Attacchi mirati avanzati: ci vuole un sistema

White paper
Attacchi mirati avanzati:
ci vuole un sistema
La condivisione di informazioni sul contesto in tempo reale
supporta il rilevamento precoce degli attacchi
e la prevenzione adattiva delle minacce.
White paper
Sommario
Sintesi. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
Raggiungere un vantaggio sostenibile. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
Gli elementi di base della prevenzione adattiva delle minacce. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
Immunizzazione e adattamento, end-to-end. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
Data Exchange Layer: coordinamento in tempo reale. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
McAfee Threat Intelligence Exchange: attingere al potere della conoscenza. . . . . . . . . . . . . . . . . . . . . . 6
Potenziare la protezione esistente degli endpoint. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
Analisi di dati completi per chiarezza e rapidità della risposta. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
Condividere informazioni di intelligence ovunque, all'istante. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
Situazione 1: azione in base alle informazioni collettive. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
Situazione 2: aggiungere McAfee Advanced Threat Defense per l'analisi approfondita. . . . . . . . . . . . 9
Situazione 3: rilevamento precoce degli attacchi con McAfee Enterprise Security Manager . . . . . 10
Cambiare la dinamica della lotta. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
Attacchi mirati avanzati: ci vuole un sistema
2
White paper
Sintesi
Per il secondo anno consecutivo durante la Conferenza Black Hat, McAfee, parte di Intel Security,
ha intervistato i professionisti della sicurezza per misurare i loro problemi con il malware avanzato
utilizzato negli attacchi a bassa prevalenza e mirati. Nonostante molti investimenti in prodotti
"infallibili", il rilevamento è rimasto in cima all'elenco dei problemi. Fondamentale per il rilevamento
è filtrare il segnale dal rumore, mentre al secondo posto tra i principali problemi troviamo l'evitare
i falsi positivi per il 25% degli intervistati. Una protezione e una risposta tempestiva continuano
a rappresentare le maggiori frustrazioni.
35
35%
36%
2013
2014
28
25%
20%
21
22%
17%
13%
14
11%
7
9%
5%
3%
4%
0
Rilevamento
Rapporto
Protezione
segnale(in tempo
rumore
reale o blocco
(alla ricerca
tempestivo)
di falsi positivi)
Risposta Risoluzione danni
tempestiva
(sradicare il
(notifica di
malware
violazione) dall'ambiente)
Altro
Figura 1. I partecipanti a Black Hat hanno indicato di avere ancora problemi nel proteggersi dal malware avanzato.
Queste problematiche derivano da un'integrazione insufficiente tra controllo, acquisizione di
informazioni, analitiche ed elementi di imposizione dell'architettura di sicurezza. Queste sono le basi
della tecnologia del processo di prevenzione/rilevamento/risposta agli eventi.
L'integrazione migliora l'efficacia, come la condivisione attiva dei dati e i processi accelerati di
controlli incrociati permettono ad ogni controllo di sicurezza di sfruttare i punti di forza e le
esperienze di altri in merito. Si tratta di un modello di prevenzione adattiva delle minacce che sta
rapidamente sostituendo le architetture tradizionali non integrate, dal momento che gli addetti alla
sicurezza lavorano per ottenere un vantaggio sostenibile contro le minacce complesse.
Piuttosto che trattare ogni interazione del malware come un evento a se stante, un modello di
prevenzione adattiva delle minacce integra processi e dati attraverso un livello di messaggistica
efficiente. In questo modo si dispone di livelli rafforzati di controllo e analisi informata da forme
estese di informazioni e si collegano i componenti end-to-end per generare e utilizzare la maggior
quantità di informazioni fruibili possibile da ogni contatto e processo.
Il passaggio a una prevenzione adattiva delle minacce aiuta a superare le recinzioni funzionali
fin troppo comuni che frenano il rilevamento, la risposta e qualsiasi possibilità di una migliore
prevenzione. L'isolamento di dati e controlli singoli complica le operazioni e aumenta il rischio.
Per esempio, i dati generati da ogni controllo e il contesto di ciascuna situazione sono raccolti
male e raramente condivisi. Un firewall può bloccare la ricezione di un payload da un dominio
non attendibile perché conosce le comunicazioni, non perché conosca il malware. Se arriva da
un dominio attendibile quel pacchetto verrà ammesso. Allo stesso modo, l'antimalware potrebbe
bloccare dei payload sconosciuti, in arrivo da indirizzi notoriamente malevoli, se sa vedere oltre
o all'interno del payload per considerare gli indirizzi IP.
Attacchi mirati avanzati: ci vuole un sistema
3
White paper
Se non integrate, le funzioni di sicurezza mantengono le aziende in uno stato di emergenza,
reagendo costantemente e facendo dispiegare ingenti risorse umane a ogni violazione.
