Trend Micro Custom Defense

Компания Trend Micro представила осенью 2012 года свою новую стратегию по разработке систем безопасности под названием Custom Defense для защиты корпоративных систем заказчиков от направленных угроз. Принцип действия продуктов построен на использовании индивидуального набора антивирусных сигнатур для каждого конкретного заказчика и инцидента.

Стратегия «Custom Defense» (название можно перевести, как «защита с доработкой под клиента») призвана дополнить традиционную антивирусную защиту с использованием фиксированного набора сигнатур. Индивидуальным дополнением должны стать специальные подборки сигнатур для борьбы со скрытыми, направленными атаками. Такие атаки, которые еще относят к классу APT (Advanced Persistent Threat – расширенная долговременная угроза), направлены на компрометацию пользовательских ПК. Атака часто начинается с фальшивых писем в электронной почте с зараженным вложением, созданным специально для данного адресата. Если целевая атака удалась, кибер-преступники охотятся пытаются получить секретную информацию. На скомпрометированных машинах атаку часто можно выявить по попыткам неких программ подключиться к внешним серверам контроля и управления, чтобы получить дальнейшие команды и инструкции, либо для отправки данных. Новая концепция Custom Defense как раз и должна обеспечить выявление и блокирование подобных атак.

Основой стратегии Custom Defense призвана стать технология Trend Micro Deep Discovery, представленная в этом году. Эта технология, доступная в виде программных и аппаратных решений, обнаруживает признаки вторжения в сеть. Недавно компания Trend Micro добавила к этой технологии функцию под названием Deep Discovery Advisor, которая берет образы пользовательских машин и серверов предприятия, а потом запускает их в изолированной «песочнице», чтобы выявить скрытую вредоносную активность.

В рамках новой программы Custom Defense компания Trend Micro также анонсировала ряд специализированных утилит для отслеживания активности вредоносного ПО в сети. Одна из этих утилит отслеживает попытки внедрения в службу каталогов Microsoft Active Directory, поскольку взломщики часто пытаются сначала вскрыть именно этот сервис, чтобы посмотреть, у кого есть административные права, и обратить атаку на этого пользователя. Другая утилита предназначена для контроля почтового сервера. Также представлена утилита для контроля поведения браузера, чтобы выявить характерные индикаторы атаки или компрометации.

Индивидуальные дополнительные сигнатуры представляют собой обычные сигнатуры, только с добавлением конкретных черных списков по IP-адресам и доменам, которые выявлены на конкретном предприятии в рамках обнаружения APT-атак. К концу года компания Trend Micro планирует начать генерацию индивидуальных антивирусных сигнатур. Такие сигнатуры помогут реализовать индивидуально адаптированную защиту для web-шлюзов, почтовых шлюзов ScanMail for Exchange и решений для защиты оконечных точек.