Kulcsszavak
 
- APT
- vírusvédelem
- trojan
- Command and control
- low and slow
- sandboxing
- packers
- dynamic and static analysis
- integration
- cloud-based center
 
Rövid ismertető magyarul
 
 
A "klasszikus" kártevőket író és használó hackerek - sajnos - rájöttek, hogy még könnyebben célhoz érhetnek, ha APT-k (Advanced Persistent Threat) kezdenek el használni, ezeket a kártevőket ugyanis hagyományos végpontvédelmi eszközökkel nagyon nehéz elcsípni.
A megoldás képes összetett támadásokat indítani (rootkit, trójai, alacsony szinten futó modulok), az Internetre kapcsolódva kapja az utasításait (command and control center-ek a támadók üzemeltetésében), valamint képesek a felhasználók tudatlanságát, hiszékenységét is kiaknázni (pl.:kattintson egy linkre, ha meg szeretné tudni, hogyan nyerhet egy új telefont).
 
Mivel ezek összetett támadások, nem könnyű az észlelésük, szükséges az adatbázis alapú ellenőrzés mellett a sandboxing technológia (egy zárt konténerben futtatjuk a letöltött anyagokat és megpróbáljuk kitalálni, hogy veszélyesek-e, vagy sem), valamint az is, hogy a gyártónak legyen egy felhő alapú központja, ahol elérhetőek a legfrissebb kártevők (hash, IP reputation, URL reputation) azonosítói és ahol legyen a biztonsági cégnek központi tudásbázisa is.
 
Természetesen egy APT elleni védemet szorosan illeszteni kell az ügyfél hálózatába, csak így érhető el, hogy a webes, mail, egyéb adatforgalom is elemzésre kerüljön, de mégse kelljen teljesítmény oldalon se kompromisszumot hozni.
 
Megoldásaink képesek védelmet nyújtani eszközeinek, felhazsnálóinak, akár többezres nagyvállalti környezetben is.
 
Short summary
 
 
Advanced Persistent Threat (APT) APT is a set of stealthy and continuous hacking processes often orchestrated by human targeting a specific entity. APT usually targets organizations and or nations for business or political motives. APT processes require high degree of covertness over a long period of time.
As the name implies, APT consists of three major components/processes: advanced, persistent, and threat. The advanced process signifies sophisticated techniques using malware to exploit vulnerabilities in systems. The persistent process suggests that an external command and control is continuously monitoring and extracting data off a specific target. The threat process indicates human involvement in orchestrating the attack (from Wikipedia)
 
Infobox
 
 
- tudta-e Ön, hogy mindegyik gyártónk 2014-re várja az APT-k nagy előretörését?
- tudta-e Ön, hogy már több biztonsági gyártó is áldozatául esett ilyen APT alapú támadásnak (van ahol a kár meghaladta a 100 millió USD-t)?
- tudta-e Ön, hogy egy jól fejlett APT már nem próbál több millió végpontot támadni, csak nagyon keveset, hogy később lehessen csak azonosítani?
- tudta-e Ön, hogy a Stuxnet is egy speciális APT volt?
- tudta-e Ön, hogy már vannak hardveres szinten futó védelmi megoldások APT-k ellen (speciális Intel Core i chip szükséges hozzá)?
- tudta-e Ön, hogy egyes kártevők (rootkit-ek) képesek kikerülni jó néhány vírusvédelmi megoldást?
 
Gartner elemzés
 
Az egyes fázisokban szereplő nagyobb gyártók:
Style 1 – Network Traffic Analysis (Arbor Networks, Damballa, Fidelis, Lancope, Sourcefire)
Style 2 – Network Forensics (Blue Coat, RSA)
Style 3 – Payload Analysis (AhnLab, CheckPoint, FireEye, Lastline, McAfee, Palo Alto Networks, ThreadGrid, TrendMicro)
Style 4 – Endpoint Behavior Analysis (Blue Ridge Networks, Bromium, Invincia, Sandboxie, Trustwave, Cyvera, ManTech/HBGary, RSA, Triumfant)
Style 5 – Endpoint Forensics (Bit9, Carbon Black, Guidance Software, Mandiant, ManTech/HBGary)
 
 
 
Kérdések, melyek segíthetnek eldönteni, hogy teljeskörű védelemmel rendelkezik-e a hálózata
 
- rendelkezik-e bármilyen felhő alapú szolgáltatást használó végpontvédelmi, hálózatvédelmi megoldással?
- védelmi rendszerei képesek-e egymással kommunikálni, integrált rendszereket használ-e, vagy sziget megoldásokat?
- milyen lépéseket tud tenni a rootkit-ek ellen?
- felhazsnálói rendszeresen értesülnek az új fenyegetésekről és megfelelő a biztonsági képzettségük ahhoz, hogy ne dőljenek be az adathalász támadásoknak?
- képes-e hálózata a C&C (command and control) kommunikáció szűrésére (ezek jellemzően a low-and-slow megközelítést használják)?
 
Általunk forgalmazott megoldások
 
McAfee ATD - hardveres, sandboxing technológiát is kínáló, több McAfee megoldással interálható megoldás
Trend Micro Deep Discovery - hardveres, többkomponensű, cluster-ezhető megoldás
Kapcsolódó gyártók