L'inefficienza del processo esaurisce le scarse risorse investigative e allunga i tempi di esposizione
di dati e reti agli aggressori più determinati. Queste isole di prodotti, dati e operazioni di sicurezza
lasciano ampio spazio agli aggressori dotati di armi sofisticate per intrufolarsi nel rumore di fondo
indistinto che viene a generarsi, nascondendosi e persistendo all'interno delle aziende.
Raggiungere un vantaggio sostenibile
Cos'è un indicatore
di attacco?
È una costruzione unica di
attributi sconosciuti, IoC
e informazioni contestuali,
comprese le informazioni
sull'azienda e il rischio,
in un quadro dinamico
e situazionale che guida
la reazione.
Con McAfee® Threat Intelligence Exchange e la piattaforma McAfee Security Connected,
i professionisti della sicurezza dispongono ora di un sistema ad alte prestazioni che integra flussi
di lavoro e dati per superare l'isolamento delle operazioni. Il modello si sposta dall'emergenza
a una prevenzione delle minacce che sia agile e alimentata dalle minacce. Prese nel loro insieme,
le informazioni sulle minacce provenienti dalle fonti globali, locali e di terzi permettono di prendere
decisioni esecutive più intelligenti, eseguendo al contempo un'analisi approfondita dei file sospetti.
Inviando le analisi contestuali – che chiamiamo indicatori di attacco (IoA) – ai sistemi di rilevamento
intervettoriale, di contenimento e di remediation, gli analisti di sicurezza ottengono un vantaggio
sostenibile contro gli attacchi mirati.
Sfruttando le comunicazioni in tempo reale e integrandole negli investimenti in sicurezza già
effettuati con le soluzioni McAfee e di terzi, McAfee aiuta la tua organizzazione a impedire le
violazioni a costi contenuti e ridurre la lacuna fra l'individuazione e il contenimento. Questo
documento descrive quattro casi di utilizzo che sfruttano la protezione e i risparmi sui costi offerti
da questo approccio all'avanguardia con McAfee Threat Intelligence Exchange:
QQ
QQ
QQ
QQ
La maggiore efficacia dell'endpoint grazie alle azioni possibili in base alle informazioni
collettive sulle minacce (integrazione con VirusScan® Enterprise e SiteAdvisor® Enterprise).
L'uso dell'integrazione con VirusTotal per valutare gli input e le misurazioni provenienti
dagli antimalware degli altri produttori e per capire come affrontare una potenziale
minaccia specifica nel proprio ambiente.
Il miglioramento del rilevamento avanzato del malware e della reazione aggiungendo la
sandbox dinamica e l'analisi statica ed eseguendo la connessione ai componenti della
rete (aggiungendo McAfee Advanced Threat Defense e i prodotti per il gateway).
L'inserimento delle informazioni collettive sulle minacce nel contesto delle sequenze
degli attacchi passati e in corso per agire immediatamente: bloccando gli attacchi
attivi, indagando gli eventi passati ed eseguendo il monitoraggio contro quelli futuri
(aggiungendo McAfee Enterprise Security Manager).
Gli elementi di base della prevenzione adattiva delle minacce
McAfee Threat Intelligence Exchange usa McAfee Data Exchange Layer, un tessuto di comunicazioni
bidirezionali che consente lo scambio di informazioni sulla sicurezza e la protezione adattiva
grazie alla semplicità di integrazione fra i prodotti e alla condivisione del contesto. McAfee Threat
Intelligence Exchange raccoglie e condivide le informazioni sulla reputazione e prende decisioni
sulla protezione in tempo reale attraverso la rete. La struttura di Security Connected prevede
da sempre l'automazione e l'integrazione. McAfee Threat Intelligence Exchange sfrutta Data
Exchange Layer per modificare la dinamica di prevenzione delle minacce grazie alla possibilità di
contestualizzare un volume maggiore di dati di intelligence e al coordinamento in tempo reale in
ogni parte dell'ambiente.
Immunizzazione e adattamento, end-to-end
Gli addetti alla sicurezza delle aziende possono controllare localmente la classificazione
del malware e delle minacce potenziali, mentre i componenti di sicurezza condividono
istantaneamente l'analisi dei campioni e aggiornano di conseguenza l'imposizione. McAfee
Threat Intelligence Exchange utilizza Data Exchange Layer per integrare endpoint, gateway e altri
Attacchi mirati avanzati: ci vuole un sistema
4
White paper
componenti di sicurezza in un sistema di difesa completamente sviluppato contro gli attacchi
mirati avanzati. Si riducono i rischi, si crea un vantaggio sostenibile tramite protezioni ottimizzate
e aggiornate contro gli attacchi futuri, infine si riducono al minimo i costi e i carichi di lavoro associati
alle protezioni isolate, nel caso degli attacchi mirati avanzati.
