Trend Micro dévoile sa solution Custom Defense pour contrer les APT et les attaques ciblées

Une seule solution pour une protection personnalisée

Tags: #APT, #Cloud, attaques ciblées, menaces furtives, sécurité de la messagerie

Trend Micro présente Custom Defense, la toute première solution de protection contre les menaces, permettant aux entreprises et aux administrations de détecter et d’analyser les menaces APT (Advanced Persistent Threats) et autres attaques ciblées, mais également d’adapter rapidement leur ligne de défense pour déjouer ces attaques. Constituant une offre exhaustive pour les utilisateurs, Custom Defense réunit une solution logicielle et un service de veille mondiale sur les menaces, ainsi que tout un panel d’outils et de services.

Aujourd’hui, les attaques les plus dévastatrices sont celles ciblant spécifiquement une organisation (ses collaborateurs, ses vulnérabilités et ses données). Les cybercriminels, plus furtifs et aux méthodes plus sophistiquées que jamais, utilisent des techniques d’ingénierie sociale telles que le spear phishing pour s’immiscer au sein d’entreprises ciblées et y déployer des malware qui ne seront pas détectés avant plusieurs mois. Avec ces malware, les cybercriminels exfiltrent à distance les données de valeur des organisations – comme les données de cartes de paiement, les éléments de propriété intellectuelle ou certains secrets gouvernementaux – mettant ainsi en péril les avantages concurrentiels de ces dernières, voire la sécurité des pays lorsque ce sont des gouvernements qui sont ciblés.

De nombreuses organisations affirment avoir été la cible d’attaques, et 67% d’entre elles avouent d’ailleurs que leur environnement actuel de sécurité est insuffisant pour neutraliser les attaques ciblées (1). De plus, 55% des sociétés déclarent avoir découvert ces intrusions par hasard (2) ; elles sont même peu nombreuses à connaître l’étendue d’une attaque et son origine. Bien que nécessaires pour déjouer la majorité des attaques actuelles, la ligne de défense classique connaît ses limites face aux APT et aux attaques ciblées : une attaque ciblée est personnalisée et implique donc une défense personnalisée.

Trend Micro Custom Defense assure toutes les étapes nécessaires à la neutralisation de ces attaques : Détection – Analyse – Adaptation – Réaction. La solution détecte et analyse les attaques ciblées, et les jugule avant qu’elles causent le moindre dommage. Elle apporte également des détails sur la menace identifiée et sur les cybercriminels qui en sont à l’origine, fournissant ainsi toutes les informations nécessaires pour contrer les assaillants.

Custom Defense : neutraliser les menaces en quatre étapes

Détection : Custom Defense repose sur une plateforme de protection contre les menaces qui surveille la totalité du réseau et détecte les malware de type Zero-day, les communications suspectes et les comportements d’attaques, sur lesquels les outils de sécurité standards n’ont généralement aucune visibilité. Adossée à des capteurs disséminés sur le réseau, la solution détecte les attaques menées via les emails personnels ou professionnels, les réseaux sociaux ou les applications mobiles. Elle identifie également les rétro-communications vers les cybercriminels et les tentatives d’accès prohibé à des systèmes critiques sur le réseau. Custom Defense se différencie des offres concurrentes qui se contentent de sandbox génériques. La solution propose en effet plusieurs sandbox, paramétrées par l’utilisateur, et plus adaptées à leur environnement. Les sandbox de Custom Defense exécutent les applications suspectes au sein d’un environnement sécurisé, contrôlé et performant, à même de contrecarrer les techniques utilisées par les hackers pour duper les sandbox.

Analyse : Lorsqu’une menace est détectée, Custom Defense permet aux entreprises d’évaluer le risque encouru, l’origine de la menace et ses caractéristiques. Ces informations permettent de décider de la meilleure parade à adopter. Pour faciliter l’analyse des menaces, la solution offre des rapports personnalisables et spécifiques à l’environnement de l’organisation, ainsi qu’un accès à un réseau de veille sur les menaces en mode Cloud.

Adaptation : Pour adapter et renforcer la protection contre les attaques futures, Custom Defense propose des réponses personnalisées en fonction des éléments précédemment détectés et analysés : blacklisting d’IP, protection sur-mesure contre le spear phishing, et, dans un futur proche, la création de signatures personnalisées, spécifiques à chaque attaque. La solution met automatiquement à jour le réseau mondial de veille sur les menaces de Trend Micro qui, à son tour, distribue les mises à jours aux outils de sécurité protégeant les passerelles, les postes clients et les serveurs. Ouverte et évolutive, Custom Defense renseigne également les produits de sécurité non fournis par Trend Micro et faisant partie intégrante de l’arsenal de sécurité d’une entreprise.

