Identification et Neutralisation des Communications C&C

De nouvelles fonctionnalités viennent enrichir l’offre de Trend Micro basée sur une approche personnalisée de la sécurité « Custom Defense »

Tags: #APT, #Cloud, attaques ciblées, #Command&Control #C&C #DeepDiscovery #ThreatConnect

 

Rueil-Malmaison, le 2 avril 2013 – Trend Micro Incorporated (TYO: 4704; TSE: 4704), enrichit ses solutions avec de nouvelles fonctionnalités avancées visant à identifier et neutraliser les communications C&C (Command & Control), souvent associées aux menaces APT et aux attaques ciblées. Dans son approche visant à offrir aux entreprises une défense personnalisée, Trend Micro est le premier éditeur à leur proposer des outils et des services pour détecter et analyser ces attaques de nouvelle génération. Les organisations sont ainsi à même d’adapter leur arsenal de sécurité pour réagir rapidement face à ce type de menaces.

Grâce à ces nouvelles fonctionnalités, la surveillance et la neutralisation des activités C&C offre une sécurité avancée des réseaux, des passerelles, des serveurs et des postes clients. De plus, les utilisateurs bénéficient d’alertes de veille sur les communications C&C. Pour la toute première fois, les entreprises et administrations disposent de la visibilité nécessaire pour détecter les attaques ciblées et réagir avant tout dommage majeur.

APT et Communications C&C

Les menaces APT et les attaques ciblées ont pour particularité de contourner les lignes de défense traditionnelles des organisations, comme le soulignent les attaques récentes qui ont visé le New York Times, le Wall Street Journal ou encore l’US Federal Reserve. Selon une enquête récente menée auprès des membres de l’ISACA, une association regroupant des professionnels de l’informatique, 21% des sondés déclarent que leur entreprise a déjà été victime d’une APT, et 63 % d’entre eux pensent que ce n’est qu’une question de temps avant qu’elle ne soit ciblée.

Ces attaques sont souvent menées à distance et orchestrées à l’aide des communications C&C entre les systèmes infiltrés et les assaillants. Ces canaux de communication permettent de télécharger de nouvelles applications ou de recevoir des instructions. Les cybercriminels utilisent également ce canal pour déployer des backdoors et ainsi identifier et détourner les données ciblées. D’après une étude menée par Verizon en 2012, l’utilisation d’un backdoor ou d’un canal C&C a été constatée dans 50 % des cas étudiés de détournements de données. (1)

Détecter les communications C&C : un véritable défi

Afin de détecter les attaques ciblées, il est impératif d’identifier les communications C&C. Cependant, contrairement aux réseaux botnets d’envergure, le trafic C&C lié aux APT est intermittent et de faible volume, ce qui complexifie sa détection. D’autre part, les cybercriminels ne simplifient guère la tâche, en tentant de dissimuler le trafic C&C à l’aide de différentes techniques : changement et redirection d’adresses, utilisation d’applications et de sites légitimes en tant qu’intermédiaires, voire même déploiement des serveurs C&C au sein du réseau victime. Les chercheurs de Trend Micro constatent en effet que la durée de vie moyenne d’une adresse C&C est inférieure à trois jours. De plus, les assaillants utilisent des techniques détectables uniquement via des outils ou solutions déployés sur le réseau de l’entreprise ciblée.

Les chercheurs des TrendLabs℠ estiment qu’il existe 1 500 sites C&C actuellement actifs et dénombrent de 1 à 25 000 victimes par site, même si plus des deux-tiers d’entre eux ne gèrent que 3 victimes ou moins. Plus de 25% de ces sites ont une durée de vie de moins d’une journée, et pour 50 % d’entre eux, elle est inférieure à 4 jours.

