Trend Micro arricchisce la propria soluzione con funzionalità per l’identificazione e il blocco delle comunicazioni utilizzate dagli attacchi mirati
Trend Micro introduce nella sua soluzione di Difesa Personalizzata nuove funzionalità avanzate centrate sull’identificazione e il blocco delle comunicazioni di Comando e Controllo (C&C) utilizzate dalle minacce persistenti evolute (APT) e negli attacchi mirati. La Difesa Personalizzata Trend Micro è la prima soluzione di protezione avanzata che consentirà non solo di rilevare e analizzare queste minacce ma anche di adattare rapidamente i propri sistemi di protezione e rispondere agli attacchi.
Le nuove funzionalità di replica ai C&C forniscono un rilevamento personalizzato superiore e la protezione di network, gateway, server ed endpoint, oltre ad un sistema centralizzato di alert e intelligence sui rischi associati ai C&C, per consentire ai clienti di essere informati e controllare le risposte alle attività delle comunicazioni C&C. Per la prima volta, le organizzazioni IT potranno disporre della visibilità e dell’intelligence necessarie a identificare e rispondere, prima che l’azienda subisca il danno, sulla base di indicatori fondamentali di un attacco, come i C&C.
Gli APT controllati dalle comunicazioni C&C
Gli APT e gli attacchi mirati continuano a eludere le difese di sicurezza standard adottate dalle organizzazioni, come testimoniato gli attacchi recentemente mossi negli Stati Uniti contro New York Times, Wall Street Journal e la Federal Reserve. In un recente sondaggio promosso da ISACA in collaborazione con Trend Micro, il 21% degli intervistati ha dichiarato che la propria azienda è già stata vittima di un APT, e il 63% ritiene che sia solo una questione di tempo prima che la propria organizzazione venga presa di mira.
Questi attacchi sono in genere orchestrati a distanza tramite comunicazioni C&C tra i sistemi infiltrati e gli stessi cybercriminali. I malware evoluti utilizzati per l’attacco, infatti, si connettono con l’esterno per effettuare ulteriori download e ricevere nuove istruzioni. Durante l’attacco, i cybercriminali utilizzano questo canale per aprire e modificare l’accesso alle backdoor di rete in modo da trovare e appropriarsi dei dati-obiettivo. Rispetto al 2012 Verizon Reseach ha verificato che lo sfruttamento delle backdoor o dei canali C&C è stato utilizzato nel 50% circa dei casi di furto dei dati presi in esame.
La nuova sfida: identificare le comunicazioni C&C
Identificare e rispondere alle comunicazioni C&C rappresenta un fattore critico nel rilevare un attacco mirato. A differenza delle botnet molto estese, il traffico intermittente e di basso volume che caratterizza i C&C degli APT li rende difficili da rilevare. I cybercriminali rendono la cosa ancora più complessa nascondendo ulteriormente le comunicazioni C&C con particolari tecniche come, ad esempio, cambiare e ridirigere gli indirizzi, utilizzare applicazioni e siti legittimi come canale e creare addirittura server C&C all’interno della rete di un cliente.
I ricercatori Trend Micro hanno notato che la vita media di un indirizzo di C&C è meno di tre giorni e che i cybercriminali più all’avanguardia utilizzano tecniche rilevabili solo con sistemi specializzati basati sulla rete che operano on-site presso l’organizzazione.
Recentemente, l’identificazione dei dati relativi ai C&C da parte dei ricercatori dei TrendLabsTM ha mostrato oltre 1.500 siti C&C attivi e un numero di vittime che varia da un singolo obiettivo a oltre 25.000 per sito. Da segnalare, che oltre due terzi dei siti avevano solo tre o addirittura un numero minore di vittime. Inoltre, più della metà dei siti ha registrato una vita media di quattro giorni o addirittura meno.
“La maggior parte dei vendor di sicurezza non ha abbastanza esperienza, capacità di scalare, tecnologia e risorse per identificare in modo affidabile le diverse tipologie di C&C. Quando i loro prodotti di sicurezza per il web, la messaggistica o gli endpoint rilevano un C&C, è probabile che lo blocchino o registrino senza notificarlo – viene quindi gestito come un evento di sicurezza di minore rilevanza. Nella maggior parte dei casi, l’organizzazione non può quindi mai sapere se sta subendo un attacco mirato di grande portata”, commenta Steve Quane, chief product officer di Trend Micro.
