Trend Micro, protezione da virus e attacchi APT

Pubblicato il: 03/12/2012
Autore: Daniele Preda

Trend Micro propone alle aziende le più recenti soluzioni per la protezione da virus, malware e dalle minacce “Advanced Persistent Threat” tra le più pericolose oggi in circolazione.

Trend Micro è tra i player di mercato più importanti ed è un riconosciuto fornitore di soluzioni per la protezione globale e personale. L’azienda è costantemente alla ricerca di soluzioni specializzate in ambito security e oggi si affaccia sul mercato con un ampio portfolio di soluzioni studiate per le infrastrutture virtualizzate, il cloud, i sistemi per la produttività personale e il mondo mobile.
trend-micro-protezione-da-virus-e-attacchi-apt-4.jpgLa varietà delle offerte disponibili ha visto una continua crescita, sin dal 1995 quando sono stati sviluppati i primi pacchetti LAN Server Security. Ad oggi, le minacce informatiche e il cyber-crime costituiscono pericoli concreti, capaci di bloccare intere aziende per molti giorni e di sottrarre preziose informazioni. L’analisi Trend Micro si sofferma, in particolare, sull’escalation dei sistemi di attacco messi a punto dai cosiddetti hacker.
trend-micro-protezione-da-virus-e-attacchi-apt-5.jpgLa complessità degli attacchi è sempre più elevata, a partire dai convenzionali worm, spam, spyware, fino alle Botnet composte, alle volte, da decine di migliaia di macchine, pilotate da un’unica entità e programmate per attaccare una o più entità al fine di danneggiare i servizi o i contenuti dell’azienda bersagliata.
Le minacce di questi ultimi mesi e del prossimo periodo saranno ulteriormente raffinate e più pericolose e saranno perpetrate su specifici obiettivi, a seguito di ricerche approfondite e Social Engineering da parte dei cyber-criminali.
trend-micro-protezione-da-virus-e-attacchi-apt-7.jpgTrend Micro risponde con numerosi strumenti per la protezione, come la Enterprise Security, un pacchetto esteso e capace di adattarsi alle specifiche esigenze aziendali. La suite è in grado di proteggere infrastrutture Data Center e Cloud, ma è altrettanto potente nella difesa di sistemi Endpoint e Mobile, nei contesti di messaggistica istantanea, mail e collaborazione, così come nella protezione di sistemi di rete complessi.  

[tit:Advanced Persistent Threat]Le continue analisi delle Web hanno permesso di tracciare le nuove strade del malware e i criteri adottati dagli hacker per la creazione e diffusione degli attacchi virtuali che minacciano i sistemi aziendali e personali. Uno studio condotto da Trend Micro ha messo in evidenza come i più recenti attacchi risultino mirati su determinati soggetti e siano generati sfruttando combinazioni di attività di social engineering, malware e backdoor. Si tratta dei cosiddetti APT, o Advanced Persistent Attacks, in pratica, minacce persistenti avanzate, organizzate in campagne specifiche e non più singoli eventi virali, come si è ritenuto fino a poco tempo fa.
Nonostante per qualcuno, queste situazioni possano sembrare tratte da film di spionaggio, l’analisi del traffico Web e il continuo studio degli attacchi perpetrati, mettono in evidenza come queste attività siano un realtà a tutti gli effetti. I sistemi per infiltrarsi nelle realtà aziendali e nelle postazioni protette sono molteplici, ma per portare a termine un attacco APT si è stabilito che vengono utilizzate procedure specifiche.
trend-micro-protezione-da-virus-e-attacchi-apt-1.jpgIl primo passaggio consiste nello studio dell’infrastruttura, a partire dalle debolezze strutturali, sfruttando quelle che sono i limiti degli operatori. Come per una rapida in banca, il personale viene “pedinato virtualmente” e vengono osservate per un lungo periodo le abitudini d’uso e di vita dei differenti soggetti. In questo modo, tracciando identità e consuetudini giornaliere, tramite mail e social network, è possibile osservare le situazioni in atto e sfruttarle a proprio vantaggio, per effettuare un primo attacco.
La piattaforma adottata dagli hacker, dopo una fase di analisi, tenta di avviare il primo attacco, sfruttando congiunture di diversa natura, opportunamente manipolate per far cadere l’ignaro utente nella trappola. In questo modo, un commento letto su Facebook o una mail di lavoro, possono essere la chiave per far scattare la curiosità nel dipendente. Rispondendo a una mail o aprendo un banale allegato virato, viene di fatto aperta una porta per il passaggio di codice maligno. Nel caso questa procedura non abbia successo, i cyber-criminali continueranno a tentare l’intrusione, fino a superare le barriere perimetrali del sistema.

