Jak zidentyfikować atak APT

Specjaliści ds. zabezpieczeń zgodnie twierdzą, że bezpieczne podejście do analizy potencjalnych zagrożeń APT musi obejmować zaawansowane funkcje środowiska sandbox obsługiwanego lokalnie i w chmurze oraz włączonego do ujednoliconej strategii zabezpieczeń.

W jaki sposób identyfikować potencjalne ataki typu zero day exploit?

Firma FORTINET opracowała listę najważniejszych i najbardziej symptomatycznych zachowań początkowych oraz w zakresie eksfiltracji mających miejsce podczas potencjalnego ataku APT.

1. Losowe generowanie adresów IP. Zdarza się, że zawartość APT zawiera kod losowo generujący łańcuchy adresów IP. Działanie to ma na celu łatwiejszą propagację.

2. Próby nawiązania połączenia z serwerem zarządzającym. Po udanej infiltracji zagrożenia APT mogą podjąć próbę nawiązania połączenia z serwerem zarządzającym w celu eksfiltracji danych lub nawiązania połączenia z innymi niebezpiecznymi zasobami, na przykład przez sieć botnet. Wykrywanie opiera się na sygnaturach kontrolnych i wykrywaniu uzgadniania.

3. Naśladowanie zachowania hosta. W celu uniknięcia wykrycia zagrożenie APT może naśladować zachowanie urządzenia lub aplikacji hosta.

4. Maskowanie kodu JavaScript. Udokumentowane przypadki ataków APT opierały się na wielu technikach ukrywania (maskowania) prawdziwego znaczenia i celu złośliwego kodu JavaScript.

5. Szyfrowanie ruchu w sieci. Tendencja do szyfrowania zawartości złośliwego oprogramowania APT zwiększa poziom zagrożenia dla całego ruchu w sieci podlegającego szyfrowaniu.

Przedsiębiorstwa świadome zagrożeń ze strony ataków typu Zero Day mogą teraz korzystać z najnowszych zabezpieczeń zintegrowanych w nowym systemie operacyjnym firmy Fortinet — FortiOS 5.

System FortiOS 5, którego premiera rynkowa odbyła się pod koniec roku 2012, zawiera ponad 150 rozszerzonych funkcji opracowanych z myślą o wyeliminowaniu aktualnych i ewoluujących zagrożeń, które czyhają na przedsiębiorstwa borykające się z kontrolą nad rosnącą liczbą urządzeń i aplikacji mobilnych. Do swojego arsenału rozwiązań przeciwdziałających zaawansowanym ciągłym zagrożeniom firma FORTINET dodała funkcje środowiska sandbox obsługiwanego lokalnie i w chmurze. Dzięki niemu można uruchamiać nieznane oprogramowanie złośliwe. Środowisko to uzupełnia funkcjonalność wyjątkowego procesora opartego na Compact Pattern Recognition Language, dzięki któremu pojedyncze sygnatury obejmują ponad 50 000 definicji różnych wirusów, w tym warianty typu Zero Day.

Źródło: Fortinet