Control Manager™
Dodatkowe materiały:
APT C&C Communication Superior Detection with Trend Micro Custom Defense (Trend Micro Solution Brief)
ISACA Advanced Persistent Threats Awareness Survey
Raport badawczy Trend Micro:
Detecting APT Activity with Network Traffic Analysis
Tracking Known C&C Traffic infographic
Źródła: Trend Micro Custom Defense Video2012 Data Breach Investigations Reports, Verizon RISK Team, March 2012
