Contrastare la sfida delle Advanced Persistent Threat con Deep Discovery. Trend Micro I Febbraio 2013

Transcript

1 Contrastare la sfida delle Advanced Persistent Threat con Deep Discovery Trend Micro I Febbraio 2013

2 Indice Riepilogo esecutivo...3 L'anatomia di un attacco mirato...3 Trend Micro Deep Discovery: La difesa personalizzata contro le APT...8 Andare oltre il rilevamento: Consentire una difesa personalizzata completa contro le APT...11 Conclusione...13 Pagina 2 di 16 Trend Micro Contrastare la sfida delle Threat (APT) con Deep Discovery

3 Riepilogo esecutivo Gli attacchi mirati e le Advanced Persistent Threat (APT) sono ormai consuetudine e gli attacchi alla cybersicurezza comportano sforzi organizzati e focalizzati creati ad hoc per penetrare nelle imprese e nelle agenzie governative allo scopo di ottenere dati preziosi, segreti commerciali e accedere a sistemi interni. I giornali hanno riferito di violazioni importanti contro RSA, Citibank, e Global Payments e, secondo un recente sondaggio condotto tra i membri ISACA, il 21% degli intervistati ha segnalato come la loro impresa sia già stata vittima di un APT, e il 63% ritiene che sia solo una questione di tempo prima di diventare un bersaglio. 1 Mentre i prodotti di sicurezza tradizionali sono in grado di garantire una difesa contro malware e altre vulnerabilità note, risultano inefficaci di fronte a questa nuova era di attacchi slow and low personalizzati, mirati, mai visti prima. Secondo una ricerca Gartner Tutti concordano ampiamente nell affermare che gli attacchi avanzati stiano riuscendo ad aggirare i nostri controlli di sicurezza tradizionali signature-based continuando ad eludere il rilevamento sui nostri sistemi per lunghi periodi di tempo. La minaccia è reale. Siete compromessi, semplicemente non ne siete a conoscenza." 2 Per combattere questi attacchi personalizzati è necessario ricorrere ad un approccio nuovo in grado di colmare il gap di sicurezza creato da questa nuova generazione di minacce, sofisticate e furtive. La strategia di un organizzazione contro le APT dovrebbe utilizzare un approccio che prenda in considerazione il modo in cui gli attacchi mirati si infiltrano e operano all interno di una società fornendo, al contempo, rilevamento e intelligence personalizzati adeguati all'organizzazione e ai suoi attaccanti. Una soluzione ideale dovrebbe, inoltre, integrare la tecnologia di rilevamento avanzata nelle difese endpoint e gateway esistenti di un'organizzazione per favorire il rafforzamento dell'individuazione degli attacchi mirati. Questo white paper intende esaminare l anatomia degli attacchi mirati: il funzionamento interno del ciclo di vita delle APT. Fornirà, inoltre, una panoramica approfondita della soluzione di protezione delle minacce avanzate Trend Micro Deep Discovery e del modo in cui tale opzione consente all'it delle imprese di adottare una strategia di difesa personalizzata che modernizzi il proprio programma di gestione dei rischi per mettere in campo una tecnologia in grado di contrastare gli attacchi mirati. Deep Discovery rappresenta il fulcro della soluzione Trend Micro Custom Defense contro gli attacchi mirati. L'anatomia di un attacco mirato Le APT sono altamente sofisticate e rappresentano una realtà per le piccole e le grandi organizzazioni. Abbiamo già esaminato ShadowNet, Flame, Global Payments, e la campagna Red October scoperta di recente come esempi riusciti di attacchi pianificati e attentamente focalizzati su obiettivi specifici nelle entità target. Mentre in precedenza i cyberattacchi utilizzavano approcci di scala di massa che consentivano la rapida creazione di firme di sicurezza, il malware avanzato non solo nasconde la propria presenza, ma anche le proprie comunicazioni all'interno di traffico di rete apparentemente legittimo rendendo virtualmente impossibile attuare una difesa tramite approcci tradizionali signature-based.lo scopo di questa tecnica furtiva one to one è quella di sottrarre proprietà intellettuale preziosa, denaro e altre informazioni individuabili a livello personale (PII). Data la loro natura personalizzata, questi attacchi malware avanzati presentano una percentuale di successo elevata e hanno comportato un costo considerevole per le organizzazioni. Nel gennaio 2012, Global Payments, Inc. ha segnalato costi associati alla violazione dati scoperta nell aprile 2012 per una cifra pari a 93,9 milioni di dollari. Allo scopo di comprendere le modalità di riuscita delle APT è importante esaminare in modo più approfondito alcuni esempi reali al fine di acquisire degli elementi di conoscenza rispetto alla sequenza di attacco e alla tecniche usate. Di seguito riesamineremo gli esempi relativi agli attacchi RSA, Diginotar, e Luckycat. 1 ISACA, Advanced Persistent Threats Awarness, febbraio Gartner Inc., Best Practices for Mitigating Advanced Persistent Threats, Report G , 18 gennaio 2012 Pagina 3 di 16 Trend Micro Contrastare la sfida delle Threat (APT) con Deep Discovery

