Trend Micro Custom Defense toma el “Comando y Control” de las Amenazas Persistentes Avanzadas

Es la única solución que aporta avances en la identificación y bloqueo de las comunicaciones de ataques dirigidos

Tags: @TrendMicroes , Custom Defense , Smart Protection Network , APT , C&C, ataques dirigidos, estudios, ISACA

 

Madrid, 08 de marzo de 2013 – Trend Micro Incorporated (TYO: 4704;TSE:4704), líder global en seguridad de la información digital, ha presentado los nuevos avances incorporados en su solución Custom Defense, centrada en identificar y bloquear las comunicaciones de comando y control (C&C) utilizadas por las amenazas persistentes avanzadas (APT) y los ataques dirigidos. Trend Micro Custom Defense es la primera solución de protección frente a amenazas del mercado que permite a las organizaciones no sólo detectar y analizar este tipo de ataques, sino también adaptar rápidamente su protección y responder a los atacantes.

Los nuevos avances en la respuesta C&C proporcionan una detección personalizada única y protección para la red, el gateway, el servidor y el puesto de trabajo, junto con alertas centralizadas e inteligencia de riesgos C&C para mantener al cliente informado y en control de la respuesta a la actividad C&C. Por primera vez, las organizaciones empresariales tendrán la visibilidad e inteligencia necesarias para detectar y responder ante este indicador importante de ataque antes de que el daño se haya perpetrado.

APT dirigidas por comunicaciones C&C
Las APT y los ataques dirigidos continúan evitando las defensas estándares de las corporaciones, tal y como recientemente se ha puesto de manifiesto en The New York Times, Wall Street Journal y la Reserva Federal de Estados Unidos, que han sido testigos de ataques. Según una reciente estudio de ISACA, el 21% de los encuestados comunicó que su empresa ya había sido víctima de un APT, mientras que el 63% de los participantes cree que es sólo una cuestión de tiempo el que su empresa se enfrente a alguno.

Estos ataques suelen ser orquestados de forma remota a través de las comunicaciones C&C entre los sistemas infiltrados y los de los propios atacantes. El malware avanzado utilizado para un ataque será devuelto para descargas adicionales y nuevas instrucciones. Durante el ataque, los agresores también utilizarán este canal para abrir y manipular el acceso a la puerta trasera de la red para descubrir y extraer datos específicos. Una investigación de Verizon en 2012 verificó que la explotación del backdoor o de los canales de comando y control fue utilizado en casi el 50% de todos los casos de datos robados que se investigaron (1).

El reto de detectar C&C
Identificar y responder a las comunicaciones C&C es un factor crítico en la detección de un ataque dirigido, pero a diferencia de las grandes botnets, el tráfico C&C de las APT es intermitente y de bajo volumen, lo que dificulta su detección. Los atacantes por su parte tampoco lo ponen fácil, pues tratan de ocultar el tráfico C&C con técnicas de cambio y reorientación de las direcciones, utilizando aplicaciones y sites legítimos como conducto, e incluso configurando servidores C&C dentro de la red del cliente. El equipo de investigación de Trend Micro ha observado que la media de vida de una dirección de C&C es inferior a tres días, y que los atacantes utilizan técnicas muy sofisticadas que muchas veces sólo son detectables con métodos especializados basados en red para la detección in situ en la organización.

Un reciente seguimiento de los datos C&C realizado por los investigadores de TrendLabs℠ muestra alrededor de 1.500 sites C&C activos, con víctimas para cada sitio que van de 1 a más de 25.000. Cabe destacar que más de dos tercios de estos sitios tenían tres o menos de tres víctimas activas. Más del 25% de los sitios tenía una vida útil de un día o menos. Más del 50% por ciento tenía un período de vigencia de cuatro días o menos.

“La mayoría de los proveedores de seguridad carecen de la experiencia, nivel, tecnología y recursos para identificar de forma fiable los distintos tipos de C&C. Y cuando sus productos web, de mensajería o para el endpoint detectan un C&C, es probable que sea simplemente bloqueado o registrado sin aviso prevo –de la misma manera que cualquier evento menor es manejado-. Por lo que en la mayoría de los casos, la organización nuca sabe que puede estar bajo un ataque dirigido grave”, señala Steve Quane, director de producto de Trend Micro.

Los equipos de seguridad en las corporaciones deben responder con franqueza a las siguientes preguntas críticas:

  • ¿Hay actividad C&C en mi red?
  • ¿Es un simple botnet o un posible ataque dirigido?
  • ¿Cómo es de peligroso? ¿De dónde procede y de quién es?
  • ¿Debo bloquearlo inmediatamente y repararlo o incrementar la monitorización?
     

