Attacchi mirati avanzati: ci vuole un sistema
Transcript
Attacchi mirati avanzati: ci vuole un sistema
White paper Attacchi mirati avanzati: ci vuole un sistema La condivisione di informazioni sul contesto in tempo reale supporta il rilevamento precoce degli attacchi e la prevenzione adattiva delle minacce. White paper Sommario Sintesi. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 Raggiungere un vantaggio sostenibile. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 Gli elementi di base della prevenzione adattiva delle minacce. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 Immunizzazione e adattamento, end-to-end. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 Data Exchange Layer: coordinamento in tempo reale. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 McAfee Threat Intelligence Exchange: attingere al potere della conoscenza. . . . . . . . . . . . . . . . . . . . . . 6 Potenziare la protezione esistente degli endpoint. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 Analisi di dati completi per chiarezza e rapidità della risposta. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 Condividere informazioni di intelligence ovunque, all'istante. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 Situazione 1: azione in base alle informazioni collettive. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 Situazione 2: aggiungere McAfee Advanced Threat Defense per l'analisi approfondita. . . . . . . . . . . . 9 Situazione 3: rilevamento precoce degli attacchi con McAfee Enterprise Security Manager . . . . . 10 Cambiare la dinamica della lotta. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 Attacchi mirati avanzati: ci vuole un sistema 2 White paper Sintesi Per il secondo anno consecutivo durante la Conferenza Black Hat, McAfee, parte di Intel Security, ha intervistato i professionisti della sicurezza per misurare i loro problemi con il malware avanzato utilizzato negli attacchi a bassa prevalenza e mirati. Nonostante molti investimenti in prodotti "infallibili", il rilevamento è rimasto in cima all'elenco dei problemi. Fondamentale per il rilevamento è filtrare il segnale dal rumore, mentre al secondo posto tra i principali problemi troviamo l'evitare i falsi positivi per il 25% degli intervistati. Una protezione e una risposta tempestiva continuano a rappresentare le maggiori frustrazioni. 35 35% 36% 2013 2014 28 25% 20% 21 22% 17% 13% 14 11% 7 9% 5% 3% 4% 0 Rilevamento Rapporto Protezione segnale(in tempo rumore reale o blocco (alla ricerca tempestivo) di falsi positivi) Risposta Risoluzione danni tempestiva (sradicare il (notifica di malware violazione) dall'ambiente) Altro Figura 1. I partecipanti a Black Hat hanno indicato di avere ancora problemi nel proteggersi dal malware avanzato. Queste problematiche derivano da un'integrazione insufficiente tra controllo, acquisizione di informazioni, analitiche ed elementi di imposizione dell'architettura di sicurezza. Queste sono le basi della tecnologia del processo di prevenzione/rilevamento/risposta agli eventi. L'integrazione migliora l'efficacia, come la condivisione attiva dei dati e i processi accelerati di controlli incrociati permettono ad ogni controllo di sicurezza di sfruttare i punti di forza e le esperienze di altri in merito. Si tratta di un modello di prevenzione adattiva delle minacce che sta rapidamente sostituendo le architetture tradizionali non integrate, dal momento che gli addetti alla sicurezza lavorano per ottenere un vantaggio sostenibile contro le minacce complesse. Piuttosto che trattare ogni interazione del malware come un evento a se stante, un modello di prevenzione adattiva delle minacce integra processi e dati attraverso un livello di messaggistica efficiente. In questo modo si dispone di livelli rafforzati di controllo e analisi informata da forme estese di informazioni e si collegano i componenti end-to-end per generare e utilizzare la maggior quantità di informazioni fruibili possibile da ogni contatto e processo. Il passaggio a una prevenzione adattiva delle minacce aiuta a superare le recinzioni funzionali fin troppo comuni che frenano il rilevamento, la risposta e qualsiasi possibilità di una migliore prevenzione. L'isolamento di dati e controlli singoli complica le operazioni e aumenta il rischio. Per esempio, i dati generati da ogni controllo e il contesto di ciascuna situazione sono raccolti male e raramente condivisi. Un firewall può bloccare la ricezione di un payload da un dominio non attendibile perché conosce le comunicazioni, non perché conosca il malware. Se arriva da un dominio attendibile