4 RSA Nel marzo 2011, EMC è finito sulle pagine dei giornali nazionali dopo avere rivelato che la propria divisione RSA aveva subito un attacco durante il quale erano stati sottratti dati di SecureID. Tale interesse era dovuto in particolare ai milioni di token SecureID RSA in uso in quel momento che fornivano protezione a reti e smartphone societari. Nel giugno 2011 è stato poi scoperto che gli attacchi mirati contro Lockheed Martin, L-3 Communications, e Northrop Grumman erano stati resi possibili dai dati SecureID ottenuti nella violazione RSA riuscita. PANORAMICA DEGLI ATTACCHI: 1. In due giorni due spear phishing sono state inviate a dipendenti di basso e medio livelli. I messaggi avevano come oggetto Piano di Reclutamento 2011 e presentavano un allegato.xls con lo stesso titolo 2. il file xls conteneva un exploit attraverso una vulnerabilità zero day Adobe Flash che installava un backdoor usando una serie di varianti RAT Poison Ivy in modalità reverse-connect. 3. Gli attaccanti hanno utilizzato la tecnica di spostamento laterale per individuare gli utenti con maggiori diritti di accesso e amministrazione per i servizi attinenti e i server di interesse. 4. Hanno quindi stabilito l accesso per server di verifica in punti strategici di aggregazione 5. I dati di interesse sono stati spostati in server di verifica interni per poi essere aggregati, compressi e criptati per l estrazione 6. E stato successivamente utilizzato il protocollo FTP per trasferire file RAR protetti da password ad una macchina compromessa presso un provider in hosting 7. I file sono stati quindi rimossi dall host per coprire le tracce dell attacco DigiNotar Nell agosto del 2011, è stato scoperto un compromise di rete presso DigiNotar, un ex autorità di certificazione olandese (CA) che ha portato all'emissione di certificati digitali fraudolenti utilizzati per far sembrare legittimi i siti web maligni e il malware. In particolare, sono stati ottenuti certificati validi per un numero di domini di valore elevato, tra cui Yahoo, Mozilla, e Google, che hanno scoperto certificati fraudolenti in uso su larga scala, l attacco Man-In-The-Middle (MITM) contro oltre utenti Gmail, installati per settimane prima dell'individuazione. A settembre, DigiNotar ha fatto istanza di bancarotta ed è stata costretta a chiudere mentre tutti i principati venditori di browser e sistemi operativi hanno revocato tutti i certificati firmati DigiNotar. La violazione DigiNotar e il successivo attacco Google MITM hanno portato ad un erosione della fiducia pubblica nelle infrastrutture a chiave pubblica esistenti. PANORAMICA DEGLI ATTACCHI: 1. L'attaccante ha individuato l accesso della rete compromessa sono stati violati server web in DMZ esterne 2. Poiché Diginotar utilizzava una metodologia di difesa di rete ad anello altamente segmentata per proteggere otto server CA e gli attaccanti hanno metodicamente compromesso un anello alla volta per ottenere l accesso 3. Grazie all accesso ai server CA, sono stati emessi oltre 531 certificati falsi (identificati) 4. I certificati falsi sono stati trasmessi al server IP esterno dell'attaccante utilizzando uno strumento di tunnelling proxy Luckycat L APT Luckycat APT, attiva a partire dal giugno 2011, rappresenta un attacco ampio legato ad una banda di cybercriminali cinesi che ha avuto come obiettivo 90 soggetti in Asia compresi dipendenti di livello esecutivo nei settori aerospaziale, dell'energia e dell'ingegnerizzazione con lo scopo iniziale inteso di rimanere all interno dei sistemi infettati, monitorando l attività in modo nascosto per un periodo di tempo esteso. Successivamente, nel luglio del 2011, la ricerca ha individuato malware sotto forma di due app Android non terminate e non trasmesse che comunicavano con il server C&C Luckycat. PANORAMICA DEGLI ATTACCHI: 1. Gli attaccanti hanno cercato gli obiettivi, comprese le entità sensibili in Giappone e India oltre ad attivisti tibetani 2. Le spear-phishing sono state usate principalmente come punto di ingresso. Una ha avuto come target un obbiettivo giapponese sfruttando la confusione successiva al grande terremoto nel Giappone Orientale per convincere le potenziali vittime ad aprire un allegato.pdf maligno, mentre un altra ha preso di mira un ente in India convincendo le vittime ad aprire un file.doc sul programma di difesa missilistico balistico dell India. 3. Una volta aperti entrambi i target esemplificativi visualizzavano un documento trappola mentre le vulnerabilità in.pdf e in.doc consentivano l installazione del malware, TROJ_WIMMIE, 4. I dati esfiltrati, compresi i codici della campagna di attacco, i dettagli dell identità delle vittime e i contenuti dei computer e dei server compromessi venivano inoltrati nuovamente ai server C&C Luckycat. Pagina 4 di 16 Trend Micro Contrastare la sfida delle Threat (APT) con Deep Discovery

