1. 1
Itdm S.r.l. – Sede Operativa via Maria Puteolana, 7 80078 Pozzuoli (NA)
Sede legale Via Cesare Augusto, 1 80078 Pozzuoli (NA)
P.IVA 05242991213 – www.itdm.it – info@itdm.it
Deep Discovery
La soluzione di TREND MICRO agli attacchi mirati APT
2. 2
Itdm S.r.l. – Sede Operativa via Maria Puteolana, 7 80078 Pozzuoli (NA)
Sede legale Via Cesare Augusto, 1 80078 Pozzuoli (NA)
P.IVA 05242991213 – www.itdm.it – info@itdm.it
INTRODUZIONE
Negli ultimi anni Internet ha assunto un'importanza vitale nel mondo industriale e produttivo. L’utilizzo di
Internet e della posta elettronica, dei siti web, dei trasferimenti FTP e VPN per il collegamento remoto,
sono all'ordine del giorno e alla portata di tutti. Il proliferare inoltre della tecnologia "mobile" porta oggi
la connettività dal livello "azienda" al livello "utente" in quanto ogni impiegato possedendo un tablet o
uno smartphone può collegarsi alla rete dell'azienda per scambiare dati, introducendo tante nuove
vulnerabilità difficili da controllare.
Parallelamente il "Cybercrime" si è evoluto per sfruttare queste vulnerabilità , continuando sempre di più
a comportarsi come una vera e propria industria dedita al profitto. Non si tende più a creare virus per la
sola gratificazione personale o per dimostrazione di valore nel mondo underground degli hacker, ma i
nuovi "malware" vengono creati, spesso su ordinazione, appositamente con lo scopo di penetrare nella
rete aziendale, rimanerci nascosti il più possibile e trafugare dati "sensibili" o di valore dai computer
aziendali.
SEQUENZA DI ATTACCO DELLE MINACCE COSTANTI AVANZATE
Intorno agli anni 2000, fecero scalpore i virus di nome "Melissa" e "I love you" che si distinsero per
l'impressionante velocità di diffusione e di attivazione, attaccando i messaggi di posta elettronica, e
acquisendo la massima popolarità in brevissimo tempo.
L’evoluzione tecnologica ha prodotto attacchi di nuova concezione, come "Flame" o "Stuxnet". In effetti
quest'ultimo, fu creato con lo scopo bene preciso di sabotare il programma nucleare iraniano
danneggiando un determinato modello di turbine presenti appunto nelle loro centrali nucleari. Oltre lo
scopo molto "mirato", la grande differenza è che l'attacco iniziò nel 2006 ma fu scoperto solamente nel
2010, dopo quattro anni di invisibilità.
A partire dal 2013 assistiamo a numerose campagne di attacchi come "Red October", "Genie" e "Bullrun"
che coprono azioni di spionaggio diplomatico ed industriale.
Sono nati sono i nuovi tipi di minaccia chiamata Attacchi mirati (APT).
3. 3
Itdm S.r.l. – Sede Operativa via Maria Puteolana, 7 80078 Pozzuoli (NA)
Sede legale Via Cesare Augusto, 1 80078 Pozzuoli (NA)
P.IVA 05242991213 – www.itdm.it – info@itdm.it
La soluzione
La soluzione di difesa personalizzata Trend Micro Deep Discovery è una soluzione completa che vi mette
in condizione di rilevare, analizzare, adattarvi e rispondere agli attacchi che sono importanti per voi. Vi
mettiamo a disposizione la soluzione di protezione avanzata più completa del settore per rispondere agli
attacchi mirati avanzati che possono prendere di mira la vostra azienda.
TREND MICRO DEEP DISCOVERY
Trend Micro Deep Discovery è una piattaforma di protezione dalle minacce che consente di rilevare,
analizzare e rispondere agli attacchi mirati furtivi di oggi in tempo reale. Implementato come singoli
componenti o come piattaforma di sicurezza informatica completa, Deep Discovery assicura protezione
avanzata contro le minacce dove serve di più alla vostra azienda. La piattaforma Deep Discovery è alla
base di Trend Micro Custom Defense e integra la vostra infrastruttura di protezione in una difesa
completa progettata su misura per proteggere la vostra organizzazione dagli attacchi mirati.