quel pacchetto verrà ammesso. Allo stesso modo, l'antimalware potrebbe bloccare dei payload sconosciuti, in arrivo da indirizzi notoriamente malevoli, se sa vedere oltre o all'interno del payload per considerare gli indirizzi IP. Attacchi mirati avanzati: ci vuole un sistema 3 White paper Se non integrate, le funzioni di sicurezza mantengono le aziende in uno stato di emergenza, reagendo costantemente e facendo dispiegare ingenti risorse umane a ogni violazione. L'inefficienza del processo esaurisce le scarse risorse investigative e allunga i tempi di esposizione di dati e reti agli aggressori più determinati. Queste isole di prodotti, dati e operazioni di sicurezza lasciano ampio spazio agli aggressori dotati di armi sofisticate per intrufolarsi nel rumore di fondo indistinto che viene a generarsi, nascondendosi e persistendo all'interno delle aziende. Raggiungere un vantaggio sostenibile Cos'è un indicatore di attacco? È una costruzione unica di attributi sconosciuti, IoC e informazioni contestuali, comprese le informazioni sull'azienda e il rischio, in un quadro dinamico e situazionale che guida la reazione. Con McAfee® Threat Intelligence Exchange e la piattaforma McAfee Security Connected, i professionisti della sicurezza dispongono ora di un sistema ad alte prestazioni che integra flussi di lavoro e dati per superare l'isolamento delle operazioni. Il modello si sposta dall'emergenza a una prevenzione delle minacce che sia agile e alimentata dalle minacce. Prese nel loro insieme, le informazioni sulle minacce provenienti dalle fonti globali, locali e di terzi permettono di prendere decisioni esecutive più intelligenti, eseguendo al contempo un'analisi approfondita dei file sospetti. Inviando le analisi contestuali – che chiamiamo indicatori di attacco (IoA) – ai sistemi di rilevamento intervettoriale, di contenimento e di remediation, gli analisti di sicurezza ottengono un vantaggio sostenibile contro gli attacchi mirati. Sfruttando le comunicazioni in tempo reale e integrandole negli investimenti in sicurezza già effettuati con le soluzioni McAfee e di terzi, McAfee aiuta la tua organizzazione a impedire le violazioni a costi contenuti e ridurre la lacuna fra l'individuazione e il contenimento. Questo documento descrive quattro casi di utilizzo che sfruttano la protezione e i risparmi sui costi offerti da questo approccio all'avanguardia con McAfee Threat Intelligence Exchange: QQ QQ QQ QQ La maggiore efficacia dell'endpoint grazie alle azioni possibili in base alle informazioni collettive sulle minacce (integrazione con VirusScan® Enterprise e SiteAdvisor® Enterprise). L'uso dell'integrazione con VirusTotal per valutare gli input e le misurazioni provenienti dagli antimalware degli altri produttori e per capire come affrontare una potenziale minaccia specifica nel proprio ambiente. Il miglioramento del rilevamento avanzato del malware e della reazione aggiungendo la sandbox dinamica e l'analisi statica ed eseguendo la connessione ai componenti della rete (aggiungendo McAfee Advanced Threat Defense e i prodotti per il gateway). L'inserimento delle informazioni collettive sulle minacce nel contesto delle sequenze degli attacchi passati e in corso per agire immediatamente: bloccando gli attacchi attivi, indagando gli eventi passati ed eseguendo il monitoraggio contro quelli futuri (aggiungendo McAfee Enterprise Security Manager). Gli elementi di base della prevenzione adattiva delle minacce McAfee Threat Intelligence Exchange usa McAfee Data Exchange Layer, un tessuto di comunicazioni bidirezionali che consente lo scambio di informazioni sulla sicurezza e la protezione adattiva grazie alla semplicità di integrazione fra i prodotti e alla condivisione del contesto. McAfee Threat Intelligence Exchange raccoglie e condivide le informazioni sulla reputazione e prende decisioni sulla protezione in tempo reale attraverso la rete. La struttura di Security Connected prevede da sempre l'automazione e l'integrazione. McAfee Threat Intelligence Exchange sfrutta Data Exchange Layer per modificare la dinamica di prevenzione delle minacce grazie alla possibilità di contestualizzare un volume maggiore di dati di intelligence e al coordinamento in tempo reale in ogni parte dell'ambiente. Immunizzazione e adattamento, end-to-end Gli addetti alla sicurezza delle aziende possono controllare localmente la classificazione del malware e delle minacce potenziali, mentre i componenti di sicurezza condividono istantaneamente l'analisi dei campioni e aggiornano di conseguenza l'imposizione. McAfee Threat Intelligence Exchange utilizza Data Exchange Layer