/Solução inovadora oferece avanços concretos na identificação e
bloqueio de comunicações em casos de ataques direcionados/
A Trend Micro Incorporated (TYO:4704; TSE:4704), líder mundial em segurança na nuvem, apresenta novos recursos avançados para sua solução CustomDefense. As novidades se concentram em identificar e bloquear comunicações de comando e controle (C&C) utilizadas por ameaças avançadas persistentes (APTs) e ataques direcionados. A CustomDefense da Trend Micro é a primeira solução de proteção avançada do mercado que permite que as organizações não só detectem e analisem estes ataques, mas que também rapidamente adaptem sua proteção em resposta ao ataque.
Estes avanços recentes de resposta de C&C oferecem exclusiva detecção e proteção personalizada para redes, gateways, servidores e endpoints, juntamente com a centralização de alertas e inteligência de riscopara manter o cliente informado e no controle da resposta às atividades de C&C. Pela primeira vez, organizações e empresas terão visibilidade e inteligência para detectar e responder a importantes indicadores de ataques antes que o dano seja feito.
APTS GUIADAS POR COMUNICAÇÕES
As APTs e ataques direcionados continuam a transpor os padrões tradicionais de defesas de organizações, como visto recentemente em ataques como ao New York Times, Wall Street Journal e Banco Central dos EUA. De acordo com uma pesquisa recente entre membros da ISACA, 21% dos entrevistados afirmaram que suas empresas já foram vítimas de um APT, e 63%acreditam que seja apenas uma questão de tempo antes que suas empresastornem-sealvo.
Estes ataques são tipicamente orquestrados remotamente por meio da troca de comunicações de C&C entre os sistemas infiltrados e os invasores. Malwares avançados usados no ataque inicial “solicitam” downloads adicionais e novas instruções. Durante o curso do ataque os agressores também utilizam este canal para abrir e manipular o acesso à rede, criando portais adicionais para encontrar e extrair os dados segmentados que buscam. Uma pesquisa da Verizon em 2012 constatou que a exploração de canais do tipo “backdoor” e “comando e controle” foram usados em quase 50% de todos ataques investigados de roubo de dados.
O DESAFIO DE DETECTAR COMUNICAçõES
Identificar e responder às comunicações de C&C são fatores críticos na detecção de ataques direcionados, mas ao contrário de botnets de grande escala, o trafego de C&C de APTs – intermitente e de baixo volume – é difícil de detectar. Os criminosos responsáveis pelos ataques não facilitam, e procuram esconder o tráfego de C&C com técnicas como alteração e redirecionamento de endereço; uso de aplicativos e sites legítimos como o canal na transmissão; e, até mesmo, a criação de servidores C&C dentro da rede do cliente que está sendo alvejado. Pesquisadores da Trend Micro notam que a meia vida de um endereço de C&C é menor que três dias e que os
criminosos mais sofisticados usam técnicas que só são detectáveis com ferramentas de rede especializadas instaladas localmente na organização.
Dados sobre ações de C&C rastreados recentemente por pesquisadores do TrendLabs mostram mais de 1500 sites de C&C ativos, com número de vítimas que varia de 1 a mais de 25.000 por site. Destacamos que mais
de dois terços desses sites têm três ou menos vítimas ativas. Mais de 25% dos sites tiveram vida útil de um dia ou menos. Mais de 50%tiveram ciclo de vida menor ou igual aquatro dias.
/”A maior parte dos fornecedores de segurança não possui experiência, escala, tecnologia e os recursos necessários para, consistentemente, identificar os diversos tipos de C&C. E,mesmo quando seus produtos de rede, mensagens e endpoint detectam uma ação de C&C, é muito provável que esta seja simplesmente bloqueada ou registrada sem maior alarde – da mesma maneira que qualquer outro evento em pequena escala seria tratado. Assim, na maioria dos casos, a organização nunca chega a saber que pode estar sob sério ataque direcionado”/, explica STEVE QUANE, CHIEF PRODUCT OFFICER DA TREND MICRO.
As equipes de segurança da empresa precisam responder de forma confiável às seguintes perguntas críticas:
• Existem atividades de C&C na minha rede?
• São simples botnets ou possivelmente um ataque alvejado?
• Quão arriscadas são? De onde vêm e quem está por trás?
• Devo bloquear imediatamente e corrigir/remediar ou devo monitorar
mais esta ação?
A SOLUçãO CUSTOMDEFENSE DA TREND MICRO EM RESPOSTA
A solução CustomDefense da Trend Micro é a única que pode responder a estas perguntascom detecção de ações de C&C, inteligência e o controle de resposta necessário para bloquear um ataque direcionado antes que algum dano seja feito. Na Conferência RSA 2013, a Trend Micro irálançar e demonstrar estas novas e singulares funções de C&C da CustomDefense:
• Identificação e rastreamento aprimorado de comunicação de C&C
na nuvem e na rede do cliente;
• Detecção embutida de atividade de comunicação C&C em redes,
gateways, servidores e proteção aos endpoints;
• Alerta centralizado de C&C, inteligência de risco dedicada de
C&C, além de flexibilidade de resposta e opções de controle;
• Atualizações de segurança adaptadas para informar todos os
produtos sobre novadetecção de C&C;
• Serviços web e APIs públicos para incluir qualquer produto de
segurança naCustomDefense.
COMO FUNCIONA
– IDENTIFICAçãO E RASTREAMENTO GLOBAL: A SMARTPROTECTION NETWORK™
E OS PESQUISADORES DE RISCO DA TREND MICRO™
A SmartProtection Network automaticamente identifica sites ativos de C&C em todo o mundo com base no processamento diário de 12 bilhões de consultas de IPs/URL e a correlação com mais de seis Terabytes de
dados. Os motores de correlação acompanham o ritmo e a natureza mutante dos endereços de C&C, e empregam as mais recentes inovações dos 1200 pesquisadores de risco da Trend Micro para continuamente
detectar todas as medidas evasivas tomadas por possíveis ameaças.