GESTIONE DELLA SICUREZZA
SICUREZZA DEI CONTENUTI
• McAfee Enterprise Security
Manager (SIEM)
• McAfee Email Gateway
• ePolicy Orchestrator
• McAfee Data Loss Prevention
• McAfee Threat Intelligence
Exchange
• McAfee Vulnerability Manager
SICUREZZA DELLA RETE
• McAfee Web Gateway
SICUREZZA DEGLI ENDPOINT
• Suite McAfee Endpoint Security
• McAfee Advanced Threat Defense
• McAfee Data Center Security Suite
• McAfee Network Security Platform (IPS)
• McAfee Embedded Security
• McAfee Next Generation Firewall
• McAfee Device Control
• McAfee Firewall Enterprise
• McAfee Endpoint Encryption
• Protezione potenziata dall'hardware
Figura 2. McAfee Threat Intelligence Exchange e Data Exchange Layer creano una struttura dinamica per il vantaggio sostenibile
nella piattaforma Security Connected.
I componenti di McAfee Threat Intelligence Exchange operano come un singolo sistema
collaborativo per condividere immediatamente i dati pertinenti fra rete, endpoint, dati,
applicazioni e altre soluzioni di sicurezza, consentendo lo scambio di intelligence sulla sicurezza
e l'implementazione della protezione adattiva. McAfee Threat Intelligence Exchange riduce il ritardo
fra l'individuazione e il contenimento degli attacchi mirati avanzati da giorni, settimane e mesi
a pochi millisecondi.
Data Exchange Layer: coordinamento in tempo reale
La facilità di integrazione garantita da Data Exchange Layer riduce i costi di esercizio e di
implementazione. Invece dell'integrazione tramite singole API di basso livello, il tessuto di
comunicazioni di Data Exchange Layer consente ai prodotti di integrarsi attraverso un modello
comune di informazioni che supporta svariate metodologie di comunicazioni. Grazie a queste
funzionalità, Data Exchange Layer supporta la configurazione automatica dei prodotti, riducendo gli
errori e la necessità di intervento.
Data Exchange Layer fornisce un tessuto di comunicazioni bidirezionali in tempo reale, nel quale
i componenti connessi lo rimangono in maniera permanente. Tramite un livello di astrazione, fra
endpoint, gateway e altri componenti di sicurezza resta attiva una connessione che consente la
condivisione di intelligence in tempo reale, indipendentemente dalla posizione fisica degli elementi.
Con questo modello è possibile trasmettere istruzioni di sicurezza command-and-control da
controlli di sicurezza on-premise a nodi remoti in altre sedi e persino a nodi situati dietro dispositivi
remoti che utilizzano il NAT (Network Address Translation), come firewall e gateway domestici.
La protezione delle comunicazioni è garantita dalla crittografia del traffico con il protocollo TLS
(Transport Layer Security), dall'obbligatorietà di una robusta autenticazione reciproca basata sui
certificati di tutti i partecipanti e dall'imposizione dell'autorizzazione da parte del tessuto. Questo
modello garantisce la sicurezza dei payload e la protezione del tessuto stesso da attacchi esterni
o appropriazione indebita.
Attacchi mirati avanzati: ci vuole un sistema
5
White paper
McAfee Global
Threat Intelligence
McAfee ePO
Feed di terze
parti sulle minacce
McAfee Threat
Intelligence
Exchange Server
McAfee Advanced
Threat Defense
McAfee Enterprise
Security Manager
Prodotti
partner
McAfee Data Exchange Layer
Modulo VirusScan
Enterprise di McAfee Threat
Intelligence Exchange
McAfee Next
Generation Firewall
McAfee Email
Gateway
McAfee Network
Security Platform
Altri
prodotti
McAfee Web
Gateway
Figura 3. Data Exchange Layer costituisce un'infrastruttura di comunicazioni in tempo reale che permette ai componenti di
sicurezza di operare come un'entità unica.
McAfee Threat Intelligence Exchange: attingere al potere della conoscenza
McAfee Threat Intelligence Exchange permette agli amministratori di personalizzare facilmente
le complete informazioni sulle minacce e agire di conseguenza. Si tratta dell'aggregazione delle
fonti di informazioni globali –McAfee Global Threat Intelligence (McAfee GTI), VirusTotal e i feed di
terze parti – e dei dati storici e in tempo reale provenienti da endpoint, gateway e altri componenti
di sicurezza. Puoi assemblare, ignorare, potenziare e ottimizzare le informazioni delle fonti di
intelligence che guidano gli interventi nel tuo ambiente. Con lo "smart listing" puoi implementare
blacklist e whitelist di file e certificati, di certificati assegnati e utilizzati dall'organizzazione e così via.