per integrare endpoint, gateway e altri Attacchi mirati avanzati: ci vuole un sistema 4 White paper componenti di sicurezza in un sistema di difesa completamente sviluppato contro gli attacchi mirati avanzati. Si riducono i rischi, si crea un vantaggio sostenibile tramite protezioni ottimizzate e aggiornate contro gli attacchi futuri, infine si riducono al minimo i costi e i carichi di lavoro associati alle protezioni isolate, nel caso degli attacchi mirati avanzati. GESTIONE DELLA SICUREZZA SICUREZZA DEI CONTENUTI • McAfee Enterprise Security Manager (SIEM) • McAfee Email Gateway • ePolicy Orchestrator • McAfee Data Loss Prevention • McAfee Threat Intelligence Exchange • McAfee Vulnerability Manager SICUREZZA DELLA RETE • McAfee Web Gateway SICUREZZA DEGLI ENDPOINT • Suite McAfee Endpoint Security • McAfee Advanced Threat Defense • McAfee Data Center Security Suite • McAfee Network Security Platform (IPS) • McAfee Embedded Security • McAfee Next Generation Firewall • McAfee Device Control • McAfee Firewall Enterprise • McAfee Endpoint Encryption • Protezione potenziata dall'hardware Figura 2. McAfee Threat Intelligence Exchange e Data Exchange Layer creano una struttura dinamica per il vantaggio sostenibile nella piattaforma Security Connected. I componenti di McAfee Threat Intelligence Exchange operano come un singolo sistema collaborativo per condividere immediatamente i dati pertinenti fra rete, endpoint, dati, applicazioni e altre soluzioni di sicurezza, consentendo lo scambio di intelligence sulla sicurezza e l'implementazione della protezione adattiva. McAfee Threat Intelligence Exchange riduce il ritardo fra l'individuazione e il contenimento degli attacchi mirati avanzati da giorni, settimane e mesi a pochi millisecondi. Data Exchange Layer: coordinamento in tempo reale La facilità di integrazione garantita da Data Exchange Layer riduce i costi di esercizio e di implementazione. Invece dell'integrazione tramite singole API di basso livello, il tessuto di comunicazioni di Data Exchange Layer consente ai prodotti di integrarsi attraverso un modello comune di informazioni che supporta svariate metodologie di comunicazioni. Grazie a queste funzionalità, Data Exchange Layer supporta la configurazione automatica dei prodotti, riducendo gli errori e la necessità di intervento. Data Exchange Layer fornisce un tessuto di comunicazioni bidirezionali in tempo reale, nel quale i componenti connessi lo rimangono in maniera permanente. Tramite un livello di astrazione, fra endpoint, gateway e altri componenti di sicurezza resta attiva una connessione che consente la condivisione di intelligence in tempo reale, indipendentemente dalla posizione fisica degli elementi. Con questo modello è possibile trasmettere istruzioni di sicurezza command-and-control da controlli di sicurezza on-premise a nodi remoti in altre sedi e persino a nodi situati dietro dispositivi remoti che utilizzano il NAT (Network Address Translation), come firewall e gateway domestici. La protezione delle comunicazioni è garantita dalla crittografia del traffico con il protocollo TLS (Transport Layer Security), dall'obbligatorietà di una robusta autenticazione reciproca basata sui certificati di tutti i partecipanti e dall'imposizione dell'autorizzazione da parte del tessuto. Questo modello garantisce la sicurezza dei payload e la protezione del tessuto stesso da attacchi esterni o appropriazione indebita. Attacchi mirati avanzati: ci vuole un sistema 5 White paper McAfee Global Threat Intelligence McAfee ePO Feed di terze parti sulle minacce McAfee Threat Intelligence Exchange Server McAfee Advanced Threat Defense McAfee Enterprise Security Manager Prodotti partner McAfee Data Exchange Layer Modulo VirusScan Enterprise di McAfee Threat Intelligence Exchange McAfee Next Generation Firewall McAfee Email Gateway McAfee Network Security Platform Altri prodotti McAfee Web Gateway Figura 3. Data Exchange Layer costituisce un'infrastruttura di comunicazioni in tempo reale che permette ai componenti di sicurezza di operare come un'entità unica. McAfee Threat Intelligence Exchange: attingere al potere della conoscenza McAfee Threat Intelligence Exchange permette agli amministratori di personalizzare facilmente le complete informazioni sulle minacce e agire di conseguenza. Si tratta dell'aggregazione delle fonti di informazioni globali –McAfee Global Threat Intelligence (McAfee GTI), VirusTotal e i feed di terze parti – e dei dati storici e in tempo reale provenienti da endpoint, gateway e altri componenti di sicurezza. Puoi assemblare, ignorare, potenziare e ottimizzare le