Trend Micro Deep Discovery assicura la visibilità a livello di rete, la conoscenza più approfondita e il
controllo necessari ad aziende di grandi dimensioni ed enti governativi per ridurre il rischio di minacce
costanti evolute e attacchi mirati. Deep Discovery rileva e identifica in modo esclusivo le minacce di tipo
evasivo in tempo reale e assicura l’analisi approfondita e le informazioni implementabili necessarie per
prevenire, rilevare e contenere gli attacchi contro i dati aziendali.
Il rilevamento personalizzato, le informazioni e i comandi di Deep Discovery vi consentono di:
o Rilevare e analizzare i vostri aggressori
o Adattare immediatamente la protezione contro gli attacchi
o Reagire rapidamente prima che vengano persi dati sensibili
La soluzione Deep Discovery è articolata su 4 prodotti:
4. 4
Itdm S.r.l. – Sede Operativa via Maria Puteolana, 7 80078 Pozzuoli (NA)
Sede legale Via Cesare Augusto, 1 80078 Pozzuoli (NA)
P.IVA 05242991213 – www.itdm.it – info@itdm.it
TREND MICRO DEEP DISCOVERY INSPECTOR
Con il monitoraggio a 360° del traffico di rete, Deep Discovery Inspector assicura la visibilità e le
informazioni a livello di rete per rilevare e rispondere ad attacchi mirati e minacce avanzate. Deep
Discovery Inspector monitora tutte le porte e più di 100 protocolli (si veda Appendice A per i dettagli),
assicurandovi così la più ampia protezione disponibile.
I motori di rilevamento specializzati e il sandboxing personalizzato identificano e analizzato minacce
informatiche, comunicazioni command-and-control e attività elusive degli aggressori che risultano
invisibili ai prodotti di sicurezza standard. Le informazioni approfondite sulle minacce agevolano una
rapida risposta e vengono automaticamente condivise con gli altri vostri prodotti di sicurezza per creare
una difesa personalizzata in tempo reale contro gli aggressori.
Le caratteristiche:
o Rilevamento completo delle minacce Monitora tutte le porte e oltre
100 protocolli per identificare gli attacchi ovunque nella rete
o Minacce informatiche, C&C, attività degli aggressori Utilizza motori di
rilevamento specializzati, regole di correlazione e sandboxing
personalizzato per rilevare tutti gli aspetti di un attacco mirato e non
solo le minacce informatiche
o Sandboxing personalizzato Utilizza immagini che corrispondono con
precisione alle configurazioni dei vostri sistemi per rilevare le minacce
che prendono di mira la vostra azienda
o Informazioni mondiali sulle minacce Le informazioni sulle minacce di
Trend Micro™ Smart Protection Network azionano il rilevamento e il
portale Threat Connect per l’indagine sugli attacchi
o Ampia protezione del sistema Rileva gli attacchi sferrati contro
Windows, Mac OSX, Android, Linux e qualsiasi altro sistema
o Semplicità e flessibilità da dispositivo unico Semplifica la sicurezza con
un unico dispositivo disponibile in una vasta gamma di capacità e
implementabile in configurazioni hardware o virtuali
o Soluzione Custom Defense Condivide le informazioni degli indicatori di
compromissione (IOC, indicators of compromise) e aggiorna
automaticamente Trend Micro e gli altri prodotti di sicurezza per
proteggervi da ulteriori attacchi
Il Deep Discovery Inspector anche non lavorando in-line è in grado di bloccare, attraverso il packet
injection (TCP Reset, Http Redirect etc.) , le comunicazioni verso C&C, URL, Domains ed IP, inoltre puoi
verificare la presenza in rete, tramite SHA1 la presenza di file. Per Url , Domain ed IP l’utente ha possibilità
di definire delle liste custom a livello di configurazione. Per la fine del 2015 è prevista la versione di Deep
Discovery Inspector con l’opzione del blocking in-line. Per i clienti che utilizzano prodotti Trend Micro a
livello gateway quali IMSVA o IWSVA possono sfruttare l’integrazione dei prodotti per poter effettuare
l’in-line blocking.