5 Dall analisi di questi esempi, appare subito evidente il livello di sofisticatezza degli attacchi mirati. E interessante notare, inoltre, come gli attacchi iniziali siano spesso collegati ad attacchi target successivi (per esempio l attacco RSA è collegato a Lockheed Martin) o eseguiti in modo ripetuto da una rete criminale interconnessa che utilizza o addirittura condivide la stessa infrastruttura o componenti malware. Mentre questi attacchi riusciti risultavano tutti personalizzati rispetto al loro obiettivo, ciascuno ha seguito un ciclo di vita attuato con cura per entrare nell organizzazione scelta e recuperare i dati desiderati prima dell individuazione. Grazie ad un ulteriore analisi dell anatomia di questi esempi di APT, si evidenziano sei fasi distinte: La sequenza di attacco APT Esecutore dell attacco 6 1 Raccolta intelligente Server esterno 3 Server C & C 5 Punto di ingresso 2 4 Archivio file Database Dati di interesse Movimento laterale Fase 1: Raccolta dell intelligence In questa fase i cybercriminali hanno in mente i loro attacchi e conducono ricerche per individuare soggetti target all interno dell organizzazione, sfruttando, molti più probabilmente, i siti di social media, come LinkedIn, Facebook, e MySpace. Grazie alla ricchezza di informazioni personali fornita da questi siti, gli attaccanti hanno a disposizione conoscenze approfondite sui singoli all interno dell organizzazione, come ad esempio il loro ruolo, gli hobby le iscrizioni ad associazioni commerciali e i nomi dei soggetti che fanno parte della loro rete personale. Potendo contare su simili informazioni, i malintenzionati preparano un attacco personalizzato per ottenere l accesso all organizzazione. Come evidenziato negli attacchi riusciti contro RSA, la fase di intelligence e raccolta dei criminali si è focalizzata sull identificazione di un numero limitato di dipendenti all interno di due gruppi che sarebbero diventati i destinatari di un ben progettata e convincente. Secondo l RSA, i dipendenti oggetto dell invio non erano considerati obiettivi con profili particolarmente elevati o di alto valore". Questo approccio di ricerca è diventato comune e prevede l individuazione di dipendenti di un certo dipartimento o con un livello dirigenziale desiderato, dimostrando, inoltre, l'importanza dell'educare i dipendenti riguardo la consapevolezza alla sicurezza. Pagina 5 di 16 Trend Micro Contrastare la sfida delle Threat (APT) con Deep Discovery

