L’azienda rivela i principali criteri di rilevamento euristico basato su attributi e comportamento per indirizzare le potenziali minacce APT (Advanced Persistent Threat) alle sandbox antimalware locali e basate su cloud
Gli esperti del mondo della security sono concordi nell’affermare che un approccio sicuro all’analisi delle potenziali minacce APT sia da affrontare con funzionalità sandboxing on-board e basate su cloud ad alte prestazioni nell’ambito di una strategia di sicurezza unificata. Tuttavia, in che modo è possibile identificare questi potenziali exploit zero-day?
Fortinet ha identificato i seguenti cinque principali exploit e comportamenti di estrazione dati che risultano con maggiore probabilità da un potenziale attacco APT.
1. Generazione casuale di indirizzi IP. Alcuni payload APT includono codice che genera casualmente stringhe di indirizzi IP per favorire la diffusione.
2. Tentativi di connessione per assumere il comando e il controllo. Una volta infiltrate, le APT possono connettersi a un server di comando e controllo per estrarre dati o segnalare ulteriori risorse di attacco, ad esempio tramite una botnet. L’identificazione si basa su firme di controllo e rilevamento di tipo rendezvous.
3. Imitazione dell’host. Un’APT può iniziare a imitare il comportamento del dispositivo o dell’applicazione host nel tentativo di eludere il rilevamento.
4. Oscuramento JavaScript. I casi di attacchi APT documentati hanno fatto ricorso a numerose tecniche per oscurare il significato e l’intento reali del codice JavaScript dannoso.
5. Traffico crittografato. La tendenza all’uso di malware crittografato all’interno dei payload APT mette a serio rischio tutto il traffico crittografato.
Le aziende che prestano attenzione agli attacchi Zero-Day alla sicurezza IT possono usufruire della protezione avanzata dalle minacce fornita dal nuovo sistema operativo FortiOS 5 di Fortinet.
Presentato alla fine del 2012, FortiOS 5 include oltre 150 funzionalità avanzate studiate per supportare le sfide attuali e in evoluzione legate alla sicurezza delle organizzazioni che devono confrontarsi con un maggior numero di applicazioni e dispositivi mobili. Oltre alle misure volte a contrastare le minacce APT (Advanced Persistent Threat), Fortinet ha aggiunto funzionalità di sandboxing on-board e basate su cloud per l’eliminazione di malware sconosciuto, a complemento del suo esclusivo processore “Compact Pattern Recognition Language” che consente a singole firme di coprire oltre 50.000 virus diversi, incluse le varianti zero-day.