5. 5
Itdm S.r.l. – Sede Operativa via Maria Puteolana, 7 80078 Pozzuoli (NA)
Sede legale Via Cesare Augusto, 1 80078 Pozzuoli (NA)
P.IVA 05242991213 – www.itdm.it – info@itdm.it
TREND MICRO DEEP DISCOVERY ANALYZER
Trend Micro™ Deep Discovery Analyzer™ è un server scalabile di analisi delle sandbox che assicura servizi
di sandboxing on demand in sede. Analyzer consente di definire più sandbox personalizzate: ambienti
virtuali che corrispondono esattamente alle configurazioni software dei vostri desktop. Il programma
supporta l’integrazione non standard con i prodotti di sicurezza Web per e-mail e Web Trend Micro e con
altri prodotti della piattaforma Deep Discovery. Una API aperta per servizi Web consente a qualsiasi
prodotto o persona autorizzata di inoltrare campioni e ottenere analisi dettagliate. I suoi ambienti di
sandboxing personalizzati corrispondono esattamente alle configurazioni software dei desktop di
destinazione e assicurano così rilevamenti più accurati e un minor numero di falsi positivi.
Le caratteristiche
o Servizi di sandboxing scalabili Assicura prestazioni ottimizzate con una
soluzione scalabile in grado di tenere il passo con e-mail, rete, endpoint
e qualsiasi fonte di campioni aggiuntiva.
o Sandboxing personalizzato Esegue la simulazione e l’analisi delle
sandbox in ambienti che corrispondono esattamente alle vostre
configurazioni software desktop, assicurando così un rilevamento
ottimale e tassi ridotti di falsi positivi.
o Ampia gamma di analisi file Esamina una vasta gamma di file tra cui
eseguibili Windows, Microsoft Office, PDF, contenuto Web e tipi di file
compressi servendosi di vari motori di rilevamento e di sandboxing.
o Rilevamento degli exploit nei documenti Rileva minacce informatiche
ed exploit consegnati in comuni documenti di office, con l’ausilio di
rilevamento specializzato e sandboxing.
o Analisi URL Esegue la scansione delle pagine e l’analisi sandbox degli
URL inoltrati manualmente.
o Creazione di rapporti dettagliati Eroga risultati di analisi completi tra
cui attività dettagliate di campioni e comunicazioni C&C tramite una
dashboard centrale e report.
o Integrazione Trend Micro Assicura l’integrazione non standard con la
maggior parte dei prodotti Trend Micro per la sicurezza e-mail e Web.
o API di servizi Web e inoltro manuale Consente a qualsiasi prodotto o
persona autorizzata di inoltrare campioni.
o Integrazione di Custom Defense Condivide automaticamente le nuove
informazioni sul rilevamento IOC con altre soluzioni Trend Micro e con
prodotti di sicurezza di terze parti.
6. 6
Itdm S.r.l. – Sede Operativa via Maria Puteolana, 7 80078 Pozzuoli (NA)
Sede legale Via Cesare Augusto, 1 80078 Pozzuoli (NA)
P.IVA 05242991213 – www.itdm.it – info@itdm.it
FUNZIONAMENTO DI DEEP DISCOVERY ANALYZER
o Preprocessori Come primo livello di rilevamento, il preprocessore vanifica le tecniche di elusione estraendo, aprendo e
decomprimendo i file campione, quindi identificando il reale tipo di file a prescindere dall’estensione utilizzata.
o Motori di rilevamento Più motori di rilevamento analizzano e verificano i file utilizzando la scansione tramite
definizioni ed euristica, le verifiche della reputazione Trend Micro™ Smart Protection Network™ e gli elenchi consentiti
e non consentiti definiti dall’utente.