6 Fase 2: Punto di ingresso Una volta che i cybercriminali hanno raccolto l intelligence relativa agli obiettivi desiderati, iniziano a lavorare sulla progettazione del punto di ingresso nell organizzazione. Mentre nell esempio dell attacco Diginotar è stato evidenziato un compromesso di rete, i compromessi iniziali derivano tipicamente da attacchi che sfruttano vulnerabilità zero day per posizionare il malware nel sistema, trasferito con maggiore frequenza tramite social media ( , IM o download drive-by) come negli esempi RSA e Luckycat. Una recente ricerca Trend Micro ha infatti scoperto che il 91% degli attacchi mirati ha coinvolto attività di spear phishing. Nell esempio RSA, l attacco è iniziato con l invio di spear phishing a dipendenti target. I messaggi contenevano un allegato excel intitolato Piani di Reclutamento 2011" Nel momento in cui il dipendente apriva il foglio di calcolo, eseguiva un malware che sfruttava una vulnerabilità zero day precedentemente sconosciuta di Adobe Flash (CVE ) per installare un sistema di amministrazione remota (RAT) Poison Ivy. Nell ampia campagna APT Luckycat, è stata inviata una serie di spear phishing a vari obiettivi sfruttando vulnerabilità Adobe e Microsoft per penetrare nelle reti. Come visto nell esempio dell obiettivo in Giappone, gli attaccanti hanno sfruttato il disastro del terremoto in Giappone del 2011 per convincere le potenziali vittime ad aprire un allegato.pdf maligno con informazioni contenenti i risultati delle misurazioni dei livelli di radiazioni che, una volta aperto, sfruttava una vulnerabilità in Adobe Reader CVE , per installare il malware (TROJ_WIMMIE) nel sistema target. Fase 3: Comunicazione command-and-control Una volta che il malware è stato installato su una macchina compromessa, è in grado di comunicare con i server command and control (C&C) del cyber criminale per ottenere nuove istruzioni o per scaricare ulteriore malware e strumenti degli attaccanti. Questa connessione C&C consente all attaccante di istruire e controllare le macchine compromesse e il malware in tutte le successive fasi dell attacco e di stabilire un accesso a lungo termine alla rete. Più comunemente, prevede il download di ulteriori malware eseguibili a seguito dell infezione iniziale come key logger, trojan bakcdoor e strumenti per il crack delle password. La campagna Luckycat ha fatto un uso esteso di servizi free hosting per i propri server C&C. I domini utilizzati erano notevolmente diversi e tutti resi disponibili da tre servizi di free hosting. In questo modo gli attaccanti disponevano di risorse estese per continuare a creare nomi di domini diversi per i loro server C&C. DOMINIO cattree.1x.biz charlesbrain.shop.co footballworldcup.website.org INDIRIZZO lindagreen56@rediffmail.com yamagami_2011@mail.goo.ne.jp ajayalpna@hotmail.com Campioni di attaccanti di domini di servizi di web hosting gratuiti utilizzati per i server C&C Luckycat Nell esempio APT Diginotar l attaccante intratteneva chiaramente comunicazioni C&C frequenti mentre cercava di sottrarre i certificati fraudolenti nel corso dell attacco sferrato dal 17 giugno al 24 luglio Nel caso della violazione RSA, gli attaccanti hanno utilizzato una serie RAT Poison Ivy in modalità reverse-connect per gestire in remoto l attacco dalla località esterna. Pagina 6 di 16 Trend Micro Contrastare la sfida delle Threat (APT) con Deep Discovery