L'aggregazione e la gestione dell'intelligence locale sulle minacce consentono a McAfee Threat
Intelligence Exchange di inquadrare ogni minaccia nel contesto delle attività e dell'ambiente
operativo di ciascuna organizzazione. I metadati raccolti dagli endpoint, dai gateway e dai
componenti di sicurezza vengono combinati, garantendo visibilità e consentendo azioni di
protezione adeguate allo stato di minaccia dell'organizzazione.
Potenziare la protezione esistente degli endpoint
Mentre le tradizionali attività di analisi forense avanzata richiedono strumenti e addestramento
specializzati e una buona dose di lavoro manuale, McAfee Threat Intelligence Exchange trasforma
le informazioni di intelligence in misure di protezione automatica basate sulle regole definite dal
reparto IT. McAfee Threat Intelligence Exchange protegge gli endpoint in modo rivoluzionario
estendendo VirusScan Enterprise per consentire decisioni locali e contestuali sull'esecuzione dei file.
Quando un host tenta di eseguire un file:
QQ
QQ
QQ
VirusScan Enterprise ne controlla le firme locali;
se il file è sconosciuto, il modulo McAfee Threat Intelligence Exchange sull'host interroga
McAfee Threat Intelligence Exchange Server per conoscere i metadati del file stesso;
se non si trova traccia del file, McAfee Threat Intelligence Exchange Server interroga la rete
McAfee GTI su cloud, restituendo la reputazione globale all'host interrogante;
Attacchi mirati avanzati: ci vuole un sistema
6
White paper
QQ
QQ
Che cosa desideri sapere?
Quando un file inizialmente
ignoto viene in seguito
dichiarato pericoloso grazie
alle informazioni provenienti
dal cloud, da una fonte
locale o da un'indagine
interna, McAfee Threat
Intelligence Exchange
Server offre dettagli utili
sui comportamenti ostili
per aiutare chi deve gestire
le crisi ad affrontare le
situazioni in atto:
QQ
QQ
QQ
QQ
QQ
QQ
QQ
QQ
QQ
Il file si trova su uno
dei miei endpoint?
(Prevalenza).
È stato eseguito?
(Fondamentale per
distinguere gli endpoint
infetti da quelli non infetti).
Dove è stato eseguito?
(Elenco dei sistemi a rischio
in base alla priorità).
Qual è stato il primo
sistema a essere
"infettato"? (Primo
episodio).
Quali dispositivi è
probabile che siano
compromessi perché
hanno eseguito un file
di cui ora si conosce la
pericolosità?
Come si sta diffondendo il
malware nel mio ambiente?
(Traiettoria del file).
Dove sono i file che gli altri
prodotti di sicurezza non
bloccano?
Quali file di natura
indefinita si possono
classificare come pericolosi
o innocui?
Che reputazione globale ha
un determinato file rispetto
alla reputazione locale
dell'azienda?
McAfee Threat Intelligence Exchange Server risponde alla query utilizzando i metadati
sul file già raccolti e memorizzati: la risposta contiene valori specifici per l'azienda quali
reputazione, prevalenza ed età;
il modulo McAfee Threat Intelligence Exchange usa poi le regole per combinare il
contesto osservato localmente (file, processo e attributi ambientali) con le informazioni
attualmente disponibili sulle minacce e assegnare un punteggio al rischio;
QQ
il modulo client applica le policy aziendali per decidere se eseguire il file o meno;
QQ
McAfee Threat Intelligence Exchange Server registra l'evento nella sua knowledgebase;
QQ
se un file sconosciuto dovesse essere identificato in seguito come nocivo, anche
VirusScan Enterprise può ricevere il comando di ripulire l'host e interrompere così
l'esecuzione di un processo pericoloso.
Le policy permettono di personalizzare il livello di tolleranza del rischio sull'endpoint, con la
definizione di varie condizioni di esecuzione. Ad esempio, la policy potrebbe essere rigida al punto
da imporre tolleranza zero per i file ignoti o di natura indefinita. È sufficiente impostarla in modo che
impedisca l'accesso a qualsiasi file che non abbia una reputazione nota e accettabile.
Ogni società può avere idee diverse in relazione al rischio che corre autorizzando l'accesso a un file
anziché metterlo in quarantena o eliminarlo tout court. La tolleranza in genere varia a seconda della
classe dei vari sistemi e di quanto sono critici per l'azienda. Se in seguito l'amministratore decide che
il file non rappresenta un pericolo, può aggiungere l'applicazione bloccata a una whitelist e passare
oltre. Gli amministratori possono anche lasciare che siano gli utenti a decidere se autorizzare
l'esecuzione del file.
