ČR: Unikátne riešenie predstavuje prielom v identifikácii a blokovanie cielených útočných C & C komunikácií
Nová zdokonalení v reakci na C&C komunikace poskytují unikátní přizpůsobenou detekci a ochranu v místech ochrany v rámci sítě, brány, serverů a koncových bodů zákazníka, spolu s centralizovaným systémem varování a specializovanou analýzou rizik C&C. To vše podporuje plnou informovanost zákazníka o C&C aktivitách a umožňuje mu na tyto aktivity reagovat. Podniky tak poprvé dostávají do rukou účinný nástroj pro detekci a reakci na tento důležitý indikátor útoku předtím, než dojde k větším škodám.
Hrozby APT řízené pomocí C&C komunikací
Pokročilým perzistentním hrozbám (APT) a cíleným útokům se stále daří zdolávat standardní obranné systémy v organizacích, jak dokládají nedávné útoky na New York Times, Wall Street Journal nebo dokonce americký federální rezervní systém. V nedávném průzkumu mezi členy profesní asociace ISACA uvedlo 21 % respondentů, že se jejich podnik již stal obětí hrozby typu APT, a 63 % respondentů se domnívá, že je pouze otázkou času, než se jejich podnik stane terčem útoku.
Typicky jsou tyto útoky koordinovány pomocí tzv. C&C komunikací mezi infiltrovaným systémem a samotným útočníkem. Pokročilý malware použitý pro útok „zavolá zpátky", zajistí další downloady a zjistí nové instrukce. V průběhu útoku pachatelé tento kanál používají také k otevření „backdoor" přístupu do sítě, který využívají ke zjišťování a odebírání jejich cílových dat. Průzkum telekomunikační společnosti Verizon za rok 2012 dokládá, že v téměř 50 % případů zcizení dat, které analyzovali, bylo využito kanálů na bázi backdoor přístupu nebo C&C.
Problémy při detekci C&C
Identifikace C&C komunikací a reakce na ně představuje kritický faktor při detekování cíleného útoku, jenže na rozdíl např. od rozsáhlých botnetů se přerušovaný a nízkoobjemový APT C&C provoz detekuje jen velmi obtížně. Útočníci se přirozeně snaží komunikace C&C zamaskovat a používají k tomu nejrůznější metody: mění a přesměrovávají adresy, jako prostředníky používají legitimní aplikace a webové stránky nebo dokonce nastaví C&C servery v rámci sítě zákazníka. Výzkumní pracovníci Trend Micro udávají, že průměrná délka fungování jedné C&C adresy je kratší než tři dny a že mnoho sofistikovaných útočníků používá metody, které dokáže detekovat pouze specializovaná síťová detekce fungující přímo v systému organizaci.
Z dat C&C která pracovníci TrendLabs shromáždili za poslední dobu, vyplývá existence více než 1500 aktivních C&C serverů, přičemž počet obětí na jeden server se pohybuje od 1 do více než 25000. Za zmínku stojí, že přes dvě třetiny těchto serverů má tři nebo méně aktivních obětí. Přes 25 % ze serverů C&C má dobu životnost jeden den nebo méně. Přes 50 % má životnost čtyři dny nebo méně.
"Většina dodavatelů bezpečnostních řešení nemá expertizu, rozsah, technologii a zdroje pro spolehlivou identifikaci různých typů C&C. A když jejich webový, messagingový nebo endpoint produkt detekuje nějakou komunikaci C&C, většinou ji pouze zablokuje nebo zaprotokoluje bez dalšího upozornění - zpracuje se tedy stejným způsobem jako jakákoliv bezpečnostní událost malého významu. A tak ve většině případů organizace nikdy neví, že už je terčem závažného cíleného útoku," vysvětluje Steve Quane, chief product officer, Trend Micro.
Podnikové bezpečnostní týmy potřebují mít spolehlivé odpovědi na tyto kritické otázky:
- Probíhá v naší síti nějaká C&C aktivita?
- Je to jednoduchý botnet nebo potenciální cílený útok?
- Jak riskantní je? Odkud a od koho pochází?
- Měli bychom tuto aktivitu okamžitě blokovat a realizovat nápravu nebo ji dále monitorovat?
