Skryté útoky na firemní IT odhalí novinka od Trend Micro

26. 3. 2013

Sdílet

Custom Defense je podle výrobce vůbec prvním řešení, které organizacím umožní nejen detekovat a analyzovat útoky APT, ale také rychle přizpůsobit svoji obranu a na akce útočníků reagovat.

Produktu dovoluje detekovat nepravosti na bezpečnostních a jiných branách, serverech i koncových bodech a doplňuje je o centralizovaný systém varování a specializovanou analýzu rizik. Podniky tak mohou reagovat na hrozby předtím, než dojde k infiltraci a vzniku větších škod.

Hrozbám typu APT se podle analytiků stále daří zdolávat standardní obranné systémy v organizacích. V nedávném průzkumu mezi členy profesní asociace ISACA uvedlo 21 % respondentů, že se jejich podnik již stal obětí hrozby typu APT, a 63 % respondentů se domnívá, že je pouze otázkou času, než se jejich podnik stane terčem útoku. 

Typicky jsou tyto útoky koordinovány pomocí tzv. C&C komunikací mezi infiltrovaným systémem a samotným útočníkem. Pokročilý malware použitý pro útok „zavolá zpátky“, zajistí další downloady a zjistí nové instrukce.

V průběhu útoku pachatelé tento kanál používají také k otevření „backdoor“ přístupu do sítě, který využívají ke zjišťování a odebírání jejich cílových dat. Průzkum společnosti Verizon za rok 2012 dokládá, že v téměř 50 % případů zcizení dat, které analyzovali, bylo využito kanálů na bázi backdoor přístupu nebo C&C.

Identifikace C&C komunikací a reakce na ně představuje kritický faktor při detekování cíleného útoku, jenže na rozdíl např. od rozsáhlých botnetů se přerušovaný a nízkoobjemový APT C&C provoz detekuje jen velmi obtížně. Útočníci se přirozeně snaží komunikace C&C zamaskovat a používají k tomu nejrůznější metody: mění a přesměrovávají adresy, jako prostředníky používají legitimní aplikace a webové stránky nebo dokonce nastaví C&C servery v rámci sítě zákazníka. Výzkumní pracovníci Trend Micro udávají, že průměrná délka fungování jedné C&C adresy je kratší než tři dny a že mnoho sofistikovaných útočníků používá metody, které dokáže detekovat pouze specializovaná síťová detekce fungující přímo v systému organizaci.

Z dat, která pracovníci TrendLabs  shromáždili za poslední dobu, vyplývá existence více než 1500 aktivních C&C serverů, přičemž počet obětí na jeden server se pohybuje od 1 do více než 25 000. Za zmínku stojí, že přes dvě třetiny těchto serverů má tři nebo méně aktivních obětí. Přes 25 % ze serverů C&C má dobu životnost jeden den nebo méně. Přes 50 % má životnost čtyři dny nebo méně.

Funkce Custom Defense pro C&C budou komerčně dostupné v průběhu první poloviny roku 2013  a budou součástí řešení OfficeScan, Deep Security, Deep Discovery, InterScan Mail Security, ScanMail, InterScan Web Security a Control Manager.

 

Funkce Custom Defense pro C&C podle výrobce:

  • Zdokonalená identifikace a sledování C&C komunikací v cloudu a v síti zákazníka.
  • Vestavěná detekce aktivit C&C komunikací v ochraně sítě, brány, serveru a koncových bodů.
  • Centralizované výstrahy o C&C, specializovaná analýza rizik C&C, flexibilní možnosti reakce na C&C.  
  • Adaptivní bezpečnostní aktualizace, které informují všechny produkty o detekci nových C&C.
  • Otevřená API pro zahrnutí jakéhokoliv bezpečnostního produktu do Custom Defense.

 

Našli jste v článku chybu?