Dans le cadre de son approche Custom Defense, Trend Micro enrichit ses solutions de nouvelles fonctionnalités avancées visant à identifier et neutraliser les communications C&C (Command & Control), souvent associées aux menaces APT et aux attaques ciblées.
Unique sur le marché, Custom Defense est un ensemble de solutions de protection contre les menaces offrant des outils et des services permettant aux entreprises et aux administrations de détecter et d’analyser ces attaques de nouvelle génération. Elles sont ainsi à même d’adapter leur arsenal de sécurité pour réagir rapidement face à ce type de menaces.
Avec Custom Defense, la surveillance et la neutralisation des activités C&C offre une sécurité avancée des réseaux, des passerelles, des serveurs et des postes clients. De plus, les utilisateurs bénéficient d’alertes de veille sur les communications C&C. Pour la toute première fois, les entreprises et administrations disposent de la visibilité nécessaire pour détecter les attaques ciblées et réagir avant tout dommage majeur.
APT et Communications C&C
Les menaces APT et les attaques ciblées ont pour particularité de contourner les lignes de défense traditionnelles des organisations, comme le soulignent les attaques récentes qui ont visé le New York Times, le Wall Street Journal ou encore l’US Federal Reserve. Selon une enquête récente menée auprès des membres de l’ISACA, une association regroupant des professionnels de l’informatique, 21 % des sondés déclarent que leur entreprise a déjà été victime d’une APT, et 63 % d’entre eux pensent que ce n’est qu’une question de temps avant qu’elle ne soit ciblée.
Ces attaques sont souvent menées à distance et orchestrées à l’aide des communications C&C entre les systèmes infiltrés et les assaillants. Ces canaux de communication permettent de télécharger de nouvelles applications ou de recevoir des instructions. Les cybercriminels utilisent également ce canal pour déployer des backdoors et ainsi identifier et détourner les données ciblées. D’après une étude menée par Verizon en 2012, l’utilisation d’un backdoor ou d’un canal C&C a été constatée dans 50 % des cas étudiés de détournements de données.1
Détecter les communications C&C : un véritable défi
Afin de détecter les attaques ciblées, il est impératif d’identifier les communications C&C. Cependant, contrairement aux réseaux botnets d’envergure, le trafic C&C lié aux APT est intermittent et de faible volume, ce qui complexifie sa détection. D’autre part, les cybercriminels ne simplifient guère la tâche, en tentant de dissimuler le trafic C&C à l’aide de différentes techniques : changement et redirection d’adresses, utilisation d’applications et de sites légitimes en tant qu’intermédiaires, voire même déploiement des serveurs C&C au sein du réseau victime. Les chercheurs de Trend Micro constatent en effet que la durée de vie moyenne d’une adresse C&C est inférieure à trois jours. De plus, les assaillants utilisent des techniques détectables uniquement via des outils ou solutions déployés sur le réseau de l’entreprise ciblée.
Les chercheurs des TrendLabs? estiment qu’il existe 1 500 sites C&C actuellement actifs et dénombrent de 1 à 25 000 victimes par site, même si plus des deux-tiers d’entre eux ne gèrent que 3 victimes ou moins. Plus de 25 % de ces sites ont une durée de vie de moins d’une journée, et pour 50 % d’entre eux, elle est inférieure à 4 jours.
« La majorité des fournisseurs de solutions de sécurité ne disposent pas de l’expertise, de l’envergure, de la technologie et des ressources suffisantes pour qualifier les différentes activités de C&C. Trop d’outils de sécurité se contentent, en cas de détection d’une communication C&C, de la neutraliser ou de l’enregistrer, comme s’il ne s’agissait que d’un événement mineur. Dans la plupart des cas, l’attaque qui se cache derrière cette communication passe totalement inaperçue », explique Steve Quane, Chief Product Officer de Trend Micro.
Les nouvelles fonctionnalités de Custom Defense pour juguler les activités C&C
Lors de la conférence RSA 2013, Trend Micro a présenté les nouvelles fonctions orientées C&C de Custom Defense :
- Identification et suivi des communications C&C dans le Cloud et sur les réseaux de l’entreprise.
- Fonction intégrée de détection des communications C&C sur le réseau et au niveau des passerelles, des serveurs et des postes clients.
- Système d’alerte centralisé sur les C&C, veille sur les risques liés aux C&C et options flexibles de contrôle.
- Mise à jour de l’ensemble des produits en cas de détection de nouvelles communications C&C.
- Des API et des services Web pour intégrer des produits de sécurité tiers au sein de Custom Defense.
Comment ça marche ?
Identification et monitoring grâce à Trend Micro™ Smart Protection Network™ et au travail des chercheurs de Trend Micro
L’infrastructure Smart Protection Network identifie les sites C&C partout dans le monde. Il traite chaque jour 12 milliards d’IP et d’URL et effectue la corrélation de plus de 6 To de données. Ses moteurs de corrélation sont capables de surveiller les changements d’adresses des sites C&C, tandis que 1 200 chercheurs en sécurité de Trend Micro scrutent en permanence et détectent les techniques furtives utilisées par les assaillants.
Ces derniers recueillent et examinent les analyses post-incidents liées aux attaques ciblées avortées, sur un panel de plusieurs dizaines de milliers de clients Trend Micro. En analysant les différentes séquences des attaques, ces chercheurs obtiennent une visibilité précise sur les communications C&C, les malware et les techniques des assaillants, favorisant ainsi une amélioration constante de Smart Protection Network et des produits de Trend Micro.
Une surveillance réseau, assurée par Trend Micro™ Deep Discovery
Trend Micro Deep Discovery utilise des outils de détection spécifiques à chaque client afin d’identifier les malware, les communications suspectes, ainsi que l’activité des cybercriminels sur le réseau. Le « fingerprinting » (empreinte) du trafic C&C furtif, autrement dit l’étude des caractéristiques de ce trafic, permet d’identifier un assaillant qui utiliserait des applications et des sites web légitimes, ou des techniques sophistiquées à l’image d’un serveur C&C déployé au sein du réseau. Deep Discovery dispose d’un environnement sandbox qui identifie la destination des communications C&C liées aux attaques de type Zero-day, et effectue ainsi à une mise à jour de Smart Protection Network et de l’ensemble des outils de protection du client.
Une protection transversale et un système centralisé d’alerte
Les informations les plus récentes en matière de communications C&C, à l’échelle locale ou mondiale, alimentent les solutions Trend Micro afin de protéger les postes clients, les serveurs, le réseau, les passerelles et la messagerie. Toute communication C&C détectée est clairement identifiée sur une console centralisée, avec alerte des équipes de sécurité. L’évaluation, la prise en charge et la neutralisation des risques liés aux C&C bénéficient de la fonction de veille Threat Connect qui renseigne sur le niveau de dangerosité, l’activité, l’origine et les adresses du site C&C. Cette approche permet de statuer sur le niveau de risque d’une communication, sur la nécessité de l’interrompre et sur les opérations de restauration nécessaires.
« Les communications C&C sont des indicateurs d’une possible attaque ciblée. Les produits de sécurité doivent pouvoir détecter les activités C&C à risque et disposer d’informations de veille qui favorisent une réaction rapide et appropriée. Nous améliorons nos capacités de détection et de veille sur les C&C, que nous intégrons désormais dans chacun de nos produits. Cette approche offre la visibilité nécessaire pour que nos clients déjouent les attaques dont ils sont la cible », explique Kevin Faulkner, Directeur du Marketing Produit chez Trend Micro.