Trend Micro apresenta novos recursos para sua solução de combate a ameaças avançadas persistentes (APT)

Fonte RMA Comunicação 02/03/2013 às 12h

Solução inovadora oferece avanços concretos na identificação e bloqueio de comunicações em casos de ataques direcionados

São Paulo, março de 2013 - A Trend Micro Incorporated (TYO:4704; TSE:4704), líder mundial em segurança na nuvem, apresenta novos recursos avançados para sua solução CustomDefense. As novidades se concentram em identificar e bloquear comunicações de comando e controle (C&C) utilizadas por ameaças avançadas persistentes (APTs) e ataques direcionados. A CustomDefense da Trend Micro é a primeira solução de proteção avançada do mercado que permite que as organizações não só detectem e analisem estes ataques, mas que também rapidamente adaptem sua proteção em resposta ao ataque.

Estes avanços recentes de resposta de C&C oferecem exclusiva detecção e proteção personalizada para redes, gateways, servidores e endpoints, juntamente com a centralização de alertas e inteligência de riscopara manter o cliente informado e no controle da resposta às atividades de C&C. Pela primeira vez, organizações e empresas terão visibilidade e inteligência para detectar e responder a importantes indicadores de ataques antes que o dano seja feito.

APTs guiadas por comunicações de C&C

As APTs e ataques direcionados continuam a transpor os padrões tradicionais de defesas de organizações, como visto recentemente em ataques como ao New York Times, Wall Street Journal e Banco Central dos EUA. De acordo com uma pesquisa recente entre membros da ISACA, 21% dos entrevistados afirmaram que suas empresas já foram vítimas de um APT, e 63%acreditam que seja apenas uma questão de tempo antes que suas empresastornem-sealvo.

Estes ataques são tipicamente orquestrados remotamente por meio da troca de comunicações de C&C entre os sistemas infiltrados e os invasores. Malwares avançados usados no ataque inicial "solicitam" downloads adicionais e novas instruções. Durante o curso do ataque os agressores também utilizam este canal para abrir e manipular o acesso à rede, criando portais adicionais para encontrar e extrair os dados segmentados que buscam. Uma pesquisa da Verizon em 2012 constatou que a exploração de canais do tipo “backdoor” e “comando e controle” foram usados em quase 50% de todosataques investigados de roubo de dados.

O desafio de detectar comunicações de C&C

Identificar e responder às comunicações de C&C são fatores críticos na detecção de ataques direcionados, mas ao contrário de botnets de grande escala, o trafego de C&C de APTs - intermitente e de baixo volume - é difícil de detectar. Os criminosos responsáveis pelos ataques não facilitam, e procuram esconder o tráfego de C&C com técnicas como alteração e redirecionamento de endereço; uso de aplicativos e sites legítimos como o canal na transmissão; e, até mesmo, a criação de servidores C&C dentro da rede do cliente que está sendo alvejado. Pesquisadores da Trend Micro notam que a meia vida de um endereço de C&C é menor que três dias e que os criminosos mais sofisticados usam técnicas que só são detectáveis com ferramentas de rede especializadas instaladas localmente na organização.

Dados sobre ações de C&C rastreados recentemente por pesquisadores do TrendLabs mostram mais de 1500 sites de C&C ativos, com número de vítimas que varia de 1 a mais de 25.000 por site. Destacamos que mais de dois terços desses sites têm três ou menos vítimas ativas. Mais de 25% dos sites tiveram vida útil de um dia ou menos. Mais de 50%tiveram ciclo de vida menor ou igual aquatro dias.

"A maior parte dos fornecedores de segurança não possui experiência, escala, tecnologia e os recursos necessários para, consistentemente, identificar os diversos tipos de C&C. E,mesmo quando seus produtos de rede, mensagens e endpoint detectam uma ação de C&C, é muito provável que esta seja simplesmente bloqueada ou registrada sem maior alarde - da mesma maneira que qualquer outro evento em pequena escala seria tratado. Assim, na maioria dos casos, a organização nunca chega a saber que pode estar sob sério ataque direcionado", explica Steve Quane, chief product officer da Trend Micro.

As equipes de segurança da empresa precisam responder de forma confiável às seguintes perguntas críticas:

• Existem atividades de C&C na minha rede?
• São simples botnets ou possivelmente um ataque alvejado?
• Quão arriscadas são? De onde vêm e quem está por trás?
• Devo bloquear imediatamente e corrigir/remediar ou devo monitorar mais esta ação?

A solução CustomDefense da Trend Micro em resposta à C&C

A solução CustomDefense da Trend Micro é a única que pode responder a estas perguntascom detecção de ações de C&C, inteligência e o controle de resposta necessário para bloquear um ataque direcionado antes que algum dano seja feito. Na Conferência RSA 2013, a Trend Micro irálançar e demonstrar estas novas e singulares funções de C&C da CustomDefense:

• Identificação e rastreamento aprimorado de comunicação de C&C na nuvem e na rede do cliente;
• Detecção embutida de atividade de comunicação C&C em redes, gateways, servidores e proteção aos endpoints;
• Alerta centralizado de C&C, inteligência de risco dedicada de C&C, além de flexibilidade de resposta e opções de controle;
• Atualizações de segurança adaptadas para informar todos os produtos sobre novadetecção de C&C;
• Serviços web e APIs públicos para incluir qualquer produto de segurança naCustomDefense.

