Trend Micro ha presentado los nuevos avances incorporados en su solución Custom Defense, centrada en identificar y bloquear las comunicaciones de comando y control (C&C) utilizadas por las amenazas persistentes avanzadas (APT) y los ataques dirigidos. Trend Micro Custom Defense es la primera solución de protección frente a amenazas del mercado que permite a las organizaciones no sólo detectar y analizar este tipo de ataques, sino también adaptar rápidamente su protección y responder a los atacantes.
Los nuevos avances en la respuesta C&C proporcionan una detección personalizada única y protección para la red, el gateway, el servidor y el puesto de trabajo, junto con alertas centralizadas e inteligencia de riesgos C&C para mantener al cliente informado y en control de la respuesta a la actividad C&C. Por primera vez, las organizaciones empresariales tendrán la visibilidad e inteligencia necesarias para detectar y responder ante este indicador importante de ataque antes de que el daño se haya perpetrado.
APT dirigidas por comunicaciones C&C
Las APT y los ataques dirigidos continúan evitando las defensas estándares de las corporaciones, tal y como recientemente se ha puesto de manifiesto en The New York Times, Wall Street Journal y la Reserva Federal de Estados Unidos, que han sido testigos de ataques. Según una reciente estudio de ISACA, el 21% de los encuestados comunicó que su empresa ya había sido víctima de un APT, mientras que el 63% de los participantes cree que es sólo una cuestión de tiempo el que su empresa se enfrente a alguno.
Estos ataques suelen ser orquestados de forma remota a través de las comunicaciones C&C entre los sistemas infiltrados y los de los propios atacantes. El malware avanzado utilizado para un ataque será devuelto para descargas adicionales y nuevas instrucciones. Durante el ataque, los agresores también utilizarán este canal para abrir y manipular el acceso a la puerta trasera de la red para descubrir y extraer datos específicos. Una investigación de Verizon en 2012 verificó que la explotación del backdoor o de los canales de comando y control fue utilizado en casi el 50% de todos los casos de datos robados que se investigaron (1).
El reto de detectar C&C
Identificar y responder a las comunicaciones C&C es un factor crítico en la detección de un ataque dirigido, pero a diferencia de las grandes botnets, el tráfico C&C de las APT es intermitente y de bajo volumen, lo que dificulta su detección. Los atacantes por su parte tampoco lo ponen fácil, pues tratan de ocultar el tráfico C&C con técnicas de cambio y reorientación de las direcciones, utilizando aplicaciones y sites legítimos como conducto, e incluso configurando servidores C&C dentro de la red del cliente. El equipo de investigación de Trend Micro ha observado que la media de vida de una dirección de C&C es inferior a tres días, y que los atacantes utilizan técnicas muy sofisticadas que muchas veces sólo son detectables con métodos especializados basados en red para la detección in situ en la organización.
Un reciente seguimiento de los datos C&C realizado por los investigadores de TrendLabs℠ muestra alrededor de 1.500 sites C&C activos, con víctimas para cada sitio que van de 1 a más de 25.000. Cabe destacar que más de dos tercios de estos sitios tenían tres o menos de tres víctimas activas. Más del 25% de los sitios tenía una vida útil de un día o menos. Más del 50% por ciento tenía un período de vigencia de cuatro días o menos.
“La mayoría de los proveedores de seguridad carecen de la experiencia, nivel, tecnología y recursos para identificar de forma fiable los distintos tipos de C&C. Y cuando sus productos web, de mensajería o para el endpoint detectan un C&C, es probable que sea simplemente bloqueado o registrado sin aviso prevo –de la misma manera que cualquier evento menor es manejado-. Por lo que en la mayoría de los casos, la organización nuca sabe que puede estar bajo un ataque dirigido grave”, señala Steve Quane, director de producto de Trend Micro.
Los equipos de seguridad en las corporaciones deben responder con franqueza a las siguientes preguntas críticas:
- ¿Hay actividad C&C en mi red?
