Trend Micro Custom Defense chroni przed atakami APT

Przeczytaj także: Jak przerwać zabójczy łańcuch, czyli o atakach APT

Innowacyjne narzędzia do ochrony przed C&C korzystają z funkcji dostosowanego do potrzeb wykrywania i ochrony sieci, bram sieciowych, serwerów i punktów końcowych, a także ze scentralizowanego systemu alertów i baz danych o zagrożeniach, dzięki którym klienci mają dostęp do najświeższych informacji oraz mogą kontrolować swoje zabezpieczenia przed aktywnością C&C. Po raz pierwszy przedsiębiorstwa będą dysponować wystarczającą wiedzą i oglądem sytuacji, aby wykryć i zneutralizować ataki tego rodzaju, zanim wywołają one szkody.

Zaawansowane ukierunkowane zagrożenia (APT) i komunikacja C&C

Zaawansowane i ukierunkowane zagrożenia i ataki na konkretne cele w dalszym ciągu wykraczają poza możliwości ochrony oferowane klientom przez standardowe rozwiązania. Jako przykłady można wymienić ataki na New York Times, Wall Street Journal, czy System Rezerwy Federalnej Stanów Zjednoczonych. Z badania przeprowadzonego niedawno wśród członków ISACA wynika, że 21 procent respondentów przyznało, iż ich firma bądź instytucja stała się już ofiarą ataku APT. 63 procent twierdzi, że to tylko kwestia czasu, zanim ich organizacja zostanie zaatakowana.

Ataki tego typu są zazwyczaj przeprowadzane zdalnie za pośrednictwem komunikacji command and control, odbywającej się pomiędzy atakowanym systemem i atakującymi. Zaawansowane złośliwe oprogramowanie stosowane podczas ataku „oddzwania” do cyberprzestępców pozwalając na ściągnięcie dodatkowych programów i instrukcji. Podczas ataku przestępcy posługują się otwartym kanałem komunikacji, aby manipulować dostępem do sieci przez backdoor oraz namierzać i pozyskiwać poszukiwane dane. Badanie przeprowadzone przez Verizon w 2012 wykazało, że z kanałów backdoor i command & control korzystano w prawie połowie zbadanych przypadków kradzieży danych.

Wyzwania związane z wykrywaniem aktywności C&C

Identyfikacja komunikacji C&C i reagowanie na nią odgrywają kluczową rolę podczas wykrywania ataków na konkretne cele, lecz w przeciwieństwie do dużej skali botnetów nieregularny i niepozorny charakter transferu C&C czyni go trudnym do wykrycia. Cyberprzestępcy nie ułatwiają tego zadania, starając się zamaskować tego typu komunikację przy użyciu takich technik jak zmiana i przekierowanie adresów, wykorzystywanie legalnych aplikacji i stron do połączeń, a nawet uruchamianie serwerów C&C w obrębie sieci klienta. Analitycy Trend Micro ustalili, że przeciętna długość życia adresu C&C wynosi mniej niż trzy dni, a wielu przestępców stosujących bardziej subtelne metody wykorzystuje techniki wykrywalne jedynie przy pomocy wyspecjalizowanych narzędzi działających na poziomie sieci lokalnej danej firmy lub instytucji.

Dane o namierzonej komunikacji command and control zebrane przez zespół TrendLabs™ podają liczbę ponad 1500 aktywnych stron C&C przy liczbie ofiar wahającej się od 1 do 25 tys. na stronę. Warto zauważyć, że dwie trzecie z tych stron miało trzy lub mniej aktywnych ofiar. Ponad 25 procent stron istniało jeden dzień lub krócej, ponad 50 procent cztery dni lub krócej.

„Większość dostawców zabezpieczeń nie dysponuje wiedzą, zasięgiem, technologiami i zasobami, pozwalającymi na niezawodną identyfikację różnych rodzajów komunikacji C&C. Kiedy oferowane przez nich produkty do ochrony sieci, systemu wiadomości czy punktów końcowych rzeczywiście namierzą C&C, zostanie on najprawdopodobniej zablokowany lub odnotowany bez powiadomienia kogokolwiek – w ten sam sposób reaguje się na każdy mniej istotny incydent. Zatem w większości przypadków organizacje nie zdają sobie sprawy z tego, że mogą być właśnie atakowane” – mówi Steve Quane, Chief Product Officer w firmie Trend Micro.

Zespoły zajmujące się zabezpieczeniami w przedsiębiorstwach muszą być w stanie udzielić rzetelnej odpowiedzi na kilka krytycznych pytań:

• Czy w mojej sieci ma miejsce aktywność command and control?
• Czy mam do czynienia z botnetem, czy atakiem ukierunkowanym?
• Jaki duże jest ryzyko? Skąd i od kogo wychodzi atak?
• Czy należy natychmiast go zablokować i podjąć środki zaradcze czy raczej dalej go monitorować?

Rozwiązanie Trend Micro Custom Defense i reagowanie na ataki C&C

Pakiet Trend Micro Custom Defense pozwala świadomie odpowiedzieć na wszystkie z tych pytań, zapewniając wykrywanie aktywności C&C, dostęp do wiedzy na ich temat oraz wybór sposobu reagowania niezbędne do powstrzymania ataków zanim dojdzie do szkód. Trend Micro przedstawiło i zademonstrowało te nowe, wyjątkowe funkcje związane ze spersonalizowaną ochroną i reagowaniem na C&C podczas konferencji RSA 2013:

• ulepszona identyfikacja i śledzenie komunikacji C&C w chmurze i sieci klienta
• wbudowana funkcja wykrywania aktywności C&C na poziomie sieci, bram sieciowych, serwerów i zabezpieczeń punktów końcowych
• scentralizowany system alertów C&C, dedykowana baza danych o zagrożeniach C&C, opcje elastycznego reagowania
• system aktualizacji informujący o wykryciu nowych zagrożeń C&C
• otwarta architektura API usług sieciowych pozwala na włączenie dowolnego zabezpieczenia do pakietu Custom Defense