Řešení Trend Micro Custom Defense dává odpovědi ohledně C&C
Pouze řešení Trend Micro Custom Defense dokáže na všechny tyto otázky odpovědět: disponuje technologií pro detekci, inteligenci a reakci na C&C komunikace potřebnou pro zastavení cíleného útoku předtím, než napáchá škody. Na konferenci RSA 2013 společnost Trend Micro představila tyto nové a jedinečné funkce řešení Custom Defense pro C&C:
- Zdokonalená identifikace a sledování C&C komunikací v cloudu a v síti zákazníka.
- Vestavěná detekce aktivit C&C komunikací v ochraně sítě, brány, serveru a koncových bodů.
- Centralizované výstrahy o C&C, specializovaná analýza rizik C&C, flexibilní možnosti reakce na C&C.
- Adaptivní bezpečnostní aktualizace, které informují všechny produkty o detekci nových C&C.
- Otevřená API pro zahrnutí jakéhokoliv bezpečnostního produktu do Custom Defense.
Jak to funguje?
Celosvětová identifikace a sledování: Trend Micro Smart Protection Network™ a výzkumný tým specialistů Trend Micro na bezpečnostní hrozby
Smart Protection Network automaticky identifikuje aktivní C&C servery po celém světě, a to na základě denního zpracování až 12 miliard IP/URL dotazů a korelace dat v rozsahu přes 6 Terabytů. Její korelační engine drží krok s měnícím se charakterem adres C&C a obsahuje nejnovější inovace od 1200 specialistů společnosti Trend Micro na bezpečnostní hrozby, takže nepřetržitě detekuje všechny úhybné manévry, které útočníci podnikají.
Bezpečnostní specialisté Trend Micro také shromažďují a zkoumají forenzní důkazy o pokusech o cílené útoky u více než desítky tisíc podnikových zákazníků Trend Micro na celém světě. Analyzují jednotlivé vrstvy útoku a tak získávají hlubší poznatky o C&C malwaru a metodách, které útočníci používají. Jejich poznatky přinášejí neustálé zlepšování Smart Protection Network a produktů Trend Micro.
Ochrana před pokročilými hrozbami s Trend Micro Deep Discovery: detekce a učení na bázi sítě
Trend Micro Deep Discovery používá ke zjišťování pokročilého malwaru, komunikací a útočných aktivit detekci hrozeb na síťové úrovni specifickou pro zákazníka. Unikátní detekce maskovaného C&C provozu na bázi „otisku prstů" dokáže např. zjistit, že útočník používá legitimní aplikace nebo webové stránky, a také další pokročilé metody, např. použití interních C&C serverů. Analýza v přizpůsobeném sandboxu také zjišťuje nové C&C destinace u zero-day malwarových útoků a provádí aktualizaci Smart Protection Network a všech bezpečnostních ochranných bodů u zákazníka.
Integrovaná ochrana v rámci všech produktů, centralizované výstrahy a řízení hrozeb
Stále aktuální informace o detekci C&C na světové i lokální úrovni umožňují produktům Trend Micro pro podnikovou bezpečnost v bodech sítě, brány, serverů a koncových bodů identifikovat a kontrolovat C&C aktivity v rámci celého zákaznického prostředí. Detekce C&C v jakémkoliv bodě se zobrazí na centrální konzoli a tím upozorní bezpečnostní tým, který může provést příslušná opatření. Při vyhodnocení rizika, zastavení a nápravě C&C aktivity se využívá jedinečná technologie Threat Connect, která analyzuje závažnost, aktivitu, původ a související adresy C&C serveru. Tak pomáhá určit, zda komunikace představuje vysoké riziko, zda by měla být okamžitě zablokovaná a jak by mělo probíhat zastavení šíření útoku a náprava.
Produkty a dostupnost
Následující produkty Trend Micro budou obsahovat nové funkce Custom Defense pro C&C, přičemž beta verze budou dostupné v únoru 2013 a obecná dostupnost jednotlivých produktů bude následovat v průběhu první poloviny roku 2013.
Bezpečnost koncových bodů
- Trend MicroOfficeScan
Bezpečnost serverů, virtualizace & cloudu
- Trend MicroDeep Security
Bezpečnost sítě
- Trend MicroDeep Discovery
Bezpečnost messagingových systémů
- Trend MicroInterScan Mail Security
- Trend MicroScanMail for Exchange, Trend MicroScanMail for Lotus Domino
Webová bezpečnost
- Trend MicroInterScan Web Security
Centralizovaná správa
- Trend Micro Control Manager
