Le capacità di intelligence globale di Arbor Networks sono ora integrate nella protezione locale

Arbor Networks Inc., leader nelle soluzioni per la protezione da attacchi DDoS e minacce avanzate rivolte a reti enterprise e service provider, ha annunciato di aver arricchito il proprio servizio ATLAS® Intelligence Feed (AIF) con un nuovo feed basato su tecniche di reputazione. AIF è un feed che distribuisce le policy di sicurezza messe a punto dai ricercatori Arbor allo scopo di aggiornare rapidamente e accuratamente i prodotti Pravail identificando le minacce in base alle attività di attacco, alla reputazione e al comportamento.

L’introduzione di AIF avviene in un momento nel quale le aziende si sentono poco preparate ad affrontare la varietà di minacce che mirano alle loro reti. Secondo una recente indagine sponsorizzata da Arbor e condotta dall’Economist Intelligence Unit intervistando CISO e responsabili IT senior di tutto il mondo, solo il 17% dei business leader si ritiene completamente preparato ad affrontare un incidente. Il report, intitolato “Cyber Incident Response: Are business leaders ready?”, ha inoltre scoperto che secondo il 41% degli interpellati una migliore comprensione delle minacce potenziali sarebbe d’aiuto per migliorare la preparazione ad affrontarle. Il servizio ATLAS Intelligence Feed aiuta a gestire questo problema di visibilità e contesto delle minacce come le aziende stanno cercando di fare.

Capacità di intelligence globali e dinamiche
Arbor Networks ha predisposto una gigantesca rete di intelligence globale che fa perno su ATLAS, un’iniziativa collaborativa in atto con quasi trecento service provider che hanno accettato di condividere dati di traffico anonimi con Arbor. Questo enorme volume di dati di traffico, pari a 80Tbps, viene combinato con una rete globale di sensori honeypot situati all’interno di spazi di indirizzamento IP di tipo dark Internet e con partnership strategiche come la Red Sky Alliance.

Questo ampio set di dati viene quindi trasformato in intelligence attraverso le attività di ricerca e analisi costantemente effettuate dall’ASERT (Arbor Security Engineering & Response Team), una delle più grandi organizzazioni dedicate alla ricerca nel settore della sicurezza che si avvale di 25 analisti specializzati con un set di competenze diversificato inclusi CERT (Computer Emergency Response Team) Fortune 25, ex esponenti delle forze dell’ordine, produttori di soluzioni per la mitigazione delle minacce e noti ricercatori di malware. Osservando il panorama degli attacchi sotto questa lente di sicurezza e utilizzando strumenti custom per l’indicizzazione del malware e la simulazione delle reti botnet, l’ASERT sviluppa per i propri clienti una intelligence completa delle informazioni di contesto che occorrono per intercettare e bloccare minacce specifiche, e rafforzare continuamente nel tempo l’atteggiamento nei confronti della sicurezza.

“Molti produttori possono identificare gli attacchi e creare signature capaci di riconoscere e bloccare queste minacce, ma si tratta di un approccio reattivo ormai obsoleto. Quello che fa l’ASERT non è solo identificare gli attacchi, ma analizzare e catalogare anche le relative infrastrutture e metodologie in modo che i clienti possano dispiegare policy di sicurezza maggiormente proattive. Il contesto è essenziale. Non ci limitiamo a identificare una rete botnet o un codice malware, ma effettuiamo il reverse engineering di intere reti botnet e famiglie di malware”, ha dichiarato Dan Holden, Director of Security Research di Arbor Networks.

Oltre ad aggiornare le policy di sicurezza dei prodotti Arbor, l’ASERT condivide la propria intelligence operativa con centinaia di CERT internazionali e con migliaia di operatori di rete di tutto il mondo. Esempi delle particolari capacità di analisi dell’ASERT sono disponibili sul relativo blog. Una ricerca recentemente pubblicata comprende un’analisi dettagliata del malware che colpisce i terminali POS (Point of Sale), degli attacchi DDoS ad amplificazione/riflessione NTP, e del Trojan bancario Zeus Gameover.

Una vera analisi della reputazione per potenziare ATLAS Intelligence Feed
Ogni giorno l’ASERT raccoglie circa 100.000 campioni di malware da ATLAS e altre fonti concentrando la propria attenzione su attacchi ATP (Advanced Persistent Threat), campagne geopolitiche, frodi finanziarie e attacchi DDoS. Questi campioni vengono quindi passati all’interno di un sistema di analisi automatica delle minacce che permette di classificarli. Gli attacchi che non trovano riscontri precedenti vengono inseriti in un database contenente milioni di queste analisi. Al rilevamento di una nuova rete botnet o di un nuovo attacco diretto contro il layer applicativo viene creata una policy che successivamente viene distribuita e installata nei prodotti Arbor Pravail attraverso ATLAS Intelligence Feed.