informazioni delle fonti di intelligence che guidano gli interventi nel tuo ambiente. Con lo "smart listing" puoi implementare blacklist e whitelist di file e certificati, di certificati assegnati e utilizzati dall'organizzazione e così via. L'aggregazione e la gestione dell'intelligence locale sulle minacce consentono a McAfee Threat Intelligence Exchange di inquadrare ogni minaccia nel contesto delle attività e dell'ambiente operativo di ciascuna organizzazione. I metadati raccolti dagli endpoint, dai gateway e dai componenti di sicurezza vengono combinati, garantendo visibilità e consentendo azioni di protezione adeguate allo stato di minaccia dell'organizzazione. Potenziare la protezione esistente degli endpoint Mentre le tradizionali attività di analisi forense avanzata richiedono strumenti e addestramento specializzati e una buona dose di lavoro manuale, McAfee Threat Intelligence Exchange trasforma le informazioni di intelligence in misure di protezione automatica basate sulle regole definite dal reparto IT. McAfee Threat Intelligence Exchange protegge gli endpoint in modo rivoluzionario estendendo VirusScan Enterprise per consentire decisioni locali e contestuali sull'esecuzione dei file. Quando un host tenta di eseguire un file: QQ QQ QQ VirusScan Enterprise ne controlla le firme locali; se il file è sconosciuto, il modulo McAfee Threat Intelligence Exchange sull'host interroga McAfee Threat Intelligence Exchange Server per conoscere i metadati del file stesso; se non si trova traccia del file, McAfee Threat Intelligence Exchange Server interroga la rete McAfee GTI su cloud, restituendo la reputazione globale all'host interrogante; Attacchi mirati avanzati: ci vuole un sistema 6 White paper QQ QQ Che cosa desideri sapere? Quando un file inizialmente ignoto viene in seguito dichiarato pericoloso grazie alle informazioni provenienti dal cloud, da una fonte locale o da un'indagine interna, McAfee Threat Intelligence Exchange Server offre dettagli utili sui comportamenti ostili per aiutare chi deve gestire le crisi ad affrontare le situazioni in atto: QQ QQ QQ QQ QQ QQ QQ QQ QQ Il file si trova su uno dei miei endpoint? (Prevalenza). È stato eseguito? (Fondamentale per distinguere gli endpoint infetti da quelli non infetti). Dove è stato eseguito? (Elenco dei sistemi a rischio in base alla priorità). Qual è stato il primo sistema a essere "infettato"? (Primo episodio). Quali dispositivi è probabile che siano compromessi perché hanno eseguito un file di cui ora si conosce la pericolosità? Come si sta diffondendo il malware nel mio ambiente? (Traiettoria del file). Dove sono i file che gli altri prodotti di sicurezza non bloccano? Quali file di natura indefinita si possono classificare come pericolosi o innocui? Che reputazione globale ha un determinato file rispetto alla reputazione locale dell'azienda? McAfee Threat Intelligence Exchange Server risponde alla query utilizzando i metadati sul file già raccolti e memorizzati: la risposta contiene valori specifici per l'azienda quali reputazione, prevalenza ed età; il modulo McAfee Threat Intelligence Exchange usa poi le regole per combinare il contesto osservato localmente (file, processo e attributi ambientali) con le informazioni attualmente disponibili sulle minacce e assegnare un punteggio al rischio; QQ il modulo client applica le policy aziendali per decidere se eseguire il file o meno; QQ McAfee Threat Intelligence Exchange Server registra l'evento nella sua knowledgebase; QQ se un file sconosciuto dovesse essere identificato in seguito come nocivo, anche VirusScan Enterprise può ricevere il comando di ripulire l'host e interrompere così l'esecuzione di un processo pericoloso. Le policy permettono di personalizzare il livello di tolleranza del rischio sull'endpoint, con la definizione di varie condizioni di esecuzione. Ad esempio, la policy potrebbe essere rigida al punto da imporre tolleranza zero per i file ignoti o di natura indefinita. È sufficiente impostarla in modo che impedisca l'accesso a qualsiasi file che non abbia una reputazione nota e accettabile. Ogni società può avere idee diverse in relazione al rischio che corre autorizzando l'accesso a un file anziché metterlo in quarantena o eliminarlo tout court. La tolleranza in genere varia a seconda della classe dei vari sistemi e di quanto sono critici per l'azienda. Se in seguito l'amministratore decide che il file non rappresenta un pericolo, può aggiungere l'applicazione bloccata a una whitelist e passare oltre. Gli amministratori possono anche lasciare che siano gli utenti a decidere se autorizzare l'esecuzione del