Como funciona

- Identificação e rastreamento global: A SmartProtection Network™ e os pesquisadores de risco da Trend Micro™

A SmartProtection Network automaticamente identifica sites ativos de C&C em todo o mundo com base no processamento diário de 12 bilhões de consultas de IPs/URL e a correlação com mais de seis Terabytes de dados. Os motores de correlação acompanham o ritmo e a natureza mutante dos endereços de C&C, e empregam as mais recentes inovações dos 1200 pesquisadores de risco da Trend Micro para continuamente detectar todas as medidas evasivas tomadas por possíveis ameaças.

Os pesquisadores de risco da Trend Micro também recolhem e examinam evidência forense de tentativas de ataques direcionados de dezenas de milhares de clientes empresariais da Trend Micro em todo o mundo. Ao analisar as múltiplas camadas de um ataque, eles ganham uma visão mais aprofundada sobre ações de C&C, malware e técnicas de ataque, consequentemente, agregando melhorias constantes à SmartProtection Network e aos produtos da Trend Micro.

- Detecção baseada em rede e aprendizado constante com a proteção avançada a ameaças do Deep Discovery da Trend Micro™

O Deep Discovery da Trend Micro usa detecção específicade ameaça para descobrir malwares mais avançados, comunicações e atividades de ataque no nível da rede. Detecção de tráfego de C&C por meio de "impressões digitais" singulares pode identificar o uso de aplicativos e sites legítimos, bem como o uso de outras técnicas avançadascomo servidores internos de C&C. A análise customizada do sandbox do Deep Discovery também pode descobrir novos destinos de comando e controle em ataques de malware no dia em que são lançados e atualizar a SmartProtection Network e todos os pontos de proteção de segurança ao cliente.

- Proteção integrada em todos os produtos; Alertas e Controle centralizados

As últimas informações sobre detecção global e local de C&C alimentam a gama de produtos de segurança Trend Micro nos endpoints, servidores, rede, gateway e pontos de proteção amensagens para identificar e controlar esse tipo de atividadeem todo o ambiente do cliente. A detecção de ações de C&C em qualquer ponto do ambiente é claramente identificada em um console centralizado, alertando a equipe de segurança e permitindo o controle do curso de ação de resposta. A avaliação de risco, contenção e remediação de ações de conta com o auxílio exclusivo da inteligência do Threat Connect na determinação de gravidade, atividade, origem e endereços relacionados à ação e sites de C&C - ajudando na identificação de nível de risco representado pela comunicação, necessidade de bloqueio imediato, e procedimentos de contenção e remediação.

Produtos e Disponibilidade

Os seguintes produtos Trend Micro incluirão as novas funções de C&C do CustomDefense, com versões beta disponíveis em fevereiro de 2013 e datas de disponibilidade geral de cada produto em 2013:

Segurança de Endpoint
• OfficeScan™ da Trend Micro™

Segurança de servidores, virtualização e cloud
• Deep Security da Trend Micro™

Segurança de Rede
• Deep Discovery da Trend Micro™

Segurança de Mensagens
• InterScan Mail Security da Trend Micro™
• ScanMail™ da Trend Micro™ para Exchange e ScanMail™ da Trend Micro™ para Lotus Domino

Segurança de Internet
• InterScan™ Web Security da Trend Micro™

Central de Gestão
• Control Manager™ da Trend Micro™


Citações

"A Trend Micro é a única grande fornecedora de segurança que realmente compreende os APTS - e continuamos expandir e entregar melhorias em nossa visão sobre defesa personalizada através da CustomDefense. Ações de C&C podem ser indicadorescríticos de ataques do tipo APT. Os clientes têm direito de esperar que seus produtos de segurança realizem um trabalho mais eficiente na detecção de atividades comando e controle de risco, além de oferecer a inteligência de que precisam para responder adequadamente. Estamos liderando o mercado ao aprimorar nossa inteligência e capacidade de detecção de C&C, integrandoestes avanços a cada um dos nossos produtos, e proporcionando a visibilidade e controle de resposta que os clientes necessitam para combater os ataques", disse Kevin Faulkner, diretor de marketing de produto da Trend Micro.

"Somos grandes fãs da CustomDefense da Trend Micro. Ela não só detecta e analisa ataques do tipo APTs, mas também nos permite responder rapidamente a eles. Nos dois primeiros meses em nossa rede, o Deep Discovery encontrou e paralisou 5.000 eventos anônimos em nossa área ampla de rede, eventos estes que não foram detectados por nenhuma outra camada de segurança", disse John Dickson, diretor de infraestrutura de TI da Republic National Distributing Company em Atlanta, Geórgia.

Sobre a Trend Micro
Trend Micro Incorporated, líder global em segurança em nuvem, proporciona a empresas e consumidores um mundo seguro para a troca de informações digitais, por meio da segurança para conteúdo na internet e gerenciamento de ameaças. Com mais de 20 anos de experiência, a empresa é pioneira em segurança para servidor. Nós oferecemos segurança altamente conceituada, baseada em cliente, servidor e em nuvem, que atende às necessidades de nossos consumidores e parceiros, impede ameaças mais rápido e protege dados em ambientes físicos, virtualizados e em nuvem. Potencializados pela infraestrutura Trend Micro™ SmartProtection Network™, nossos produtos, serviços e segurança, líderes na indústria de cloud-computing, impedem a ação de ameaças de onde quer que elas surjam, na internet, com o apoio de mais de 1.200 especialistas em inteligência de ameaças em todo o mundo. Para informações adicionais, visite www.trendmicro.com.
RMA Comunicação
Fonte RMA Comunicação 02/03/2013 ás 12h

Compartilhe

Trend Micro apresenta novos recursos para sua solução de combate a ameaças avançadas persistentes (APT)