7 Fase 4: Movimento laterale e persistenza Una volta all interno della rete, l attaccante si sposta lateralmente all interno dell organizzazione per compromettere ulteriori macchinari allo scopo di raccogliere credenziali e ottenere livelli di privilegio evoluti. L attaccante acquisirà inoltre informazioni strategiche sull ambiente IT, sui sistemi operativi, sulle soluzioni di sicurezza e sul layout della rete, al fine di mantenere il controllo costante dell organizzazione target. Nell attacco contro Diginotar sono stati usati diversi strumenti per aumentare il livello di accesso dell intruso nella rete compresi i reindirizzatori di porte, gli strumenti di scansione e di esecuzione dei processi remoti. Nella violazione RSA, gli attaccanti hanno ottenuto credenziali per il log in dai primi account compromessi, tra cui nomi utente, password e informazioni sui domini, per poi proseguire con account di valore più elevato caratterizzati da privilegi di accesso superiori. Secondo Uri Rivner, ex Responsabile delle nuove tecnologie e della protezione delle identità in RSA, Questa è stata una delle ragioni chiave per cui, non essendo riusciti a impedire la fase iniziale di ingegnerizzazione sociale, il rilevamento rapido [di un APT] è così importante. In molte APT [esempi] gli attaccanti hanno avuto a disposizione mesi di tempo per eseguire il shoulder surfing digitale degli utenti attaccati, mappare rete e risorse e iniziare a cercare un percorso per raggiungere i preziosi asset che desideravano. Successivamente hanno utilizzato gli account compromessi, combinandoli ad altre tattiche necessarie ad ottenere l accesso ad un numero maggiore di utenti strategici. Benché nel caso dell attacco RSA il tempo a disposizione fosse più breve, l attaccante ha comunque avuto modo di individuare e ottenere accesso ad utenti maggiormente strategici. Fase 5: Scoperta asset/dati In un attacco malware avanzato, i cybercriminali sono alla ricerca di un asset di valore elevato, dati finanziari, segreti commerciali, o codici sorgente e, cosa ancora più importante, conoscono i dati di interesse quando viene attaccata un organizzazione standard. Come evidenziato nella violazione RSA, gli attaccanti ricercavano i dati di autentificazione a due fattori dei SecureID della società mentre nell attacco contro Diginotar, sono stati creati e sottratti certificati falsi. Lo scopo degli attaccanti è di identificare i dati di interesse il più presto possibile senza essere notati. Nella fase di scoperta di asset e dati, l attaccante utilizza diverse tecniche per individuare i server e i servizi importanti che ospitano dati di interesse, per esempio: Verifica la configurazione del client host infettato per localizzare il server Localizza i server file controllando l host per individuare drive di rete mappati al momento Ottiene la cronologia del browser per individuare i servizi web interni, come i server CMS o CRM Scansiona la rete locale per individuare cartelle condivise da altri endpoint Fase 6: Esfiltrazione dati In questa fase finale di un attacco mirato, si procede alla raccolta delle informazioni sensibili che vengono successivamente incanalate verso un server di verifica interno dove vengono suddivise, compresse e spesso criptate per essere trasmesse a entità esterne. Nell attacco Diginotar, una volta compromessi i server dell Autorità di Certificazione, i criminali hanno utilizzato il loro accesso completo per creare certificati fraudolenti ma validi e esfiltrandoli dalla rete Diginotar verso loro località. Nell attacco RSA, una volta che i criminali hanno localizzato i dati che intendevano sottrarre, li hanno riuniti in un'area di verifica, li hanno compressi e quindi esfiltrati tramite un server FTP. Pagina 7 di 16 Trend Micro Contrastare la sfida delle Threat (APT) con Deep Discovery

8 Trend Micro Deep Discovery: La difesa personalizzata contro le APT L approccio omnicomprensivo signature based dei prodotti di protezione standard non è in grado di affrontare la natura personalizzata degli attacchi mirati e i loro criminali dedicati. Il malware, le comunicazioni e le attività degli attaccanti utilizzati nelle APT sono invisibili alle misure di sicurezza endpoint, gateway e di rete. Analisti ed esperti di sicurezza raccomandano un nuovo tipo di monitoraggio di rete che utilizza tecniche di rilevamento e analisi specializzate progettate specificamente per individuare i segni rivelatori di questi attacchi. Trend Micro Deep Discovery è un prodotto leader di questa tecnologia che consente alle organizzazioni di installare un ciclo di vita completo Rilevare Analizzare Adattare Rispondere per proteggersi da questi attacchi. La soluzione Deep Discovery comprende due componenti: Deep Discovery Inspector e Deep Discovery Advisor. Deep Discovery Inspector fornisce un ispezione del traffico di rete, sandbox personalizzato, e analisi e reporting in tempo reale. Le sue capacità sono l argomento primario di questa sezione. La soluzione opzionale Deep Discovery Advisor fornisce analisi sandbox personalizzata, scalabile e aperta che può aumentare le capacità di protezione dei prodotti di sicurezza esistenti di un organizzazione, come gateway e web. Fornisce, inoltre visibilità ad eventi di sicurezza a livello di rete ed esportazioni degli aggiornamenti della sicurezza, tutto in una piattaforma di intelligence unificata. Deep Discovery Advisor è il portale che conduce alla piena potenza della soluzione Trend Micro Custom Defense, descritta nella sezione successiva. Deep Discovery Inspector Ispezione del traffico di rete Rilevazione personalizzata delle minacce Analisi e reporting in tempo reale Deep Discovery Advisor Analisi sandbox personalizzata Investigazione e analisi approfondite Protezione adattiva contro gli attacchi Pagina 8 di 16 Trend Micro Contrastare la sfida delle Threat (APT) con Deep Discovery