- ¿Es un simple botnet o un posible ataque dirigido?
- ¿Cómo es de peligroso? ¿De dónde procede y de quién es?
- ¿Debo bloquearlo inmediatamente y repararlo o incrementar la monitorización?
Trend Micro Custom Defense la solución para responder a C&C
Solamente la solución Trend Micro Custom Defense puede responder a estas preguntas con la detección de C&C, la inteligencia y el control de respuesta necesarios para detener un ataque dirigido antes de que se produzca el daño. En RSA 2013, Trend Micro presentó y mostró las innovadoras y exclusivas funciones de Custom Defense C&C:
- Identificación y seguimiento de las comunicaciones C&C mejorados en la nube y en la red del cliente
- Capacidad de detección de actividad de comunicaciones C&C en los puntos de protección de la red, gateway, servidor y endpoint.
- Alertas C&C centralizadas, inteligencia de riesgo C&C dedicada, opciones de control y respuesta flexible
- Actualizaciones de seguridad adaptadas para informar a todos los productos de nuevas detecciones C&C
- Servicios web de APIs abiertas para incluir cualquier productos de seguridad en Custom Defense
Cómo funciona
Identificación y seguimietno global: Trend Micro™ Smart Protection Network™ y Trend Micro Threat Researchers
Smart Protection Network identifica automáticamente los sites C&C activos en todo el mundo en base al procesamiento diario de 12.000 millones de consultas de IP/URL y la correlación de más de 6 Terabytes de datos. Sus motores de correlación mantienen actualizada la naturaleza cambiante de las direcciones C&C, y emplea las últimas innovaciones de los 1.200 investigadores de amenazas de Trend Micro para, continuamente, detectar todas las medidas evasivas tomadas por los atacantes.
El equipo de investigadores de amenazas de Trend Micro también recoge y examina la evidencia forense de intentos de ataques dirigidos de decenas de miles de clientes corporativos de Trend Micro de todo el mundo. Separando las capas de un ataque, se obtiene un mayor conocimiento del C&C, malware y técnicas de ataque, impulsando la mejora continua en Smart Protection Network y los productos de Trend Micro.
Detección basada en la red y aprendizaje con Trend Micro Deep Discovery Advanced Threat Protection
Trend Micro Deep Discovery utiliza la detección de amenazas específicas del cliente para descubrir malware avanzado, comunicaciones y actividades atacantes a nivel de red. La detección de una “huella digital” única de tráfico C&C encubierto puede identificar el uso de aplicaciones y websites legítimas por los atacantes, además de otras técnicas avanzadas tales como el uso de servidores C&C internos. El sandbox de análisis personalizado de Deep Discovery también puede descubrir nuevos destinos C&C de ataques malware de día cero y actualizar Smart Protection Network y todos los puntos de protección de seguridad del cliente.
Protección integrada en los productos, alertas y control centralizado
La última información global y local sobre la detección C&C potencia los productos de seguridad empresarial de Trend Micro para el endpoint, servidor, red, gateway y puntos de protección de mensajería para identificar y controlar actividad C&C en todo el entorno del cliente. La detección C&C en cualquier punto queda claramente identificada en una consola centralizada, alertando al equipo de seguridad y permitiéndole controlar el curso de la acción. La evaluación de riesgo C&C, la contención y el remedio son asistidos por la inteligencia de Threat Connect en función de la severidad, actividad, orígenes y las direcciones relacionadas del site C&C –ayudando a determinar si la comunicación representa un alto riesgo, si debe ser bloqueada de forma inmediata y cómo se debe proceder a la contención y el remedio.
Productos y disponibilidad
Los productos de Trend Micro que incluirán las nuevas funciones C&C de Custom Defense con versiones Beta que se encuentran disponibles desde febrero de 2013, mientras que las fechas de Disponiblidad General del producto individual se darán a lo largo de la primera mitad de 2013.