file. Analisi di dati completi per chiarezza e rapidità della risposta L'intelligence collettiva sulle minacce — globale, locale, di terzi e generata manualmente — memorizzata con McAfee Threat Intelligence Exchange Server fornisce visibilità, rispondendo alle domande chiave con informazioni istantanee che consentono di intervenire. Tale chiarezza fornisce tempestivamente delle prove definitive che permettono di agire per proteggere l'azienda senza dover aspettare il verdetto di una terza parte, lasciando così esposta l'azienda stessa. Ad esempio, i dati sulla prevalenza nell'azienda mostrano tutti i dispositivi che hanno richiesto uno specifico file. L'elenco dei sistemi interessati aiuta a scoprire le tattiche e l'intento dell'autore dell'attacco e, soprattutto, riduce il tempo utile di persistenza che gli viene concesso. I dispositivi che ricevono il file fanno tutti parte dello stesso gruppo di lavoro, ad esempio la divisione finanze o sviluppo software? Questo potrebbe indicare il tipo di dati riservati a cui mira l'aggressore. I sistemi condividono un profilo di applicazioni che potrebbe indicare vulnerabilità zero-day? Condividere informazioni di intelligence ovunque, all'istante McAfee Threat Intelligence Exchange aiuta le aziende ad adeguare le loro difese e a contenere totalmente la minaccia. Quando un client McAfee Threat Intelligence Exchange su host decide di bloccare o di autorizzare l'esecuzione, la sua decisione aggiorna i record de McAfee Threat Intelligence Exchange Server. Le informazioni ricavate da ciascuna decisione possono trovare applicazione in svariati modi. McAfee Threat Intelligence Exchange comunica istantaneamente la reputazione e le specifiche di certe decisioni a tutte le contromisure, fra cui le protezioni degli endpoint, le difese del gateway come McAfee Network Security Platform e i prodotti di terze parti. In questo modo tutti i prodotti di sicurezza si aggiornano istantaneamente e imparano l'uno dall'altro, fornendo una protezione omogenea e personalizzata a livello locale con una velocità ineguagliata da qualsiasi altro produttore o organizzazione esterna. Poiché di norma un attacco sofisticato cerca di individuare più sistemi vulnerabili, questo tipo di condivisione avanzata dell'intelligence nel sistema impedisce agli altri host di essere compromessi o presi di mira da un attacco specifico. McAfee Threat Intelligence Exchange può anche trasmettere le informazioni appena ottenute a livello locale al cloud McAfee GTI, per aiutare altri utenti a difendersi da attacchi analoghi. Attacchi mirati avanzati: ci vuole un sistema 7 White paper Che cosa desideri sapere? (continua) QQ QQ QQ QQ QQ Quanti file sono stati identificati come malevoli nelle ultime ore? Quanti dei file presenti nei miei ambienti sono classificati come innocui, pericolosi o di natura indefinita? Rispetto alla popolazione complessiva dei file, qual è la percentuale di file innocui, pericolosi o di natura indefinita a seconda della versione del sistema operativo Microsoft Windows installato nel mio ambiente? Quali sono i file meno prevalenti nel mio ambiente (anomali, potenzialmente nocivi)? I casi di utilizzo descritti di seguito mostrano come McAfee Threat Intelligence Exchange e Data Exchange Layer cambino la dinamica di rilevamento delle minacce, ottimizzando le informazioni utili e la protezione proattiva, dal momento dell'individuazione a quello del contenimento. Situazione 1: azione in base alle informazioni collettive Il primo caso di utilizzo consente agli endpoint di proteggersi in base all'intelligence sulle minacce ottimizzata localmente. Questa personalizzazione avrebbe permesso ai commercianti del circuito VISA di implementare rapidamente una protezione automatica contro gli hash pubblicati da VISA nel 2013 in relazione a un attacco mediante memory parser1. Gli amministratori delle società ricevono il comunicato e inseriscono i nuovi file di hash in McAfee Threat Intelligence Exchange tramite l'interfaccia di gestione del software. In seguito, quando un sistema host incappa nel file sospetto, il modulo McAfee Threat Intelligence Exchange ne impedisce l'esecuzione in base alle informazioni personalizzate ("questi hash sono malevoli") ricevute grazie all'intelligence collettiva sulle minacce. McAfee Global Threat Intelligence VISA Componenti di base L'attacco è diretto a un sistema operativo Microsoft Windows specifico? McAfee ePO McAfee Threat Intelligence Exchange Server McAfee Data Exchange Layer Modulo VirusScan Enterprise di McAfee Threat Intelligence Exchange Figura 4. I dati di terzi possono essere una fonte