9 IN CHE MODO FUNZIONA DEEP DISCOVERY INSPECTOR RILEVAMENTO DEGLI ATTACCHI Contenuto maligno contenenti exploit di documenti embedded Drive-by downloads Malware noti e zero-day Decodifica e decompressione di file embedded Simulazione sandbox di file sospetti Rilevamento kit exploit browser Scansione malware (firma ed euristica) Comunicazioni sospette Comunicazione command-andcontrol per tutto il malware bot, downloader, malware per furto dati, worm e minacce combinate Attività backdoor da parte degli attaccanti Analisi della destinazione (URL, IP; dominio, , canale IRC...) tramite black list e white list dinamiche Smart Protection Network TM Web reputation Regole relative alle impronte di comunicazione Comportamento dell attacco Attività malware: diffusione, download, spamming;... Attività degli attaccanti: scansione, forza bruta, gestione servizio Esfiltrazione dati Analisi euristica rule-based Identificazione e analisi dell uso di centinaia di protocolli e applicazioni, tra cui applicazioni HTTP-based PROFILO DELLE MINACCE Quali sono le caratteristiche, le origini e le varianti di questo malware? IP/DOMINI COLLEGATI Quali sono le comm. C&C note per questo attacco? GRUPPO/CAMPAGNA DI ATTACCO Chi e cosa c è dietro questa minaccia? CONTENIMENTO E CONTRASTO Cosa cercare, come contrastare ed eliminare? Pagina 9 di 16 Trend Micro Contrastare la sfida delle Threat (APT) con Deep Discovery

10 Deep Discovery è stato creato appositamente per rilevare APT e attacchi mirati individuando il contenuto, le comunicazioni e il comportamento maligno che possano indicare malware avanzato o attività di attaccanti in ogni fase della sequenza di attacco. Deep Discovery Inspector utilizza una metodologia a tre livelli per eseguire la rilevazione iniziale, la simulazione, la correlazione e, una correlazione incrociata finale per scoprire gli attacchi mirati evidenziabili solo su un periodo di tempo esteso. I motori specializzati di rilevamento e correlazione forniscono la protezione più accurata e aggiornata sostenuta dall intelligence contro le minacce globale dell infrastruttura Trend Micro Smart Protection Network. Gli ingegneri Trend Micro di ricerca e sviluppo aggiornano costantemente le regole di rilevamento che correlano gli eventi e definiscono il comportamento e le impronte di comunicazione che individuano gli attacchi mirati. Il risultato è una percentuale di rilevamento elevata, un numero limitato di falsi positivi e informazioni approfondite sugli incidenti pensate per velocizzare il contenimento di un attacco. TECNOLOGIE BASE Motore di ispezione del contenuto di rete Un motore di indagine approfondita dei pacchetti che esegue rilevamento protocolli, decodifica, decompressione e estrazioni file su tutte le porte e su centinaia di protocolli. Motore di scansione delle minacce avanzate Combina la scansione file antivirus tradizionale con nuove tecniche di scansione euristiche aggressive per individuare i malware noti e sconosciuti e gli exploit dei documenti Analisi sandbox personalizzata Un sistema di analisi in sandbox virtualizzate utilizza immagini customer-specific che corrispondano in modo esatto agli ambienti target, garantendo la rilevazione accurata e riducendo i falsi positivi. Rilevamento delle minacce e regole di correlazione Il comportamento e le tecniche di comunicazione usate dagli attaccanti vengono rilevati sulla base di regole di identificazione e correlazione sviluppate e aggiornate in modo continuo dai 1200 ricercatori Trend Micro e dall intelligence di Smart Protection Network Trend Micro Smart Protection Network L intelligence contro le minacce globali e il servizio legato alla reputazione elabora oltre 16 miliardi di richieste quotidiane e garantisce che Deep Discovery riveli qualsiasi variante di minacce individuata nel mondo Portale Threat Connect Intelligence L intelligence completa sulle minacce riguardo un attacco mirato di un cliente che comprende caratteristiche, origini e varianti malware, ha collegato l ndirizzo IP C&C, profilo degli attaccanti e ha suggerito le procedure di contrasto Pagina 10 di 16 Trend Micro Contrastare la sfida delle Threat (APT) con Deep Discovery