I team di sicurezza aziendali devono saper rispondere a delle domande fondamentali:
• Nella rete della mia azienda è in corso un’attività C&C?
• Si tratta di una semplice botnet o di un possibile attacco mirato?
• Quanto è rischioso? Da dove viene e chi lo conduce?
• Devo bloccarlo immediatamente e risolvere la criticità o è meglio monitorarlo ulteriormente?
La soluzione di Difesa Personalizzata Trend Micro per la risposta ai C&C
Solo la soluzione di Difesa Personalizzata Trend Micro è in grado di rispondere a queste domande grazie al sistema di rilevamento, intelligence e controllo delle risposte ai C&C, necessario per fermare un attacco mirato prima che danneggi il proprio obiettivo. All’evento RSA 2013, in corso in questi giorni a San Francisco, Trend Micro ha presentato e mostrato le caratteristiche delle nuove funzionalità C&C per la Difesa Personalizzata:
• Migliore identificazione e monitoraggio delle comunicazioni C&C nel cloud e nei network dei clienti
• Rilevamento delle attività di comunicazione C&C integrato nei punti di protezione di network, gateway, server ed endpoint
• Sistema di alert centralizzato per i C&C, intelligence mirata rispetto ai rischi associati ai C&C, opzioni di controllo della risposta flessibili
• Aggiornamenti di sicurezza in grado di adattarsi e informare tutti i prodotti del rilevamento di un nuovo C&C
• API open per i web service per includere qualsiasi prodotto di sicurezza nella Difesa Personalizzata
Come funziona
L’identificazione e il monitoraggio globale di Trend Micro Smart Protection Network e degli esperti di sicurezza Trend Micro
Smart Protection Network identifica automaticamente i siti C&C attivi in tutto il mondo elaborando ogni giorno 12 miliardi di richieste IP/ URL e mettendo in correlazione tra loro oltre sei terabyte di dati. I suoi motori di correlazione rispondono perfettamente alla natura mutevole degli indirizzi C&C; il network sfrutta inoltre le più recenti innovazioni proposte da 1.200 esperti di sicurezza Trend Micro, che si occupano costantemente di identificare le misure evasive adottate dai cybercriminali.
I ricercatori Trend Micro raccolgono ed esaminano le prove legali degli attacchi mirati che sono stati condotti contro alcuni clienti tra le decine di migliaia di aziende che si affidano a Trend Micro in tutto il mondo. Analizzando nei dettagli gli strati di un attacco, acquisiscono una visione più completa rispetto ai C&C, ai malware e alle nuove tecniche utilizzate, consentendo in questo modo di apportare costanti migliorie allo Smart Protection Network e alle soluzioni Trend Micro.
Rilevamento Network-Based e capacità di apprendimento con la protezione dalle minacce avanzata di Trend Micro Deep Discovery
Trend Micro Deep Discovery utilizza un sistema di rilevamento delle minacce specifico per il cliente che consente di identificare le minacce avanzate, le comunicazioni e le attività dei cybercriminali a livello della rete. Il riconoscimento esclusivo mediante fingerprint del traffico di rete che cela i C&C identifica l’utilizzo da parte dei malintenzionati di applicazioni e siti web legittimi, oltre ad altre tecniche avanzate come l’utilizzo di server interni di C&C. Le analisi personalizzate della sandbox di Deep Discovery sono anche in grado di scoprire nuove destinazioni C&C di attacchi malware zero-day e aggiornare lo Smart Protection Network e tutti i punti di protezione della sicurezza dei clienti.
Protezione integrata per tutti i prodotti; avvisi e controllo centralizzati
Le ultime informazioni sul rilevamento globale e locale dei C&C hanno consentito di potenziare i prodotti per la sicurezza enterprise di Trend Micro a livello di endpoint, server, rete, gateway e punti di protezione della messaggistica permette di individuare e controllare l’attività C&C in tutto l’ambiente del cliente. Il rilevamento dei C&C ad ogni livello viene indicato chiaramente su una console centralizzata per avvisare il team di sicurezza e permettergli di controllare il percorso dell’azione in corso. La valutazione, il controllo e l’azione di rimedio ai C&C sono supportate dall’intelligence che collega tra loro gli eventi in base alla gravità, attività, origine e relativi indirizzi dei siti C&C – per determinare se la comunicazione è ad alto rischio, se deve essere immediatamente bloccata e come l’azione di contenimento e bonifica deve procedere.