Os pesquisadores de risco da Trend Micro também recolhem e examinam evidência forense de tentativas de ataques direcionados de dezenas de milhares de clientes empresariais da Trend Micro em todo o mundo. Ao
analisar as múltiplas camadas de um ataque, eles ganham uma visão mais aprofundada sobre ações de C&C, malware e técnicas de ataque, consequentemente, agregando melhorias constantes à SmartProtection
Network e aos produtos da Trend Micro.
– DETECçãO BASEADA EM REDE E APRENDIZADO CONSTANTE COM A PROTEçãO
AVANçADA A AMEAçAS DO DEEP DISCOVERY DA TREND MICRO™
O Deep Discovery da Trend Micro usa detecção específicade ameaça para descobrir malwares mais avançados, comunicações e atividades de ataque no nível da rede. Detecção de tráfego de C&C por meio de “impressões digitais” singulares pode identificar o uso de aplicativos e sites legítimos, bem como o uso de outras técnicas avançadascomo servidores internos de C&C. A análise customizada do sandbox do Deep Discovery também pode descobrir novos destinos de comando e controle em ataques de malware no dia em que são lançados e atualizar a SmartProtection Network e todos os pontos de proteção de segurança ao cliente.
– PROTEçãO INTEGRADA EM TODOS OS PRODUTOS; ALERTAS E CONTROLE
CENTRALIZADOS
As últimas informações sobre detecção global e local de C&C alimentam a gama de produtos de segurança Trend Micro nos endpoints, servidores, rede, gateway e pontos de proteção amensagens para identificar e controlar esse tipo de atividadeem todo o ambiente do cliente. A detecção de ações de C&C em qualquer ponto do ambiente é claramente identificada em um console centralizado, alertando a equipe de segurança e permitindo o controle do curso de ação de resposta. A avaliação de risco, contenção e remediação de ações de conta com o auxílio exclusivo da inteligência do Threat Connect na determinação de gravidade, atividade, origem e endereços
relacionados à ação e sites de C&C – ajudando na identificação de nível de risco representado pela comunicação, necessidade de bloqueio imediato, e procedimentos de contenção e remediação.
PRODUTOS E DISPONIBILIDADE
Os seguintes produtos Trend Micro incluirão as novas funções de C&C do CustomDefense, com versões beta disponíveis em fevereiro de 2013 e datas de disponibilidade geral de cada produto em 2013:
• Segurança de Endpoint
• OfficeScan™ da Trend Micro™
Segurança de servidores, virtualização e cloud
• Deep Security da Trend Micro™
Segurança de Rede
• Deep Discovery da Trend Micro™
Segurança de Mensagens
• InterScan Mail Security da Trend Micro™
• ScanMail™ da Trend Micro™ para Exchange e ScanMail™ da
Trend Micro™ para Lotus Domino
Segurança de Internet
• InterScan™ Web Security da Trend Micro™
Central de Gestão
• Control Manager™ da Trend Micro™
CITAçõES
/”A Trend Micro é a única grande fornecedora de segurança que realmente compreende os APTS – e continuamos expandir e entregar melhorias em nossa visão sobre defesa personalizada através da CustomDefense. Ações de C&C podem ser indicadorescríticos de ataques do tipo APT. Os clientes têm direito de esperar que seus produtos de segurança realizem um trabalho mais eficiente na detecção de atividades comando e controle de risco, além de oferecer a inteligência de que precisam para responder adequadamente.
Estamos liderando o mercado ao aprimorar nossa inteligência e capacidade de detecção de C&C, integrandoestes avanços a cada um dos nossos produtos, e proporcionando a visibilidade e controle de resposta que os clientes necessitam para combater os ataques”/, disse KEVIN FAULKNER, DIRETOR DE MARKETING DE PRODUTO DA TREND MICRO.
/”Somos grandes fãs da CustomDefense da Trend Micro. Ela não só detecta e analisa ataques do tipo APTs, mas também nos permite responder rapidamente a eles. Nos dois primeiros meses em nossa rede, o Deep Discovery encontrou e paralisou 5.000 eventos anônimos em nossa área ampla de rede, eventos estes que não foram detectados por nenhuma outra camada de segurança”/, disse JOHN DICKSON, DIRETOR DE INFRAESTRUTURA DE TI DA REPUBLIC NATIONAL DISTRIBUTING COMPANY EM ATLANTA, GEóRGIA.
SOBRE A TREND MICRO
Trend Micro Incorporated, líder global em segurança em nuvem,
proporciona a empresas e consumidores um mundo seguro para a troca de
informações digitais, por meio da segurança para conteúdo na
internet e gerenciamento de ameaças. Com mais de 20 anos de
experiência, a empresa é pioneira em segurança para servidor. Nós
oferecemos segurança altamente conceituada, baseada em cliente,
servidor e em nuvem, que atende às necessidades de nossos
consumidores e parceiros, impede ameaças mais rápido e protege dados
em ambientes físicos, virtualizados e em nuvem. Potencializados pela
infraestrutura Trend Micro™ SmartProtection Network™, nossos
produtos, serviços e segurança, líderes na indústria de
cloud-computing, impedem a ação de ameaças de onde quer que elas
surjam, na internet, com o apoio de mais de 1.200 especialistas em
inteligência de ameaças em todo o mundo. Para informações
adicionais, visite www.trendmicro.com[1].