« La majorité des fournisseurs de solutions de sécurité ne disposent pas de l’expertise, de l’envergure, de la technologie et des ressources suffisantes pour qualifier les différentes activités de C&C. Trop d’outils de sécurité se contentent, en cas de détection d’une communication C&C, de la neutraliser ou de l’enregistrer, comme s’il ne s’agissait que d’un événement mineur. Dans la plupart des cas, l’attaque qui se cache derrière cette communication passe totalement inaperçue », explique Steve Quane, Chief Product Officer de Trend Micro.

Des nouvelles fonctionnalités qui viennent s’ajouter à une offre permettant de protéger l’ensemble d’un système d’information

Lors de la conférence RSA 2013, Trend Micro a présenté ces nouvelles fonctionnalités :

Comment ça marche ?

Identification et monitoring grâce à Trend Micro™ Smart Protection Network™ et au travail des chercheurs de Trend Micro

L'infrastructure Smart Protection Network identifie les sites C&C partout dans le monde. Il traite chaque jour 12 milliards d’IP et d’URL et effectue la corrélation de plus de 6 To de données. Ses moteurs de corrélation sont capables de surveiller les changements d’adresses des sites C&C, tandis que 1 200 chercheurs en sécurité de Trend Micro scrutent en permanence et détectent les techniques furtives utilisées par les assaillants.

Ces derniers recueillent et examinent les analyses post-incidents liées aux attaques ciblées avortées, sur un panel de plusieurs dizaines de milliers de clients Trend Micro. En analysant les différentes séquences des attaques, ces chercheurs obtiennent une visibilité précise sur les communications C&C, les malware et les techniques des assaillants, favorisant ainsi une amélioration constante de Smart Protection Network et des produits de Trend Micro.

Une surveillance réseau, assurée par Trend Micro™ Deep Discovery

Trend Micro Deep Discovery utilise des outils de détection spécifiques à chaque client afin d’identifier les malware, les communications suspectes, ainsi que l’activité des cybercriminels sur le réseau. Le « finger printing » (empreinte) du trafic C&C furtif, autrement dit l’étude des caractéristiques de ce trafic, permet d’identifier un assaillant qui utiliserait des applications et des sites web légitimes, ou des techniques sophistiquées à l’image d’un serveur C&C déployé au sein du réseau. Deep Discovery dispose d’un environnement sandbox qui identifie la destination des communications C&C liées aux attaques de type Zero-day, et effectue ainsi à une mise à jour de Smart Protection Network et de l’ensemble des outils de protection du client.

Une protection transversale et un système centralisé d’alerte

Les informations les plus récentes en matière de communications C&C, à l’échelle locale ou mondiale, alimentent les solutions Trend Micro afin de protéger les postes clients, les serveurs, le réseau, les passerelles et la messagerie. Toute communication C&C détectée est clairement identifiée sur une console centralisée, avec alerte des équipes de sécurité. L’évaluation, la prise en charge et la neutralisation des risques liés aux C&C bénéficient de la fonction de veille ThreatConnect qui renseigne sur le niveau de dangerosité, l’activité, l’origine et les adresses du site C&C. Cette approche permet de statuer sur le niveau de risque d’une communication, sur la nécessité de l’interrompre et sur les opérations de restauration nécessaires.

« Les communications C&C sont des indicateurs d’une possible attaque ciblée. Les produits de sécurité doivent pouvoir détecter les activités C&C à risque et disposer d’informations de veille qui favorisent une réaction rapide et appropriée. Nous améliorons nos capacités de détection et de veille sur les C&C, que nous intégrons désormais dans chacun de nos produits. Cette approche offre la visibilité nécessaire pour que nos clients déjouent les attaques dont ils sont la cible », explique Kevin Faulkner, Directeur du Marketing Produit chez Trend Micro.


Disponibilité

Les produits Trend Micro listés ci-dessous bénéficient des nouvelles fonctionnalités de détection des communications C&C. Les versions bêta sont d’ores et déjà disponibles, et leur commercialisation effective s’effectuera d’ici la fin du premier trimestre 2013.

Sources:

(1) 2012 Data Breach Investigations Reports, Verizon RISK Team, Mars 2012