Réaction : La solution offre une visibilité à 360° sur l’attaque, permettant de contrer spécifiquement les assaillants. Elle indique le fonctionnement et les auteurs de l’attaque, les informations ciblées, et, point essentiel, le sponsor de l’attaque. L’organisation visée peut répondre de différentes façons : des actions perturbatrices pour empêcher l’assaillant de poursuivre ses exactions jusqu’à la divulgation publique de l’identité de l’assaillant. Des procédures légales contre l’assaillant ou le sponsor sont également possibles.

Custom Defense – Les modules de la solution

À l’occasion de cette annonce, Trend Micro améliore et enrichit ses outils logiciels et son réseau de veille, et propose de nouveaux outils et services spécialisés, pour définir une défense exhaustive et personnalisée.

Essentielle pour Custom Defense, la solution Deep Discovery identifie les menaces furtives en temps-réel, offre une analyse en profondeur et propose une veille décisionnelle. Deep Discovery bénéficie d’améliorations répondant aux demandes toujours plus pointues des grandes entreprises et des gouvernements.

- Une plateforme ouverte : les sandbox évolutives et configurables par l’utilisateur peuvent être utilisées par des produits de sécurité tiers.
- Automatisation : partage automatique des listes noires d’IP et de domaines avec les produits de sécurité fournis par Trend Micro et par des tiers.
- Evolutivité : traite jusqu’à 50 000 échantillons par jour
- Coût maîtrisé : la solution est disponible sous différents formats et permet de démarrer avec un seul équipement gérant tous les profils de trafic réseau.
- Exhaustivité : les menaces détectées ne sont pas que celles visant les applications de Microsoft. La solution identifie les accès prohibés à des données confidentielles, l’activité au niveau des ports et les tentatives d’obtention de privilèges plus importants.

Trend Micro a intégré ses fonctionnalités de détection à ses produits de sécurité pour email et pour serveurs. ScanMail™ Suite for Microsoft® Exchange™, ScanMail™ Suite for IBM® Lotus® Domino™, et InterScan™ Messaging Security ont été intégrés avec DeepDiscovery pour router les emails/fichiers suspects vers une sandbox, puis analyser et détecter les malware jusqu’à présent inconnus. De plus, ces produits proposent un moteur de détection qui identifie les fichiers joints susceptibles de tirer parti de vulnérabilités des principaux logiciels d’Adobe, Microsoft Office et autres éditeurs. Ces fichiers joints sont interceptés et/ou mis en quarantaine, renforçant ainsi le niveau de protection.

Tous les produits de sécurité de Trend Micro s’intègrent plus étroitement avec Deep Discovery pour recevoir les mises à jour de la plateforme de veille. Des intégrations produits supplémentaires sont prévues et seront annoncées ultérieurement.

L’infrastructure de sécurité Cloud Smart Protection Network identifie rapidement et précisément les nouvelles menaces. Ce réseau de veille globale contre les menaces sécurise les données, où qu’elles soient stockées. Cette infrastructure étend le périmètre de recherche des données sur les menaces, et utilise des traitements analytiques orientés Big Data pour surveiller les menaces de manière transversale sur les environnements mobiles, physiques, virtualisés et Cloud.

Threat Connect est accessible depuis Deep Discovery. Ce portail fournit toutes les informations pertinentes de Trend Micro sur des menaces spécifiques, ce qui accélère l’évaluation, la prise en charge et la neutralisation de ces menaces.

Depuis des années, Trend Micro aide ses clients à identifier et à neutraliser les attaques Web, à l’aide d’outils et de services permettant aux ingénieurs support de Trend Micro de découvrir et d’analyser les menaces évoluées au sein de la messagerie ou du trafic réseau. Inspectant également les logs à la recherche d’activités suspectes, ces outils ont fait leurs preuves en matière de réponse aux incidents. Ils sont désormais proposés au réseau de partenaires Trend Micro, notamment aux revendeurs à valeur ajoutée et aux fournisseurs de services.

Sources:
(1) The Human Factor in Data Protection, Ponemon Institute, Janvier 2012
(2) Selon une étude menée par Trend Micro en 2012