preziosa di intelligence. Il malware o i file sospetti scoperti dai tecnici interni delle aziende possono essere bloccati immediatamente, senza che sia necessario inviare un campione e aspettare di ricevere un aggiornamento delle firme dell'antivirus dal produttore. I casi in cui altri endpoint vengono a contatto con quel file vanno a incrementare il conteggio della prevalenza memorizzato in McAfee Threat Intelligence Exchange Server, un'informazione che aiuta gli amministratori a capire se si trovano sotto attacco. L'aspetto interessante, per l'organizzazione, è il fatto che da un'indicazione di compromissione (in questo caso un file hash) può derivare una quantità enorme di preziose informazioni condivisibili in tempo reale. Inoltre il modulo McAfee Threat Intelligence Exchange intercetta il tentativo di esecuzione di un file, non semplicemente le operazioni di lettura o scrittura. La protezione dall'esecuzione mette al riparo da comportamenti insoliti. Inoltre, questa funzionalità consente a McAfee Threat Intelligence Exchange di acquisire preziose informazioni sugli indicatori di attacco (IoA) che si possono condividere in tutto l'ambiente non appena vengono individuate. A differenza dell'indicatore di compromissione (IoC), che riflette un singolo evento negativo, statico e noto, un IoA diventa negativo solo in base a ciò che significa per te e la situazione. Un indicatore di attacco è una costruzione unica di attributi sconosciuti, IoC e informazioni contestuali (comprese le informazioni sull'organizzazione e il rischio) in un quadro dinamico e situazionale che guida la reazione. McAfee Threat Intelligence Exchange rileva e allerta in merito agli elementi nuovi e insoliti di un ambiente, che potrebbero non essere ancora associati a una minaccia o compromissione nota. Attacchi mirati avanzati: ci vuole un sistema 8 White paper Situazione 2: aggiungere McAfee Advanced Threat Defense per l'analisi approfondita Un aggressore a cui facciano gola i dati della tua azienda investe in tecniche di programmazione e in exploit zero-day sofisticati, anti-rilevamento. Il file di malware che ne deriva può essere unico nel suo genere o essere stato osservato solo poche volte. Questa rarità può impedire alle contromisure tradizionali basate sulla firma o sulla reputazione di rilevare la minaccia con precisione. Tuttavia, se un file sospetto non viene dichiarato pericoloso attraverso le risorse esistenti di McAfee Threat Intelligence Exchange, la tecnologia può fugare qualsiasi dubbio trasmettendo il file a McAfee Advanced Threat Defense per un'analisi più approfondita. McAfee Advanced Threat Defense aggiunge il rilevamento per gli attacchi mirati avanzati con un approccio a più livelli che sfrutta le innovative capacità di decostruzione in tempo reale del malware, fra cui una robusta decompressione che svela le tecniche evasive per esporre il codice eseguibile originale e determinare i comportamenti voluti. Mentre le sandbox di altri produttori possono facilmente essere ingannate ed eluse anche da semplici tattiche di codifica del malware, McAfee Advanced Threat Defense combina diverse tecniche per dare origine a una soluzione unica nel suo genere: decostruzione del codice statico in tempo reale e analisi dinamica (sandboxing) per rilevare l'aggressore ritorcendogli contro le sue stesse tecniche di occultamento. Ciò rappresenta la tecnologia antimalware più robusta e avanzata presente sul mercato, in grado di raggiungere efficacemente l'equilibrio fra le esigenze di sicurezza e di prestazioni. McAfee Global Threat Intelligence Feed di terze parti McAfee McAfee Threat Intelligence Advanced Exchange Server Threat Defense SÌ McAfee ePO NO Modulo Endpoint di McAfee Threat Intelligence Exchange Modulo Threat Intelligence Exchange di McAfee VirusScan Figura 5. Sintesi di informazioni e reputazione provenienti da cloud, rete ed endpoint. Sfruttare le comunicazioni da endpoint a rete e da rete a endpoint. Quando si utilizza McAfee Threat Intelligence Exchange insieme a McAfee Advanced Threat Defense, l'immunizzazione contro gli attacchi mirati avanzati è ancora più efficace. Si crea una moderna e approfondita difesa antiminacce: una combinazione di capacità di valutazione basate su comportamento, reputazione e firme, sia sulla rete che sugli endpoint. Gli endpoint McAfee possono ricevere il comando di bloccare i payload dalla reputazione sconosciuta, quindi di passare i file a McAfee Advanced Threat Defense per l'esame e il verdetto: colpevole o innocente. Se il file viene dichiarato pericoloso, il sistema lo comunica a tutte le contromisure presenti