Analisi di dati completi per chiarezza e rapidità della risposta
L'intelligence collettiva sulle minacce — globale, locale, di terzi e generata manualmente —
memorizzata con McAfee Threat Intelligence Exchange Server fornisce visibilità, rispondendo alle
domande chiave con informazioni istantanee che consentono di intervenire. Tale chiarezza fornisce
tempestivamente delle prove definitive che permettono di agire per proteggere l'azienda senza
dover aspettare il verdetto di una terza parte, lasciando così esposta l'azienda stessa.
Ad esempio, i dati sulla prevalenza nell'azienda mostrano tutti i dispositivi che hanno richiesto
uno specifico file. L'elenco dei sistemi interessati aiuta a scoprire le tattiche e l'intento dell'autore
dell'attacco e, soprattutto, riduce il tempo utile di persistenza che gli viene concesso. I dispositivi
che ricevono il file fanno tutti parte dello stesso gruppo di lavoro, ad esempio la divisione finanze
o sviluppo software? Questo potrebbe indicare il tipo di dati riservati a cui mira l'aggressore. I sistemi
condividono un profilo di applicazioni che potrebbe indicare vulnerabilità zero-day?
Condividere informazioni di intelligence ovunque, all'istante
McAfee Threat Intelligence Exchange aiuta le aziende ad adeguare le loro difese e a contenere
totalmente la minaccia. Quando un client McAfee Threat Intelligence Exchange su host decide
di bloccare o di autorizzare l'esecuzione, la sua decisione aggiorna i record de McAfee Threat
Intelligence Exchange Server. Le informazioni ricavate da ciascuna decisione possono trovare
applicazione in svariati modi. McAfee Threat Intelligence Exchange comunica istantaneamente
la reputazione e le specifiche di certe decisioni a tutte le contromisure, fra cui le protezioni degli
endpoint, le difese del gateway come McAfee Network Security Platform e i prodotti di terze
parti. In questo modo tutti i prodotti di sicurezza si aggiornano istantaneamente e imparano l'uno
dall'altro, fornendo una protezione omogenea e personalizzata a livello locale con una velocità
ineguagliata da qualsiasi altro produttore o organizzazione esterna.
Poiché di norma un attacco sofisticato cerca di individuare più sistemi vulnerabili, questo tipo di
condivisione avanzata dell'intelligence nel sistema impedisce agli altri host di essere compromessi
o presi di mira da un attacco specifico. McAfee Threat Intelligence Exchange può anche trasmettere
le informazioni appena ottenute a livello locale al cloud McAfee GTI, per aiutare altri utenti
a difendersi da attacchi analoghi.
Attacchi mirati avanzati: ci vuole un sistema
7
White paper
Che cosa desideri sapere?
(continua)
QQ
QQ
QQ
QQ
QQ
Quanti file sono stati
identificati come malevoli
nelle ultime ore?
Quanti dei file presenti
nei miei ambienti sono
classificati come innocui,
pericolosi o di natura
indefinita?
Rispetto alla popolazione
complessiva dei file, qual
è la percentuale di file
innocui, pericolosi o di
natura indefinita a seconda
della versione del sistema
operativo Microsoft
Windows installato nel
mio ambiente?
Quali sono i file meno
prevalenti nel mio
ambiente (anomali,
potenzialmente nocivi)?
I casi di utilizzo descritti di seguito mostrano come McAfee Threat Intelligence Exchange e Data
Exchange Layer cambino la dinamica di rilevamento delle minacce, ottimizzando le informazioni utili
e la protezione proattiva, dal momento dell'individuazione a quello del contenimento.
Situazione 1: azione in base alle informazioni collettive
Il primo caso di utilizzo consente agli endpoint di proteggersi in base all'intelligence sulle minacce
ottimizzata localmente. Questa personalizzazione avrebbe permesso ai commercianti del circuito
VISA di implementare rapidamente una protezione automatica contro gli hash pubblicati da VISA nel
2013 in relazione a un attacco mediante memory parser1.
Gli amministratori delle società ricevono il comunicato e inseriscono i nuovi file di hash in McAfee
Threat Intelligence Exchange tramite l'interfaccia di gestione del software. In seguito, quando un
sistema host incappa nel file sospetto, il modulo McAfee Threat Intelligence Exchange ne impedisce
l'esecuzione in base alle informazioni personalizzate ("questi hash sono malevoli") ricevute grazie
all'intelligence collettiva sulle minacce.
McAfee Global
Threat Intelligence
VISA
Componenti di base
L'attacco è diretto a
un sistema operativo
Microsoft Windows
specifico?
McAfee ePO
McAfee Threat
Intelligence
Exchange Server
McAfee Data Exchange Layer
Modulo VirusScan
Enterprise di McAfee
Threat Intelligence Exchange
Figura 4. I dati di terzi possono essere una fonte preziosa di intelligence.