Trend Micro Custom Defense la solución para responder a C&C
Solamente la solución Trend Micro Custom Defense puede responder a estas preguntas con la detección de C&C, la inteligencia y el control de respuesta necesarios para detener un ataque dirigido antes de que se produzca el daño. En RSA 2013, Trend Micro presentó y mostró las innovadoras y exclusivas funciones de Custom Defense C&C:

  • Identificación y seguimiento de las comunicaciones C&C mejorados en la nube y en la red del cliente
  • Capacidad de detección de actividad de comunicaciones C&C en los puntos de protección de la red, gateway, servidor y endpoint.
  • Alertas C&C centralizadas, inteligencia de riesgo C&C dedicada, opciones de control y respuesta flexible
  • Actualizaciones de seguridad adaptadas para informar a todos los productos de nuevas detecciones C&C
  • Servicios web de APIs abiertas para incluir cualquier productos de seguridad en Custom Defense
     

Cómo funciona
Identificación y seguimietno global: Trend Micro™ Smart Protection Network™ y Trend Micro Threat Researchers
Smart Protection Network identifica automáticamente los sites C&C activos en todo el mundo en base al procesamiento diario de 12.000 millones de consultas de IP/URL y la correlación de más de 6 Terabytes de datos. Sus motores de correlación mantienen actualizada la naturaleza cambiante de las direcciones C&C, y emplea las últimas innovaciones de los 1.200 investigadores de amenazas de Trend Micro para, continuamente, detectar todas las medidas evasivas tomadas por los atacantes.

El equipo de investigadores de amenazas de Trend Micro también recoge y examina la evidencia forense de intentos de ataques dirigidos de decenas de miles de clientes corporativos de Trend Micro de todo el mundo. Separando las capas de un ataque, se obtiene un mayor conocimiento del C&C, malware y técnicas de ataque, impulsando la mejora continua en Smart Protection Network y los productos de Trend Micro.

Detección basada en la red y aprendizaje con Trend Micro™ Deep Discovery Advanced Threat Protection
Trend Micro Deep Discovery utiliza la detección de amenazas específicas del cliente para descubrir malware avanzado, comunicaciones y actividades atacantes a nivel de red. La detección de una “huella digital” única de tráfico C&C encubierto puede identificar el uso de aplicaciones y websites legítimas por los atacantes, además de otras técnicas avanzadas tales como el uso de servidores C&C internos. El sandbox de análisis personalizado de Deep Discovery también puede descubrir nuevos destinos C&C de ataques malware de día cero y actualizar Smart Protection Network y todos los puntos de protección de seguridad del cliente.

Protección integrada en los productos, alertas y control centralizado
La última información global y local sobre la detección C&C potencia los productos de seguridad empresarial de Trend Micro para el endpoint, servidor, red, gateway y puntos de protección de mensajería para identificar y controlar actividad C&C en todo el entorno del cliente. La detección C&C en cualquier punto queda claramente identificada en una consola centralizada, alertando al equipo de seguridad y permitiéndole controlar el curso de la acción. La evaluación de riesgo C&C, la contención y el remedio son asistidos por la inteligencia de Threat Connect en función de la severidad, actividad, orígenes y las direcciones relacionadas del site C&C –ayudando a determinar si la comunicación representa un alto riesgo, si debe ser bloqueada de forma inmediata y cómo se debe proceder a la contención y el remedio.

Productos y disponibilidad
Los productos de Trend Micro que incluirán las nuevas funciones C&C de Custom Defense con versiones Beta que se encuentran disponibles desde febrero de 2013, mientras que las fechas de Disponiblidad General del producto individual se darán a lo largo de la primera mitad de 2013.

  • Securidad Endpoint

    Trend Micro™ OfficeScan™
    Seguridad para el Servidor, Virtualización y Cloud
  • Trend Micro™ Deep Security
    Seguridad de Red
  • Trend Micro™ Deep Discovery
    Seguridad para Mensajería
  • Trend Micro™ InterScan Mail Security
  • Trend Micro™ ScanMail™ for Exchange, Trend Micro™ ScanMail™ for Lotus Domino
    Seguridad Web
  • Trend Micro™ InterScan™ Web Security
    Gestión Centralizada
  • Trend Micro™ Control Manager™
     

Declaraciones
"Trend Micro es el único proveedor de seguridad que identifica las APTs - y seguimos trabajando para expandir y cumplir con nuestra visión de Custom Defense. El C&C puede ser un indicador crítico de ataque APT. Los clientes tienen derecho a esperar que sus productos de seguridad realicen el mejor trabajo en cuanto a detección de riesgos C&C y les proporcionen la información que necesitan para responder apropiadamente. Estamos a la vanguardia en la mejora de nuestra inteligencia y detección de C&C, integrándola en cada uno de nuestros productos y proporcionando la visibilidad y el control de respuesta que los clientes necesitan para combatir a sus atacantes”, afirma Kevin Faulkner, director de marketing de producto de Trend Micro.

“Somos fervientes seguidores de Trend Micro Custom Defense. No sólo detecta y analiza las APT, sino que también nos permite responder rápidamente. Durante los dos primeros meses en nuestra red, Deep Discovery detectó y detuvo 5.000 eventos anóminos en nuestra WAN que no fueron captados por ninguna otra capa de seguridad”, comenta John Dickson, director de Infraestructura de TI de la Republic National Distributing Company, Atlanta, Georgia

Material adicional:
APT C&C Communication Superior Detection with Trend Micro Custom Defense (Trend Micro Solution Brief)
ISACA Advanced Persistent Threats Awareness Survey
TrendLabs research paper: Detecting APT Activity with Network Traffic Analysis
Tracking Known C&C Traffic infographic
Custom Defense White Paper
Custom Defense web page
Trend Micro Custom Defense Video

Fuentes:
1. 2012 Data Breach Investigations Reports, Verizon RISK Team, March 2012