11 Andare oltre il rilevamento: Consentire una difesa personalizzata completa Una soluzione ideale contro le APT dovrebbe non solo eseguire il rilevamento e l analisi personalizzata degli attacchi a livello di rete ma dovrebbe integrare tecnologia di rilevamento avanzata nelle difese endpoint, messaggistica e gateway esistenti dell organizzazione per rafforzare i livelli di protezione degli attuali investimenti di sicurezza. Il rilevamento di un attacco in corrispondenza di un punto di protezione aggiornerebbe automaticamente altri punti di protezione per consentire la difesa contro ulteriori attacchi, il tutto in un ambiente di sicurezza multi-vendor. Una soluzione ideale dovrebbe sfruttare l intelligence globale di un vendor di sicurezza principale per favorire il rilevamento e utilizzarla allo scopo di fornire informazioni sul profilo delle minacce relative ad un attacco particolare contro un'organizzazione. Infine, una soluzione ideale dovrebbe abbinare questo profilo ad un analisi di eventi a livello di rete per favorire un contenimento e un contrasto rapidi. In breve, una soluzione ideale contro le APT va oltre il rilevamento e fornisce una difesa personalizzata completa che utilizzi un ciclo di vita completo Rilevare Analizzare Adattare Rispondere unico per ciascuna organizzazione specifica e per le minacce di cui è vittima. Trend Micro ritiene che gli attributi di una strategia di difesa personalizzata la rendano la scelta migliore per combattere gli attacchi mirati e tale convinzione viene attuata fornendo una difesa personalizzata Trend Micro completa, con Trend Micro Deep Discovery come base. TrendMicro Custom Defense unisce un intera infrastruttura di protezione di un organizzazione in una difesa personalizzata e adattabile secondo il particolare ambiente di un organizzazione e gli attaccanti specifici. Utilizzando l analisi sandbox, l intelligence e gli aggiornamenti di sicurezza personalizzati, Trend Micro Custom Defense consente ad un organizzazione non solo di rilevare e analizzare le APT e gli attacchi mirati, ma anche di adattare rapidamente la propria protezione e risposta a tali attacchi. SOLUZIONE TREND MICRO CUSTOM DEFENSE COME FUNZIONA RILEVARE: ciò che le difese standard non sono in grado di fare Nella sezione precedente vi sono state fornite alcune informazioni riguardo Trend Micro Deep Discovery che garantisce protezione contro le minacce avanzate ed esegue monitoraggio a livello di rete per rilevare malware zero day, comunicazioni maligne, e comportamenti degli attaccanti invisibili alle difese di sicurezza standard. La simulazione sandbox Deep Discovery viene inoltre integrata con altre soluzioni Trend Micro che comprendono prodotti per la sicurezza della messaggistica, consentendole di bloccare lo spear phishing e l exploit di social enginering comunemente usati nella fase iniziale di un attacco mirato. Deep Discovery comprende inoltre un interfaccia di Web Services aperta in modo che il prodotto di sicurezza possa integrarsi con il rilevamento sandbox personalizzato. ANALIZZARE: utilizzando l intelligence globale e locale in tempo reale Al momento del rilevamento, l analisi di Deep Discovery e l intelligence attinente agli attacchi dal portale Smart Protection Network e Threat Connect creano un profilo minacce che consente ad un organizzazione di ottenere una comprensione approfondita del rischio, dell origine e delle caratteristiche dell attacco che favorisca la determinazione delle priorità e dia un impulso ai piani di contenimento e contrasto. L'approfondimento di questi profili delle minacce abilita inoltre la capacità di protezione adattiva della soluzione Trend Micro Custom Defense. Pagina 11 di 16 Trend Micro Contrastare la sfida delle Threat (APT) con Deep Discovery