Il malware o i file sospetti scoperti dai tecnici interni delle aziende possono essere bloccati
immediatamente, senza che sia necessario inviare un campione e aspettare di ricevere un
aggiornamento delle firme dell'antivirus dal produttore. I casi in cui altri endpoint vengono
a contatto con quel file vanno a incrementare il conteggio della prevalenza memorizzato in McAfee
Threat Intelligence Exchange Server, un'informazione che aiuta gli amministratori a capire se si
trovano sotto attacco. L'aspetto interessante, per l'organizzazione, è il fatto che da un'indicazione
di compromissione (in questo caso un file hash) può derivare una quantità enorme di preziose
informazioni condivisibili in tempo reale.
Inoltre il modulo McAfee Threat Intelligence Exchange intercetta il tentativo di esecuzione di un
file, non semplicemente le operazioni di lettura o scrittura. La protezione dall'esecuzione mette al
riparo da comportamenti insoliti. Inoltre, questa funzionalità consente a McAfee Threat Intelligence
Exchange di acquisire preziose informazioni sugli indicatori di attacco (IoA) che si possono
condividere in tutto l'ambiente non appena vengono individuate. A differenza dell'indicatore di
compromissione (IoC), che riflette un singolo evento negativo, statico e noto, un IoA diventa negativo
solo in base a ciò che significa per te e la situazione. Un indicatore di attacco è una costruzione unica
di attributi sconosciuti, IoC e informazioni contestuali (comprese le informazioni sull'organizzazione
e il rischio) in un quadro dinamico e situazionale che guida la reazione. McAfee Threat Intelligence
Exchange rileva e allerta in merito agli elementi nuovi e insoliti di un ambiente, che potrebbero non
essere ancora associati a una minaccia o compromissione nota.
Attacchi mirati avanzati: ci vuole un sistema
8
White paper
Situazione 2: aggiungere McAfee Advanced Threat Defense per l'analisi approfondita
Un aggressore a cui facciano gola i dati della tua azienda investe in tecniche di programmazione e
in exploit zero-day sofisticati, anti-rilevamento. Il file di malware che ne deriva può essere unico nel
suo genere o essere stato osservato solo poche volte. Questa rarità può impedire alle contromisure
tradizionali basate sulla firma o sulla reputazione di rilevare la minaccia con precisione. Tuttavia,
se un file sospetto non viene dichiarato pericoloso attraverso le risorse esistenti di McAfee Threat
Intelligence Exchange, la tecnologia può fugare qualsiasi dubbio trasmettendo il file a McAfee
Advanced Threat Defense per un'analisi più approfondita.
McAfee Advanced Threat Defense aggiunge il rilevamento per gli attacchi mirati avanzati con un
approccio a più livelli che sfrutta le innovative capacità di decostruzione in tempo reale del malware,
fra cui una robusta decompressione che svela le tecniche evasive per esporre il codice eseguibile
originale e determinare i comportamenti voluti. Mentre le sandbox di altri produttori possono
facilmente essere ingannate ed eluse anche da semplici tattiche di codifica del malware, McAfee
Advanced Threat Defense combina diverse tecniche per dare origine a una soluzione unica nel
suo genere: decostruzione del codice statico in tempo reale e analisi dinamica (sandboxing) per
rilevare l'aggressore ritorcendogli contro le sue stesse tecniche di occultamento. Ciò rappresenta
la tecnologia antimalware più robusta e avanzata presente sul mercato, in grado di raggiungere
efficacemente l'equilibrio fra le esigenze di sicurezza e di prestazioni.
McAfee
Global Threat
Intelligence
Feed di
terze parti
McAfee
McAfee
Threat Intelligence
Advanced
Exchange Server Threat Defense
SÌ
McAfee
ePO
NO
Modulo Endpoint
di McAfee Threat
Intelligence
Exchange
Modulo
Threat Intelligence
Exchange di
McAfee VirusScan
Figura 5. Sintesi di informazioni e reputazione provenienti da cloud, rete ed endpoint.
Sfruttare le comunicazioni da endpoint a rete e da rete a endpoint.
Quando si utilizza McAfee Threat Intelligence Exchange insieme a McAfee Advanced Threat
Defense, l'immunizzazione contro gli attacchi mirati avanzati è ancora più efficace. Si crea una
moderna e approfondita difesa antiminacce: una combinazione di capacità di valutazione basate su
comportamento, reputazione e firme, sia sulla rete che sugli endpoint.