I tentativi di ingresso possono essere portati a termine per differenti strade, tramite keylogger per la tracciabilità delle password di amministrazione, sfruttando malware via USB e persino facendo pervenire macchine appositamente create che verranno connesse alla rete interna. Una volta eseguito il file corrotto, per gli attaccanti è dunque possibile stabilire una comunicazione bidirezionale, che permette, in primo luogo, di scandagliare la rete interna indisturbatamente. Il PC, o i PC infettati, diventeranno la base per lanciare nuovi attacchi ai server interni o a siti ed entità esterni. Investigando i contenuti della rete sarà possibile estrapolare dati importanti, segreti industriali e amministrativi, ID e password, asportando in modo silenzioso, tutto ciò che può avere un valore economico sul mercato illegale.
In tutto questo è bene considerare una recente analisi che pone l’attenzione sui file che possono contenere codice maligno.

Per abitudine si è portati a pensare che solamente il codice eseguibile (EXE) possa essere soggetto a mutazioni e virus, tuttavia si è osservato che solamente il 30% degli attacchi avviene tramite file eseguibili. Il restante 70% è stato possibile utilizzando sorgenti solitamente non ritenute pericolose, come allegati e file Microsoft Word (DOC/DOCX), Excel (XLS/XLSX) e Adobe PDF.
Questo, in sintesi, è il comportamento di un attacco persistente avanzato di tipo APT. Oltre all’evoluzione dei sistemi di infezione, le infrastrutture criminali possono contare su una politica di protezione dei client e della rete che, in molti casi, risulta un po’ troppo datata. Le minacce APT sfruttano, molto spesso, la totale carenza di controllo sul traffico in uscita dalla rete, mentre solitamente firewall e sistemi perimetrali impongono regole severe solo per quello in entrata. In questo modo risulta più facile rubare dati inviandoli al di fuori della rete aziendale. Sommando la continua diffusione di attacchi sempre diversi, alla natura intrinseca delle minacce APT e alle infrastrutture di protezione carenti, è possibile notare come proteggersi da questi tipi di pericoli sia effettivamente difficile.