A differenza di molte altre soluzioni che per creare le policy si avvalgono delle signature, l’ASERT assegna policy di reputazione basate sul reverse engineering del malware e sull’analisi delle reti botnet. Anziché dipendere esclusivamente da signature o elenchi specializzati comunemente usati, l’ASERT ha ingegnerizzato una tecnologia per l’identificazione delle minacce ad altissima fedeltà sulla quale si può fare completo affidamento. L’ASERT raccoglie dati da centinaia di migliaia di campioni di malware e altre fonti di intelligence. I dati e gli indicatori sono analizzati attraverso un sistema di backend brevettato per l’analisi del malware comprendente sia tecnologia di partner esterni che processi e analisi messi a punto internamente. Da qui vengono estratti gli indicatori principali di un attacco come ad esempio indirizzi IP, porte, nomi di dominio, URL o regular expression. Per assicurare l’analisi più completa possibile, l’ASERT confronta gli indicatori di attacco così identificati con altri report specializzati e con i dati della Red Sky Alliance. Il team classifica e categorizza quindi questi indicatori all’interno di policy che vengono caricate più volte al giorno sulle appliance Pravail attraverso ATLAS Intelligence Feed. AIF rappresenta la dorsale dei dati di sicurezza per i prodotti Pravail consentendo il rapido rilevamento delle attività di attacco insieme con i dettagli necessari per aiutare a prioritizzare e consentire la neutralizzazione.

La famiglia di prodotti Arbor Pravail
“Le aziende sono alla ricerca di soluzioni che le aiutino a gestire il problema delle minacce avanzate che si nascondono all’interno delle loro reti. Arbor possiede una particolare combinazione composta da NetFlow, tecniche di acquisizione dei pacchetti e intelligence globale fornita dall’infrastruttura ATLAS per affrontare le minacce dinamiche che non vengono rilevate dalle soluzioni basate su signature”, ha commentato John Grady, Research Manager for Security Products di IDC.

Costantemente aggiornati dalla conoscenza e dalle competenze di ATLAS e ASERT, i prodotti Arbor Pravail sono studiati per proteggere le aziende dalle minacce avanzate e dagli attacchi DDoS.

Pravail® Network Security Intelligence agisce da sistema nervoso centrale per i deployment di sicurezza: situato all’interno della rete, raccoglie informazioni sui pattern di traffico e sugli eventi di sicurezza che avvengono attraverso tutta la rete avvisando i team di controllo qualora vi siano indicazioni di attacchi in corso. Pravail Network Security Intelligence aiuta i clienti a proteggere dati e proprietà intellettuale da furti e sottrazioni conseguenti minacce malware avanzate, utilizzi erronei o abusi della rete interna, o dispositivi mobili infetti collegati alla rete.

Pravail Security Analytics aggiunge contesto a enormi quantità di dati in modo che i team della sicurezza possano concentrarsi solo sugli eventi critici, reagire più velocemente e identificare le minacce che si nascondono nell’ambiente di rete prima che possano avere conseguenze sul business. La soluzione può essere usata per decidere in tempo reale quali risposte dare a un attacco, e i dati che essa memorizza a scopo di verifiche successive possono essere ri-analizzati in un secondo momento per identificare, grazie a informazioni di intelligence aggiornate, eventuali attacchi precedentemente ignorati. Pravail Security Analytics permette inoltre ai clienti di eseguire analisi forensi per determinare l’efficacia dei controlli, rafforzare la sicurezza e supportare diversi requisiti di conformità.

È disponibile una demo gratuita della soluzione cloud Pravail Security Analytics che si avvale di un set di dati pre-esistenti: in questo modo l’utente può provare la soluzione e verificarne direttamente da sé le potenti capacità di cui essa dispone. È possibile anche richiedere una prova gratuita della soluzione cloud per analizzare i pacchetti acquisiti sulla propria rete alla ricerca di minacce, anomalie e utilizzi non consentiti: questa versione permette agli utenti di caricare fino a 1GB dei propri dati per 30 giorni.

Pravail Availability Protection System aiuta a mettere in sicurezza il perimetro aziendale contro le minacce alla disponibilità delle applicazioni e dei servizi di un’azienda – in altre parole, contro gli attacchi che ne minano la sopravvivenza. In particolare, Pravail Availability Protection System aiuta a proteggere le imprese dagli attacchi DDoS diretti contro il layer applicativo ed è stato realizzato per bloccare immediatamente gli attacchi senza bisogno di configurazioni a monte o interazioni da parte dell’utente. Il sistema implementa funzionalità di identificazione e mitigazione degli attacchi DDoS che possono essere attivate rapidamente anche nel corso di un attacco.

GUEST POST: eleonora.ballatori@seigradi.com