Gli endpoint McAfee possono ricevere il comando di bloccare i payload dalla reputazione
sconosciuta, quindi di passare i file a McAfee Advanced Threat Defense per l'esame e il verdetto:
colpevole o innocente. Se il file viene dichiarato pericoloso, il sistema lo comunica a tutte le
contromisure presenti nell'organizzazione mediante un aggiornamento della reputazione attraverso
Data Exchange Layer. Ad esempio, gli endpoint abilitati a McAfee Threat Intelligence Exchange
Attacchi mirati avanzati: ci vuole un sistema
9
White paper
godranno ora di una protezione proattiva contro i futuri tentativi di esecuzione del file, mentre
i gateway di rete potranno impedire al file di introdursi in azienda. I rilevamenti presso i gateway di
rete seguono questo ciclo analitico centralizzato, oltre a educare gli endpoint.
La condivisione di informazioni e reputazione dimostra il vantaggio della piattaforma Security
Connected da endpoint a rete, con l'eliminazione dei punti ciechi dalla consegna fuori banda dei
payload. Collegando soluzioni di sicurezza McAfee che operano su vettori diversi si riducono
drasticamente i tempi di esposizione al nuovo malware, l'intervallo fra individuazione e remediation
e la necessità di riprogettare l'architettura di rete.
L'uso dell'integrazione con VirusTotal per valutare gli input e le misurazioni provenienti dagli
antimalware degli altri produttori e per capire come affrontare una potenziale minaccia specifica nel
proprio ambiente.
Situazione 3: rilevamento precoce degli attacchi con McAfee Enterprise Security Manager
Infine, molte aziende desiderano sfruttare la visibilità e la correlazione garantite da McAfee
Enterprise Security Manager per approfondire in modo più rapido e più veloce la conoscenza
del panorama delle minacce all'interno del proprio ambiente. Il SIEM (Security Information and
Event Management) di McAfee Enterprise Security Manager raccoglie i dati dettagliati provenienti
da McAfee Threat Intelligence Exchange e McAfee Advanced Threat Defense e, tramite il motore
database ad alte prestazioni brevettato, le correla con i registri e gli eventi di centinaia di fonti.
Mentre si cerca di comprendere gli attacchi e reagire, questa serie di dati ampia e granulare
permette di rispondere alla domanda: "Quali sono gli host nel mio ambiente i cui comportamenti
corrispondono alle ultime informazioni arrivate?". Ogni volta che McAfee Threat Intelligence
Exchange identifica un nuovo evento ostile (un "primo episodio") e dà ai client l'istruzione di
esecuzione o di blocco, McAfee Enterprise Security Manager porta l'evento all'attenzione degli
amministratori e attiva i flussi di lavoro della mitigazione, come l'aggiornamento delle policy degli
endpoint, pressoché in tempo reale. Concatenando i processi di rilevamento/reazione/prevenzione
in un anello chiuso, i flussi di lavoro e gli elenchi di sorveglianza di McAfee Enterprise Security
Manager convertono McAfee Threat Intelligence Exchange e i risultati del SIEM per migliorare
protezione e gestione del rischio migliori nella tua organizzazione.
Riprodurre il passato, aggiustare il futuro
McAfee Enterprise Security Manager usa gli artefatti di McAfee Advanced Threat Defense e McAfee
Threat Intelligence Exchange per cercare gli eventi nei propri archivi e avvisare sugli eventi futuri
correlati. Questo consente di tornare indietro nel tempo e di sfruttare l'intelligence appena acquisita
nel presente per identificare passate interazioni malevole che all'epoca potevano essere sfuggite al
rilevamento.
Ad esempio, il file hash di un qualsiasi file dichiarato pericoloso mediante McAfee Threat Intelligence
Exchange o McAfee Advanced Threat Defense può essere caricato in un elenco di sorveglianza del
SIEM. In seguito McAfee Enterprise Security Manager confronta le informazioni contenute nell'elenco
con gli eventi storici che sono stati indicizzati o con nuovi eventi in tempo reale. Poiché i file hash
sono generati da numerosi prodotti — non solamente da McAfee Advanced Threat Defense, ma
anche da soluzioni di monitoraggio dell'integrità dei file come McAfee Change Control, sistemi
di prevenzione delle intrusioni host e di rete e motori antimalware di gateway web — il file hash
condiviso aumenta la sensibilità alle attività in tutta l'organizzazione. McAfee Threat Intelligence
Exchange comunica la reputazione a questi sistemi per imporre il blocco, mentre McAfee Enterprise
Security Manager offre un ambiente in cui è possibile ricostruire i singoli incidenti per ottenere un
quadro generale completo delle attività malevole.
Oltre ai file hash, McAfee Enterprise Security Manager sfrutta altri IoA generati da McAfee Advanced
Threat Defense e da McAfee Threat Intelligence Exchange. Questi due sistemi forniscono altre
informazioni di intelligence associate ai loro risultati quali nomi di file, indirizzi IP, hash di payload,
prevalenza e nome dell'host.