[tit:L’approccio Trend Micro]Trend Micro, come sviluppatore di sistemi di sicurezza, si è dimostrato particolarmente attivo nella creazione di soluzioni per la protezione e ha sviluppato la piattaforma Deep Discovery, ideata per il rilevamento delle insidiose minacce APT, ma non solo. Avendo osservato come il tradizionale approccio antivirus non sia più sufficiente, in caso di pericoli persistenti, è stata creato un pacchetto capace di rilevare eventi APT, ma anche di intervenire in caso di minacce informatiche zero-day ed exploit presenti nei documenti. Il sistema è in grado di analizzare la Network Activity lato aggressore e di controllare Bot, cavalli di Troia, worm, keylogger, crimeware, applicazioni illecite via Web e E-Mail.
trend-micro-protezione-da-virus-e-attacchi-apt-2.jpgStefano Volpi, Country Manager Trend Micro, e Gastone Nencini, Senior Technical Manager Italy, ci hanno illustrato le funzionalità della nuova infrastruttura e la logica di funzionamento di nuova generazione che sta alla base della potente rete di protezione Trend Micro Smart Protection Network.
Deep Discovery è in grado di analizzare il comportamento degli attacchi APT, rilevando e identificando in modo esclusivo le minacce e, in aggiunta, permette la lettura approfondita delle informazioni contenute nei sistemi che infrangono la rete, permettendo la creazione di misure atte a prevenire future intrusioni. In pratica, i contenuti, le comunicazioni e i comportamenti dannosi sono scandagliati in ogni fase dell’attacco, riducendo al minimo la possibilità di falsi positivi e garantendo alle aziende molteplici strumenti per contrastare i pericoli in agguato.
La maggiore visibilità sul tipo di attacco, consente di avere la meglio rispetto a eventuali malware APT e di proteggere la rete con elevati tassi di successo, rispetto alle soluzioni convenzionali. Deep Discovery adotta uno schema di funzionamento suddiviso su tre livelli, sviluppato per consentire la più precisa rilevazione possibile.
trend-micro-protezione-da-virus-e-attacchi-apt-6.jpgOltre a una procedura di rilevamento iniziale, è disponibile una sezione di simulazione e una per la correlazione e la correlazione incrociata finale, utile per distinguere le attività a bassa frequenza di tipo evasivo.
Nelle fasi di rilevamento e correlazione entra in gioco la rete Trend Micro Smart Protection Network, tramite la quale è possibile confrontare i dati con miliardi di risultati e situazioni riportate da utenti ed esperti del settore. Questo database unificato riceve 1,15 miliardi di casi relativi ad attacchi/virus e 6 TByte di informazioni  ogni giorno. Il sistema è in grado di archiviare informazioni relative a criticità rispetto al traffico Web, alle URL inaffidabili, a nomi e specifiche di file, vulnerabilità note, exploit kits, indirizzi IP non sicuri e threat mobile, legati al mondo delle App.
La correlazione dei dati raccolti costituisce il secondo passaggio del motore della Smart Protection Network, in questa fase le informazioni vengono correlate e associate, per la creazione di modelli che verranno successivamente adottati. Il risultato finale è la disponibilità di una protezione attiva, aggiornata in tempo reale e ritagliata sulle esigenze dei segmenti Mobile, Cloud, Virtual e Physical (Desktop), con oltre 200 milioni di minacce bloccate ogni giorno. Il sistema risulta perciò proattivo e sempre pronto a rispondere alle mutazione dei pericoli sul Web e risulta attendibile grazie a una procedura di autoapprendimento e studio dei threat.
Considerando la necessaria e continua importanza di una protezione dei sistemi informatici, a partire dall’installazione delle patch del sistema operativo e dei software prodotte dalle singole case software, diventa fondamentale una protezione a livello di singola macchina, che vada ad integrarsi con la piattaforma Deep Discovery 3. In questo modo si possono analizzare e debellare attacchi exploit contenuti nei documenti allegati alle mail, i download di tipo drive-by e le minacce zero-day. Per queste tipologie di vulnerabilità, il sistema prevede la decodifica e la decompressione di ogni singolo allegato, la simulazione dei file sospetti in un’area sicura (SandBox), la scansione euristica e il rilevamento di kit di sfruttamento del browser.
Eventuali comunicazioni sospette, che possono contenere attività backdoor, worm, bot e miste, vengono analizzate adottando il sistema di reputazione URL della Smart Protection Network, tramite specifiche regole e l’analisi della destinazione con un confronto attraverso elenchi dinamici. Per il malware più aggressivo, nel caso di attacchi a forza bruta e di sfruttamento dei servizi, è possibile adottare un’analisi euristica basata su regole precise e l’osservazione nelle modalità d’uso di oltre 100 protocolli e applicazioni, anche su base HTTP.
trend-micro-protezione-da-virus-e-attacchi-apt-3.jpgSe questo non dovesse bastare, Trend Micro integra la potenza della soluzione Deep Discovery, con specifici pacchetti a partire dalla Deep Security 9, una piattaforma di protezione completa, studiata per server, sia fisici, sia virtuali.
Questo sistema di tipo agentless garantisce una protezione estesa per gli ambienti Data Center, è in grado di assicurare conformità e il ROI dei progetti di virtualizzazione e cloud. Grazie all’elevata integrazione, la gestione e l’ampliamento della piattaforma sono garantiti, per soddisfare al meglio le esigenze di crescita delle strutture fisiche e virtuali. In questo modo è possibile generare profili personalizzati per la sicurezza, abilitando protezioni basate su agenti locali e agentless. Tra le molte funzioni, Deep Security 9 incorpora sistemi anti-malware, per il controllo dell’integrità, ispezione registri, rilevamento e prevenzione delle intrusioni, Web Reputation e Firewall bidirezionale. Questo pacchetto rappresenta un’integrazione ideale da VMware vSphere 5.1 e vShield Endpoint 5.1, anche se è stata mantenuta la compatibilità con le strutture vSphere 4.1 e 5.0.
Trend Micro sviluppa inoltre la suite InterScan VirusWall, destinata alle PMI e strutturata per bloccare virus, spyware, phishing, sparm e ogni sorta di contenuto inadeguato, il tutto a livello di gateway Internet. Per la prevenzione da attacchi mirati e convenzionali e il filtraggio Spam è stata invece messa a punto la soluzione Interscan Messaging Security, capace di minimizzare i rischi, grazie a una protezione proattiva in tempo reale.

Categorie: Notizie

Tag:

Cosa pensi di questa notizia?

Area Social

Vota