Video: Apex One EDR Demo – Credential Dumping (T1003) (Lokakuu 2024)
Trend Micro ilmoitti tänään San Franciscossa pidetyssä RSA-konferenssissa uusista työkaluista komento- ja hallintapalvelimien havaitsemiseksi viimeisimmässä päivityksessä yritystason Custom Defense -ohjelmistoon. Mutta myös meidän alhaisten kuluttajien tulisi ottaa sydämemme, koska jokainen uusi hyökkäys saattaa tehdä meistä kaikista hieman turvallisempia.
Alun perin viime lokakuussa julkistettu Custom Defense tarjoaa ainutlaatuisia työkaluja haittaohjelmien tunnistamiseen valkoisen ja mustan listan perusteella sekä mahdollisuuden määrittää, onko uusi ohjelmisto uhka, analysoimalla sitä hiekkalaatikkoympäristössä. Trend Micro lisäsi tänään hallintaan ja hallintaan (C&C) havaitsemisen tähän jo valtavaan suojauspakettiin.
Tärkeä osa räätälöityä puolustusta on, että se jakaa oppimansa muiden käyttäjien kanssa yrityksen älykkään suojausverkon kautta. Oletetaan, että Acme-yritys havaitsee uusia haittaohjelmia Custom Defense -sovelluksen avulla. Loppujen lopuksi kyseisen haittaohjelman analyysi tulee saataville muille Custom Defense -käyttäjille sekä niille, jotka käyttävät Trend Micro -yrityksen kuluttajaluokan ohjelmistoja, kuten Trend Micro Titanium Maximum Security Premium Edition.
Kuten Trend Micro -yrityksen tuotemarkkinointijohtaja Kevin Faulkner selitti, tämä johtuu siitä, että yrityksen mainepalvelut ja Smart Protection Network ovat yhteydessä toisiinsa, mukaan lukien äskettäin lisätyt C&C-työkalut. Lyhyesti sanottuna se antaa Trend Micro: lle mahdollisuuden hyödyntää uusia hyökkäyksiä hyökkääjiä vastaan.
"Tämä on pilvipohjaisen suojausjärjestelmän käsite", Faulkner sanoi. "Käytämme omia kykyjämme skannata Internet, mutta voimme oppia asiakkailta, ja kaiken, mitä opimme asiakkailtamme, työntämme eteenpäin muille asiakkaille - yrityksille tai kuluttajille."
Jotkut mukautetun puolustuksen käyttäjistä eivät tietenkään halua jakaa tietoa kohdennetuista hyökkäyksistä. "Jokaisella asiakkaalla on oikeus olla osallistumatta älykkään suojauksen verkkoon", Faulkner sanoi.
Vaikka C & C liittyy yleensä massiivisiin bottiverkkoihin, ne ovat myös avain joihinkin huolellisimmin rakennettuihin hyökkäyksiin tai niin kutsuttuihin ”pitkälle kehitettyihin jatkuviin uhkiin”.
"Nämä hyökkäykset organisoidaan tyypillisesti etäyhteydellä soluttautuneiden järjestelmien ja itse hyökkääjien välisellä C & C-viestinnällä", Trend Micro sanoi lehdistötiedotteessa. Tyypillisesti haittaohjelmat soittavat takaisin näille palvelimille saadaksesi lisälatauksia tai ohjeita, ja hyökkääjät voivat käyttää niitä tartunnan saaneeseen järjestelmään pääsemiseksi. Huolelliset lukijat muistavat muun muassa Punaisen lokakuun kampanjan hyödyntäneensä näitä tekniikoita.
C&C-palvelimien liikenne jatkuvissa hyökkäyksissä on erittäin vähäistä (verrattuna bottiverkkoihin) ja usein vaikea löytää. Hyökkääjät vaihtavat ja ohjaavat osoitteita, käyttävät laillisia sivustoja ja jopa perustavat C&C-palvelimia yrityksen verkossa. "Tiedämme, mitkä ovat klassiset hyökkäysmallit", Faulkner sanoi. "Jos tämä malli esiintyy Facebookissa, Twitterissä, voimme löytää sen."
Vaikka suuryrityksiä ja hallituksia vastaan suunnatut monimutkaiset hyökkäykset, joissa on valtavia henkilökohtaisia tietoja, julkistetaan hyvin, Faulkner sanoi, että ne eivät ole ainoat hyökkäyksen kohteena olevat. "Suuret kaverit tekevät otsikoita, mutta nämä hyökkäykset tapahtuvat kaikkialla", Faulkner kertoi sairaaloista ja yliopistoista Trend Micro -asiakkaiden keskuudessa. Jakamalla tietoja kaikilla tasoilla, sinä ja minä, kuten kuluttajat, voimme todella välttää pahimmat hyökkäykset, kun turvallisuusyritykset valitsevat heidät toisistaan.
Muista pysyä ajan tasalla lisää RSA: n viesteistämme!