Attacchi mirati avanzati: ci vuole un sistema
10
White paper
Inoltre, i rapporti di McAfee Advanced Threat Defense contengono ancora più informazioni sui
file associati agli attacchi. Quando McAfee Advanced Threat Defense e McAfee Enterprise Security
Manager sono entrambi implementati, quest'ultimo attiva dei filtri basati sui file malevoli individuati
da McAfee Advanced Threat Defense, quindi analizza gli eventi andando alla ricerca di questi
file secondo varie caratteristiche. Dopo avere individuato i file, un ricercatore potrebbe filtrare
ulteriormente quel sottoinsieme di dati con gli indirizzi IP e i nomi di file forniti anch'essi da McAfee
Advanced Threat Defense. McAfee Enterprise Security Manager segnala tutti i risultati storici
specifici degli attributi generati da McAfee Advanced Threat Defense ed esegue il monitoraggio per
individuare eventuali eventi successivi.
Mentre McAfee Enterprise Security Manager identifica gli eventi in una sequenza di attacco, fa
scattare automaticamente contenimento, remediation e adattamento. Per esempio, gli host
individuati come coinvolti possono ricevere immediatamente un aggiornamento delle policy, una
messa in quarantena o una scansione.
Cambiare la dinamica della lotta
Questi casi di utilizzo illustrano come incanalare l'intelligence migliore, più completa e più utile
nelle tue difese e come utilizzarla per controllare automaticamente gli interventi di protezione.
Puoi collegare le funzioni di rilevamento, analisi e protezione a livello di dati e di flusso di
lavoro per favorire l'apprendimento reciproco e migliorare la protezione in tempo reale della
tua organizzazione. In più, puoi comprendere le minacce, andarne a caccia ed eliminarle in
modo efficace in tutto il tuo ambiente, operando in base a informazioni di intelligence dirette ed
esaminando il passato per proteggerti in futuro.
Con l'introduzione delle informazioni di intelligence adattive e delle comunicazioni in tempo reale
nella piattaforma Security Connected, McAfee cambia la dinamica della lotta contro gli attacchi
mirati avanzati. McAfee Threat Intelligence Exchange arricchisce le informazioni sulle minacce
per generare gli indicatori di attacco e agire in base a essi, mentre Data Exchange Layer aggiunge
contesto e coordinamento alla piattaforma Security Connected. Con McAfee Advanced Threat
Defense e McAfee Enterprise Security Manager, oltre che con la sua vasta gamma di contromisure da
endpoint a rete, McAfee continua a offrire la protezione dalle minacce più completa del settore: un
sistema ottimizzato per ottenere un vantaggio sostenibile contro gli attacchi mirati avanzati.
Per ulteriori informazioni, visita:
www.mcafee.com/it/solutions/incident-response/comprehensive-threat-protection.aspx
www.mcafee.com/it/solutions/incident-response/index.aspx
www.mcafee.com/it/products/threat-intelligence-exchange.aspx
www.mcafee.com/it/products/advanced-threat-defense.aspx
www.mcafee.com/it/products/siem/index.aspx
Informazioni su Intel Security
McAfee è ora parte di Intel Security. Con la propria strategia Security Connected, l’approccio innovativo
alla sicurezza potenziata dall’hardware e l’ineguagliato servizio Global Threat Intelligence, Intel
Security è impegnata senza sosta nello sviluppo di soluzioni e servizi di sicurezza proattiva comprovati
che proteggono sistemi, reti e dispositivi portatili per l’utilizzo aziendale e personale a livello mondiale.
Intel Security combina l’esperienza e la competenza di McAfee con l’innovazione e le prestazioni
comprovate di Intel per rendere la sicurezza un ingrediente essenziale di ogni architettura e di ogni
piattaforma di elaborazione. La missione di Intel Security è di assicurare a chiunque la tranquillità di
vivere e lavorare in modo sicuro e protetto nel mondo digitale. www.intelsecurity.com.
1. http://usa.visa.com/download/merchants/alert-prevent-grocer-malware-attacks-04112013.pdf
McAfee. Part of Intel Security.
Via Fantoli, 7
20138 Milano
Italia
(+39) 02 554171
www.intelsecurity.com
Intel e il logo Intel sono marchi registrati di Intel Corporation negli Stati Uniti e/o in altri Paesi. McAfee, il logo McAfee, ePolicy Orchestrator, McAfee ePO
e VirusScan sono marchi registrati o marchi di McAfee, Inc. o sue filiali negli Stati Uniti e in altri Paesi. Altri marchi e denominazioni potrebbero essere
rivendicati come proprietà di terzi. I piani, le specifiche e le descrizioni contenuti nel presente documento hanno unicamente scopo informativo, sono
soggetti a variazioni senza preavviso e sono forniti senza alcun tipo di garanzia, esplicita o implicita. Copyright © 2014 McAfee, Inc.
60945wp_it-takes-a-system_0214B