Skryté útoky na firemní IT odhalí novinka od Trend Micro

Identifikování a blokování řídicích serverů C&C (command and control), které hackeři zneužívají například pro útoky typu APT (pokročilé perzistentní hrozby) či ovládání tzv. zombie počítačů, umožňuje novinka od Trend Micro.

Skryté útoky na firemní IT odhalí novinka od Trend Micro


Custom Defense je podle výrobce vůbec prvním řešení, které organizacím umožní nejen detekovat a analyzovat útoky APT, ale také rychle přizpůsobit svoji obranu a na akce útočníků reagovat.

Produktu dovoluje detekovat nepravosti na bezpečnostních a jiných branách, serverech i koncových bodech a doplňuje je o centralizovaný systém varování a specializovanou analýzu rizik. Podniky tak mohou reagovat na hrozby předtím, než dojde k infiltraci a vzniku větších škod.

Hrozbám typu APT se podle analytiků stále daří zdolávat standardní obranné systémy v organizacích. V nedávném průzkumu mezi členy profesní asociace ISACA uvedlo 21 % respondentů, že se jejich podnik již stal obětí hrozby typu APT, a 63 % respondentů se domnívá, že je pouze otázkou času, než se jejich podnik stane terčem útoku. 

Typicky jsou tyto útoky koordinovány pomocí tzv. C&C komunikací mezi infiltrovaným systémem a samotným útočníkem. Pokročilý malware použitý pro útok „zavolá zpátky“, zajistí další downloady a zjistí nové instrukce.

V průběhu útoku pachatelé tento kanál používají také k otevření „backdoor“ přístupu do sítě, který využívají ke zjišťování a odebírání jejich cílových dat. Průzkum společnosti Verizon za rok 2012 dokládá, že v téměř 50 % případů zcizení dat, které analyzovali, bylo využito kanálů na bázi backdoor přístupu nebo C&C.

Identifikace C&C komunikací a reakce na ně představuje kritický faktor při detekování cíleného útoku, jenže na rozdíl např. od rozsáhlých botnetů se přerušovaný a nízkoobjemový APT C&C provoz detekuje jen velmi obtížně. Útočníci se přirozeně snaží komunikace C&C zamaskovat a používají k tomu nejrůznější metody: mění a přesměrovávají adresy, jako prostředníky používají legitimní aplikace a webové stránky nebo dokonce nastaví C&C servery v rámci sítě zákazníka. Výzkumní pracovníci Trend Micro udávají, že průměrná délka fungování jedné C&C adresy je kratší než tři dny a že mnoho sofistikovaných útočníků používá metody, které dokáže detekovat pouze specializovaná síťová detekce fungující přímo v systému organizaci.

Z dat, která pracovníci TrendLabs  shromáždili za poslední dobu, vyplývá existence více než 1500 aktivních C&C serverů, přičemž počet obětí na jeden server se pohybuje od 1 do více než 25 000. Za zmínku stojí, že přes dvě třetiny těchto serverů má tři nebo méně aktivních obětí. Přes 25 % ze serverů C&C má dobu životnost jeden den nebo méně. Přes 50 % má životnost čtyři dny nebo méně.

Funkce Custom Defense pro C&C budou komerčně dostupné v průběhu první poloviny roku 2013  a budou součástí řešení OfficeScan, Deep Security, Deep Discovery, InterScan Mail Security, ScanMail, InterScan Web Security a Control Manager.

 

Funkce Custom Defense pro C&C podle výrobce:

  • Zdokonalená identifikace a sledování C&C komunikací v cloudu a v síti zákazníka.
  • Vestavěná detekce aktivit C&C komunikací v ochraně sítě, brány, serveru a koncových bodů.
  • Centralizované výstrahy o C&C, specializovaná analýza rizik C&C, flexibilní možnosti reakce na C&C.  
  • Adaptivní bezpečnostní aktualizace, které informují všechny produkty o detekci nových C&C.
  • Otevřená API pro zahrnutí jakéhokoliv bezpečnostního produktu do Custom Defense.

 

Úvodní foto: © Nmedia - Fotolia.com










Komentáře