o Sandbox personalizzate Analyzer invia i file sconosciuti e sospetti alla sandbox personalizzata più adatta, che può
eseguire e analizzare in tutta sicurezza i codice potenzialmente dannoso. Un punteggio di rischio e un riepilogo
dettagliato vengono quindi consegnati all’autore dell’inoltro. I risultati sono a loro volta disponibili per analisi
successive mediante la console di gestione Analyzer.
o Gestione, analisi e documentazione La console Analyzer consente di condurre un’analisi approfondita e di creare
report dei dati di riepilogo e dei risultati dei singoli campioni. Nell’ambito dell’interfaccia di gestione, è possibile creare
immagini di sandbox personalizzate, elenchi consentiti e non consentiti e criteri di sandboxing basati sul tipo di file, ad
esempio per inviare automaticamente alla sandbox tutti i PDF.
o
Esempio Report Deep Discovery Analyzer
7. 7
Itdm S.r.l. – Sede Operativa via Maria Puteolana, 7 80078 Pozzuoli (NA)
Sede legale Via Cesare Augusto, 1 80078 Pozzuoli (NA)
P.IVA 05242991213 – www.itdm.it – info@itdm.it
TREND MICRO DEEP DISCOVERY EMAIL INSPECTOR
Deep Discovery Email Inspector è un dispositivo di sicurezza e-mail che utilizza tecniche avanzate di
rilevamento e il sandboxing per individuare e bloccare le e-mail di spear-phishing che rappresentano la
fase iniziale della maggior parte degli attacchi mirati. Riduce il rischio che veniate attaccati grazie
all’aggiunta di un livello trasparente di ispezione che individua contenuto, allegati e collegamenti URL
dannosi che passano inosservati attraverso la sicurezza e-mail standard.
Email Inspector risiede sulla vostra rete accanto al gateway e-mail esistente o ai prodotti di protezione dei
server. Può funzionare nelle modalità MTA (blocco) o BCC (solo monitoraggio) e non richiede alcun
criterio o modifica alla gestione dei vostri prodotti esistenti.
Le caratteristiche
o Analisi degli allegati e-mail Esamina gli allegati e-mail con più motori di
rilevamento e con il sandboxing. Gli allegati analizzati comprendono
una vasta gamma di eseguibili Windows, Microsoft Office, PDF, Zip,
contenuto Web e tipi di file compressi.
o Rilevamento dello sfruttamento dei documenti Tecniche specializzate
di rilevamento e sandboxing individuano le minacce informatiche e la
consegna di exploit in comuni documenti d’ufficio.
o Sandboxing personalizzato La simulazione e l’analisi delle sandbox
vengono eseguite con ambienti che corrispondono esattamente alle
vostre configurazioni software desktop.
o Analisi degli URL incorporati Gli URL contenuti nelle e-mail vengono
analizzati tramite reputazione, analisi dei contenuti e simulazione delle
sandbox. Informazioni sulle password Lo sblocco dei file protetti
tramite password viene effettuato con una vasta gamma di elementi
euristici e di parole chiave fornite dai clienti.
o Flessibilità di gestione e di implementazione L’analisi granulare delle e-
mail e i criteri di gestione assicurano comandi utili per proteggere
qualsiasi ambiente. È possibile implementare Email Inspector in
abbinamento a qualsiasi soluzione di sicurezza e-mail e funziona sia
nella modalità MTA (blocco) o BCC (monitoraggio).
o Integrazione e condivisione delle informazioni Le nuove informazioni
sul rilevamento (C&C, altre informazioni IOC) possono essere condivise
con altri prodotti di protezione.
8. 8
Itdm S.r.l. – Sede Operativa via Maria Puteolana, 7 80078 Pozzuoli (NA)
Sede legale Via Cesare Augusto, 1 80078 Pozzuoli (NA)
P.IVA 05242991213 – www.itdm.it – info@itdm.it
TREND MICRO DEEP DISCOVERY ENDPOINT SENSOR
Deep Discovery Endpoint Sensor è un dispositivo di monitoraggio per la sicurezza degli endpoint di tipo context-aware
che registra e segnala dettagliatamente le attività di sistema per consentire agli analisti delle minacce di valutare
rapidamente la natura e la portata di un attacco. Le informazioni sulle aggressioni e gli altri IOC Deep Discovery possono
essere utilizzati per la ricerca negli endpoint volta a verificare la presenza di infiltrazioni e a scoprire il contesto completo
e la linea temporale di un attacco.
