Видео: Endpoint Virtual Patching (Октября 2024)
Сегодня на конференции RSA в Сан-Франциско Trend Micro анонсировала новые инструменты для обнаружения командных и управляющих серверов в последнем обновлении своего программного обеспечения Custom Defense корпоративного уровня. Но нам, скромным потребителям, следует также отнестись с оптимизмом, потому что каждая новая атака может сделать нас всех немного более защищенными.
Первоначально анонсированная в октябре прошлого года, Custom Defense предоставляет уникальные инструменты для выявления вредоносных программ на основе белых и черных списков, а также возможность определить, является ли новое программное обеспечение угрозой, путем анализа его в изолированной среде. Сегодня Trend Micro добавил обнаружение команд и элементов управления (C & C) в этот и без того грозный набор средств защиты.
Ключевым аспектом Custom Defense является то, что он делится тем, что узнает, с другими пользователями через Smart Protection Network компании. Допустим, компания Acme обнаруживает некоторые новые вредоносные программы с помощью Custom Defense. Со временем анализ этого вредоносного ПО становится доступным для других пользователей Custom Defense, а также для тех, кто использует программное обеспечение Trend Micro потребительского уровня, например Trend Micro Titanium Maximum Security Premium Edition.
Как объяснил директор по маркетингу продуктов Trend Micro Кевин Фолкнер, это связано с тем, что службы репутации компании и сеть Smart Protection Network подключены, включая недавно добавленные инструменты C & C. Короче говоря, это позволяет Trend Micro использовать новые атаки против злоумышленников.
«Это концепция облачной системы защиты», - сказал Фолкнер. «Мы используем наши собственные возможности для сканирования Интернета, но мы можем учиться у клиентов, и все, что мы узнаем от клиентов, мы проталкиваем другим клиентам - предприятиям или потребителям».
Конечно, некоторые пользователи Custom Defense могут не захотеть делиться информацией о целевых атаках. «Каждый клиент имеет право не участвовать в сети Smart Protection Network», - сказал Фолкнер.
Хотя C & C обычно ассоциируются с массивными ботнетами, они также являются ключом к некоторым из наиболее тщательно продуманных атак или к так называемым «продвинутым постоянным угрозам».
«Эти атаки обычно организованы удаленно с помощью C & C-коммуникаций между проникшими системами и самими злоумышленниками», - говорится в пресс-релизе Trend Micro. Как правило, вредоносные программы обращаются к этим серверам для дополнительных загрузок или инструкций и могут использоваться злоумышленниками для доступа к зараженной системе. Внимательные читатели вспомнят кампанию «Красный Октябрь», в том числе и о том, как воспользоваться этими приемами.
Трафик для C & C-серверов в постоянных атаках очень низок (по сравнению с ботнетами), и его часто трудно обнаружить. Злоумышленники меняют и перенаправляют адреса, используют законные сайты и даже настраивают C & C-серверы внутри сети компании. «Мы знаем, каковы классические модели атаки», - сказал Фолкнер. «Если этот шаблон встречается в Facebook, в Twitter, мы можем его найти».
В то время как сложные атаки против крупных компаний и правительств с огромными хранилищами личной информации хорошо освещаются, Фолкнер сказал, что они не единственные, на кого нападают. «Большие парни попадают в заголовки новостей, но эти атаки происходят повсеместно», - сказал Фолкнер, сославшись на больницы и университеты среди клиентов Trend Micro. Обмениваясь информацией между всеми уровнями, такие пользователи, как вы и я, могут на самом деле избежать наихудших атак, поскольку компании по обеспечению безопасности разделяют их.
Будьте уверены, чтобы оставаться в курсе других наших сообщений от RSA!