nell'organizzazione mediante un aggiornamento della reputazione attraverso Data Exchange Layer. Ad esempio, gli endpoint abilitati a McAfee Threat Intelligence Exchange Attacchi mirati avanzati: ci vuole un sistema 9 White paper godranno ora di una protezione proattiva contro i futuri tentativi di esecuzione del file, mentre i gateway di rete potranno impedire al file di introdursi in azienda. I rilevamenti presso i gateway di rete seguono questo ciclo analitico centralizzato, oltre a educare gli endpoint. La condivisione di informazioni e reputazione dimostra il vantaggio della piattaforma Security Connected da endpoint a rete, con l'eliminazione dei punti ciechi dalla consegna fuori banda dei payload. Collegando soluzioni di sicurezza McAfee che operano su vettori diversi si riducono drasticamente i tempi di esposizione al nuovo malware, l'intervallo fra individuazione e remediation e la necessità di riprogettare l'architettura di rete. L'uso dell'integrazione con VirusTotal per valutare gli input e le misurazioni provenienti dagli antimalware degli altri produttori e per capire come affrontare una potenziale minaccia specifica nel proprio ambiente. Situazione 3: rilevamento precoce degli attacchi con McAfee Enterprise Security Manager Infine, molte aziende desiderano sfruttare la visibilità e la correlazione garantite da McAfee Enterprise Security Manager per approfondire in modo più rapido e più veloce la conoscenza del panorama delle minacce all'interno del proprio ambiente. Il SIEM (Security Information and Event Management) di McAfee Enterprise Security Manager raccoglie i dati dettagliati provenienti da McAfee Threat Intelligence Exchange e McAfee Advanced Threat Defense e, tramite il motore database ad alte prestazioni brevettato, le correla con i registri e gli eventi di centinaia di fonti. Mentre si cerca di comprendere gli attacchi e reagire, questa serie di dati ampia e granulare permette di rispondere alla domanda: "Quali sono gli host nel mio ambiente i cui comportamenti corrispondono alle ultime informazioni arrivate?". Ogni volta che McAfee Threat Intelligence Exchange identifica un nuovo evento ostile (un "primo episodio") e dà ai client l'istruzione di esecuzione o di blocco, McAfee Enterprise Security Manager porta l'evento all'attenzione degli amministratori e attiva i flussi di lavoro della mitigazione, come l'aggiornamento delle policy degli endpoint, pressoché in tempo reale. Concatenando i processi di rilevamento/reazione/prevenzione in un anello chiuso, i flussi di lavoro e gli elenchi di sorveglianza di McAfee Enterprise Security Manager convertono McAfee Threat Intelligence Exchange e i risultati del SIEM per migliorare protezione e gestione del rischio migliori nella tua organizzazione. Riprodurre il passato, aggiustare il futuro McAfee Enterprise Security Manager usa gli artefatti di McAfee Advanced Threat Defense e McAfee Threat Intelligence Exchange per cercare gli eventi nei propri archivi e avvisare sugli eventi futuri correlati. Questo consente di tornare indietro nel tempo e di sfruttare l'intelligence appena acquisita nel presente per identificare passate interazioni malevole che all'epoca potevano essere sfuggite al rilevamento. Ad esempio, il file hash di un qualsiasi file dichiarato pericoloso mediante McAfee Threat Intelligence Exchange o McAfee Advanced Threat Defense può essere caricato in un elenco di sorveglianza del SIEM. In seguito McAfee Enterprise Security Manager confronta le informazioni contenute nell'elenco con gli eventi storici che sono stati indicizzati o con nuovi eventi in tempo reale. Poiché i file hash sono generati da numerosi prodotti — non solamente da McAfee Advanced Threat Defense, ma anche da soluzioni di monitoraggio dell'integrità dei file come McAfee Change Control, sistemi di prevenzione delle intrusioni host e di rete e motori antimalware di gateway web — il file hash condiviso aumenta la sensibilità alle attività in tutta l'organizzazione. McAfee Threat Intelligence Exchange comunica la reputazione a questi sistemi per imporre il blocco, mentre McAfee Enterprise Security Manager offre un ambiente in cui è possibile ricostruire i singoli incidenti per ottenere un quadro generale completo delle attività malevole. Oltre ai file hash, McAfee Enterprise Security Manager sfrutta altri IoA generati da McAfee Advanced Threat Defense e da McAfee Threat Intelligence Exchange. Questi due sistemi forniscono altre informazioni di intelligence associate ai loro risultati quali nomi di file, indirizzi IP, hash di payload, prevalenza e nome dell'host. Attacchi mirati avanzati: ci