12 ADATTARE: punti di protezione della sicurezza per bloccare la nuova minaccia Per adattare e rafforzare immediatamente la protezione contro ulteriori attacchi, la soluzione Trend Micro Custom Defense utilizza profili di minacce approfonditi per aggiornare Smart Protection Network e generare aggiornamenti di sicurezza automatizzati e personalizzati (blacklist IP/Dominio e firme di sicurezza) per i prodotti Trend Micro esistenti in un ambiente client, compresi i punti di applicazione endpoint, gateway e server. Creata utilizzando una piattaforma aperta ed estensibile, la soluzione può inoltre esportare gli aggiornamenti per prodotti di sicurezza non Trend Micro che potrebbero già costituire una parte importante della strategia della difesa dell organizzazione. RISPONDERE: con contenimento e contrasto rapidi Infine, la soluzione Trend Micro Custom Defense offre visibilità contestuale dell attacco a 360 gradi combinando il profilo di minacce con risultati derivati dall'impiego di strumenti di risposta agli attacchi specializzati e intelligence derivata dalla raccolta e dall'analisi degli eventi di sicurezza a livello di rete. In alternativa, il profilo delle minacce e gli altri risultati possono essere condivisi con un sistema SIEM già esistente. Avendo a disposizione queste informazioni, le organizzazioni ottengono la conoscenza necessaria per velocizzare il processo di contenimento e contrasto e contattare le autorità, secondo quanto previsto. Soluzione TREND MICRO Custom Defence RILEVARE ANALIZZARE ADATTARE Rilevamento e analisi attacchi mirati RISPONDERE Soluzioni di protezione avanzate Aggiornamenti della sicurezza Analisi forense, contenimento, contrasto Pagina 12 di 16 Trend Micro Contrastare la sfida delle Threat (APT) con Deep Discovery

13 Conclusione Gli attacchi mirati stanno riuscendo ad aggirare le difese di sicurezza tradizionali e la maggior parte dei professionisti IT sono ora convinti che le loro organizzazioni siano state prese di mira. Secondo un articolo di Information Week Security scritto da Mathew Schwartz, [Le APT] adottano un approccio low-and-slow difficile da rilevare, ma con probabilità di successo elevata. Gli attaccanti devono semplicemente convincere un singolo dipendente ad aprire un malware che sfrutti una vulnerabilità zero day, dando loro accesso non solo al PC del dipendente, ma potenzialmente all'intera rete societaria." Come evidenziato dal riesame degli attacchi APT riusciti, tali minacce sono altamente sofisticate e adottano un approccio altamente specializzato e personalizzato per ottenere l accesso ai loro obiettivi. Si tratta di attacchi di prossima generazione che richiedono un approccio di sicurezza evoluto generazione per chiudere i gap utilizzati da tali minacce. Mentre ciascun attacco viene creato in modo personalizzato per il proprio obiettivo, segue in modo coerente le importanti fasi del ciclo di vita: raccolta dell intelligence punto di ingresso comunicazione command-and-control movimento laterale scoperta asset/dati esfiltrazione dati Mentre le organizzazioni pianificano i loro progetti di sicurezza IT per il 2013, è fondamentale includere la strategia di difesa contro le APT come parte dello scopo di progetto. Trend Micro Deep Discovery dovrebbe essere considerato una soluzione strategica contro gli attacchi mirati. Deep Discovery rileva e individua in modo unico le minacce elusive in tempo reale e fornisce analisi approfondita e la relativa intelligence attuabile per l ambiente di ciascuna organizzazione. Pagina 13 di 16 Trend Micro Contrastare la sfida delle Threat (APT) con Deep Discovery

14 NOTE Pagina 14 di 16 Trend Micro Contrastare la sfida delle Threat (APT) con Deep Discovery

15 Pagina 15 di 16 Trend Micro Contrastare la sfida delle Threat (APT) con Deep Discovery

16 TREND MICRO ITALY S.R.L. Viale T. Edison 110 palazzo C Sesto San Giovanni (MI) 2013 Trend Micro Incorporated. Tutti i diritti riservati Trend Micro il relativo logo a forma di t e Trend Micro Smart Protection Network sono tutti marchi commerciali o marchi commerciali registrati di Trend Micro Incorporated. Tutti gli altri nomi di società e/o prodotti possono essere marchi commerciali o marchi commerciali registrati dei rispettivi titolari. Le informazioni contenute in questo documento possono essere soggette a modifiche senza preavviso [WP01_DeepDiscovery_130219US] Telefono: / Fax: / Trend Micro Incorporated is a pioneer in secure content and threat management. Founded in 1988, Trend Micro provides individuals and organizations of all sizes with award-winning security software, hardware and services. With headquarters in Tokyo and operations in more than 30 countries, Trend Micro solutions are sold through corporate and value-added resellers and service providers worldwide. For additional information and evaluation copies of Trend Micro products and services, visit our Web site at Pagina 16 di 16 Trend Micro Contrastare la sfida delle Threat (APT) con Deep Discovery