Le indagini possono utilizzare parametri individuali, file OpenIOC e YARA o informazioni sul rilevamento assicurate dai
prodotti Trend Micro. Possono venire eseguite da una console dedicata o nell’ambito di Trend Micro Control Manager.
Caratteristiche
o Registrazione degli eventi endpoint Endpoint Sensor utilizza un client
leggero per registrare l’attività significativa degli endpoint e gli eventi di
comunicazione a livello del kernel. Rileva questi eventi in contesto nel
corso del tempo e fornisce una cronologia approfondita a cui gli analisti
possono accedere in tempo reale.
o Ricchi parametri di ricerca È possibile rivolgere query agli endpoint su
comunicazioni specifiche, minacce informatiche specifiche, attività di
registro, attività relative all’account, processi in esecuzione e molto
altro. Gli input di ricerca possono essere parametri singoli, file OpenIOC
o YARA.
o Analisi contestuale e risultati miltilivello Le dashboard interattive
comprendono una vista di tipo sandbox dell’attività nel corso del
tempo, linee temporali dell’attività su più endpoint, viste dettagliate dei
risultati ed esportazioni dei risultati delle indagini.
o Analisi e ricerca autonome e di Trend Micro Control Manager Le
ricerche possono essere eseguite dalla console Endpoint Sensor o
nell’ambito della console Control Manager, sfruttando le informazioni
IOC e i dati sull’attività di altri prodotti.
o In sede, remoto e in-the-cloud Endpoint Sensor segnala e registra le
attività dettagliate a livello di sistema sui server Windows e su desktop
e laptop a prescindere dalla posizione.
9. 9
Itdm S.r.l. – Sede Operativa via Maria Puteolana, 7 80078 Pozzuoli (NA)
Sede legale Via Cesare Augusto, 1 80078 Pozzuoli (NA)
P.IVA 05242991213 – www.itdm.it – info@itdm.it
I NOSTRI SERVIZI
ASSESSMENT PRELIMINARE
ITDM/PR Software mettono a disposizione del cliente tecnici specializzati per la progettazione, la
configurazione e gestione in fase di start up della soluzione Trend Micro Deep Discovery. Viene effettuata
un’analisi preliminare della situazione esistente e si progretta la struttura di sicurezza da implementare
per offrire il massimo livello di protezione
ANALISI DEI LOG
ITDM/PR Software mettono a disposizione un pool di professionisti in grado di studiare ed analizzare i
report generati dalla soluzione Trend Micro Deep Discovery allo scopo di identificare comportamenti
anomali ed eventuali attacchi nella rete. La periodicità delle analisi può variare in funzione delle necessità
del cliente
SERVIZI DI HELP DESK di I° e II° livello
ITDM/PR Software attiveranno il servizio di Help Desk di I° e II° dopo la fase di start-up per fornire
assistenza agli utenti relativa a problemi nella gestione del servizio. Il servizio verrà erogato da remoto ed attivato
tramite l’apertura di un ticket al seguente indirizzo email: security_deep@itdm.it
SERVIZIO DI TELEASSISTENZA
ITDM/PR Software mettono a disposizione dei clienti un numero telefonico dove poter contattare i nostri
esperti per la segnalazione e risoluzione di problematiche relative al corretto funzionamento degli
apparati o comunicazioni relative alla gestione di Deep Discovery. Verranno definiti gli orari di
disponibilità in funzione delle necessità del cliente
INTERVENTI ON-SITE
ITDM/PR Software mettono a disposizione dei tecnici in grado di intervenire presso la sede del cliente
per la gestione di eventuali attacchi in caso di attacco in corso. Tali interventi prevedono anche
l’eventuale bonifica dei sistemi compromessi e la preparazione all’installazione della soluzione di
sicurezza