vuole un sistema 10 White paper Inoltre, i rapporti di McAfee Advanced Threat Defense contengono ancora più informazioni sui file associati agli attacchi. Quando McAfee Advanced Threat Defense e McAfee Enterprise Security Manager sono entrambi implementati, quest'ultimo attiva dei filtri basati sui file malevoli individuati da McAfee Advanced Threat Defense, quindi analizza gli eventi andando alla ricerca di questi file secondo varie caratteristiche. Dopo avere individuato i file, un ricercatore potrebbe filtrare ulteriormente quel sottoinsieme di dati con gli indirizzi IP e i nomi di file forniti anch'essi da McAfee Advanced Threat Defense. McAfee Enterprise Security Manager segnala tutti i risultati storici specifici degli attributi generati da McAfee Advanced Threat Defense ed esegue il monitoraggio per individuare eventuali eventi successivi. Mentre McAfee Enterprise Security Manager identifica gli eventi in una sequenza di attacco, fa scattare automaticamente contenimento, remediation e adattamento. Per esempio, gli host individuati come coinvolti possono ricevere immediatamente un aggiornamento delle policy, una messa in quarantena o una scansione. Cambiare la dinamica della lotta Questi casi di utilizzo illustrano come incanalare l'intelligence migliore, più completa e più utile nelle tue difese e come utilizzarla per controllare automaticamente gli interventi di protezione. Puoi collegare le funzioni di rilevamento, analisi e protezione a livello di dati e di flusso di lavoro per favorire l'apprendimento reciproco e migliorare la protezione in tempo reale della tua organizzazione. In più, puoi comprendere le minacce, andarne a caccia ed eliminarle in modo efficace in tutto il tuo ambiente, operando in base a informazioni di intelligence dirette ed esaminando il passato per proteggerti in futuro. Con l'introduzione delle informazioni di intelligence adattive e delle comunicazioni in tempo reale nella piattaforma Security Connected, McAfee cambia la dinamica della lotta contro gli attacchi mirati avanzati. McAfee Threat Intelligence Exchange arricchisce le informazioni sulle minacce per generare gli indicatori di attacco e agire in base a essi, mentre Data Exchange Layer aggiunge contesto e coordinamento alla piattaforma Security Connected. Con McAfee Advanced Threat Defense e McAfee Enterprise Security Manager, oltre che con la sua vasta gamma di contromisure da endpoint a rete, McAfee continua a offrire la protezione dalle minacce più completa del settore: un sistema ottimizzato per ottenere un vantaggio sostenibile contro gli attacchi mirati avanzati. Per ulteriori informazioni, visita: www.mcafee.com/it/solutions/incident-response/comprehensive-threat-protection.aspx www.mcafee.com/it/solutions/incident-response/index.aspx www.mcafee.com/it/products/threat-intelligence-exchange.aspx www.mcafee.com/it/products/advanced-threat-defense.aspx www.mcafee.com/it/products/siem/index.aspx Informazioni su Intel Security McAfee è ora parte di Intel Security. Con la propria strategia Security Connected, l’approccio innovativo alla sicurezza potenziata dall’hardware e l’ineguagliato servizio Global Threat Intelligence, Intel Security è impegnata senza sosta nello sviluppo di soluzioni e servizi di sicurezza proattiva comprovati che proteggono sistemi, reti e dispositivi portatili per l’utilizzo aziendale e personale a livello mondiale. Intel Security combina l’esperienza e la competenza di McAfee con l’innovazione e le prestazioni comprovate di Intel per rendere la sicurezza un ingrediente essenziale di ogni architettura e di ogni piattaforma di elaborazione. La missione di Intel Security è di assicurare a chiunque la tranquillità di vivere e lavorare in modo sicuro e protetto nel mondo digitale. www.intelsecurity.com. 1. http://usa.visa.com/download/merchants/alert-prevent-grocer-malware-attacks-04112013.pdf McAfee. Part of Intel Security. Via Fantoli, 7 20138 Milano Italia (+39) 02 554171 www.intelsecurity.com Intel e il logo Intel sono marchi registrati di Intel Corporation negli Stati Uniti e/o in altri Paesi. McAfee, il logo McAfee, ePolicy Orchestrator, McAfee ePO e VirusScan sono marchi registrati o marchi di McAfee, Inc. o sue filiali negli Stati Uniti e in altri Paesi. Altri marchi e denominazioni potrebbero essere rivendicati come proprietà di terzi. I piani, le specifiche e le descrizioni contenuti nel presente documento hanno unicamente scopo informativo, sono soggetti a variazioni senza preavviso e sono forniti senza alcun tipo di garanzia, esplicita o implicita. Copyright © 2014 McAfee, Inc. 60945wp_it-takes-a-system_0214B