Fortinet
uncovers the top behavior and attribute-based heuristic detection
criteria for railroading potential Advanced Persistent Threats (APTs) to
local and cloud-based malware sandboxes
Dubai, UAE – June 5, 2013 – Security
professionals agree that the safe approach to examining potential APTs
is with high-performance on-board and cloud-based sandboxing
capabilities as part of a unified security strategy. But how are these
potential zero-day exploits identified?
Fortinet
has compiled the following list of the top five initial exploit and
exfiltration behaviors most likely to result in a potential APT attack.
1. Random generation of IP addresses. Some APT payloads include code that randomly generates strings of IP addresses. They do this to aid propagation.
2. Command and control connection attempts.
Once infiltrated, APTs may elect to connect with a command and control
server in order to exfiltrate data or to signal further attack resources
i.e. via a botnet. Detection is based on control signatures and
rendezvous detection.
3. Host mimicry. An APT may begin to mimic the behavior of its host device or application in an attempt to evade detection.
4. JavaScript obfuscation.
Documented APT cases have involved numerous techniques for obscuring
(obfuscating) the real meaning and intent behind malicious JavaScript
code.
5. Encrypted traffic. The trend toward encrypted malware within APT payloads renders all encrypted traffic at elevated risk.
Enterprises
wary of Zero-Day IT security attacks can now benefit from the ultimate
in advanced threat protection from Fortinet’s new operating system –
FortiOS 5.
Released
at the end of 2012, FortiOS 5 includes over 150 enhanced capabilities
designed to support the current and evolving security challenges of
organizations grappling with more mobile devices and applications.
Within its arsenal against Advanced Persistent Threats, Fortinet has
added on-board and cloud-based sandboxing capabilities for executing
unknown malware, complementing its unique ‘Compact Pattern Recognition
Language’ processor, which enables single signatures to cover well over
50,000 different viruses including zero-day variants.
Bashar
Bashaireh, Regional Director, Fortinet Middle East, said: “Network
security continues to be one of the most pressing concerns of businesses
in the Middle East. Enterprises are constantly forced to review their
security strategies and add new layers of defense as Advanced Persistent
Threats become more sophisticated and hard to detect. The release of
FortiOS 5 is an important breakthrough in providing comprehensive
protection against today’s evolving network security threats. The new
operating system delivers superior performance and provides
comprehensive protection against APT attacks. Moreover, FortiOS 5 is
also a strong reaffirmation of Fortinet’s commitment to deliver powerful
network security solutions that cater to the specific needs of
enterprises in the Middle East and other global markets.”
الكشف عن الهجمات الخمس الفورية ذات السلوك الخطر لمكافحة التهديدات المستمرة المتقدمة
"فورتينت"
تكشف النقاب عن أفضل المعايير القائمة على السلوك والخصائص للكشف عن
الهجمات من أجل نقل التهديدات المستمرة المتقدمة إلى بيئة الإختبار المحلية
والسحابية للبرمجيات الضارة
دبي، الإمارات – 5 يونيو، 2013 – لا
يختلف المتخصصون في مجال أمن المعلومات على أن المنهجية الآمنة لاختبار
التهديدات المستمرة المتقدمة (APTs) المحتملة تكمن في توفر قدرات محلية
وسحابية عالية الأداء لاختبار البرمجيات وذلك في إطار استراتيجية أمنية
موحدة. لكن كيف يتم تحديد الهجمات الفورية المحتملة؟
قامت
"فورتينت" بتصنيف القائمة التالية لأهم خمس تهديدات أولية وسلوكيات خطرة
من المرجّح أن تتسبب في هجوم للتهديدات المستمرة المتقدمة.
1- الإنشاء العشوائي لعناوين بروتوكول الإنترنت:
بعض حمولات التهديدات المستمرة المتقدمة تتضمن شيفرة تقوم وبشكل عشوائي
بإنشاء سلاسل لعنوانين بروتوكول الإنترنت، وذلك من أجل المساعدة على
الإنتشار والتكاثر.
2- محاولات الاتصال للسيطرة والتحكم:
عندما تتمكن من التسلل، فإنه قد يتم اختيار التهديدات المستمرة المتقدمة
للإتصال مع خادم السيطرة والتحكم من أجل تسريب البيانات أو الإشارة إلى
مزيد من مصادر الهجوم، أي عن طريق الفيروسات الشبكية، حيث تستند عملية
الكشف عنها على تعريفات الرقابة والتحقق الفوري.
3- تقليد الجهاز المضيف: قد تبدأ الهجمات المستمرة المتقدمة بتقليد سلوك الجهاز أو التطبيق المضيف لها في محاولة لتفادي عملية الكشف.
4- تشويش جافا سكريبت: شملت حالات التهديدات المستمرة المتقدمة الموثقة العديد من التقنيات لحجب المعنى الحقيقي والغرض من وراء شيفرة جافا سكريبت الخبيثة.
5- مرور البيانات المشفر:
إن التوجه نحو البرمجيات الخبيثة المشفرة ضمن حمولات التهديدات المستمرة
المتقدمة يُعرّض عملية مرور البيانات المشفرة لمخاطر مرتفعة.
ويمكن
للشركات الحذرة تجاه الهجمات الأمنية الفورية لتكنولوجيا المعلومات أن
تستفيد اليوم من آخر ما تم التوصل إليه فيما يتعلق بالحماية من التهديدات
المتقدمة وذلك من خلال نظام التشغيل الجديد "فورتي أو. أس 5" (FortiOS 5)
من "فورتينت".
ويشتمل
نظام التشغيل "فورتي أو. أس 5"، الذي تم إطلاقه أواخر العام الماضي، على
أكثر من 150 ميزة متقدمة تم تصميمها لمواجه التحديات الأمنية الحالية
والناشئة التي تعترض المؤسسات التي تعاني من وجود المزيد من الأجهزة
والتطبيقات النقالة. وضمن ترسانتها لمواجهة التهديدات المستمرة المتقدمة،
أضافت "فورتينت" قدرات اختبار داخلية وسحابية من أجل اختبار البرمجيات
الخبيثة غير المعروفة واستكمالاً لمعالجها الفريد "لغة تعريف النموذج
المدمج" (Compact Pattern Recognition Language)، الذي يتيح للتعريفات
المستقلة تغطية أكثر من 50.000 فيروس مختلف بما في ذلك الهجمات الفورية.
وقال
بشار بشايرة، المدير الإقليمي لشركة "فورتينت الشرق الأوسط": "يعتبر موضوع
أمن الشبكات أحد الأمور الملحّة بالنسبة لمؤسسات الأعمال في الشرق الأوسط
حيث تحتاج بإستمرار إلى مراجعة استراتيجياتها الأمنية وإضافة طبقات حماية
جديدة في ظل تطور وصعوبة الكشف عن التهديدات المستمرة المتقدمة. ويعتبر
الإصدار الجديد من نظام التشغيل "فورتي أو. أس 5" تطورا هاما في توفير
الحماية الشاملة من التهديدات المتطورة لأمن الشبكات في هذه الأيام، حيث
يوفر نظام التشغيل الجديد أداءً فائقاً ويقدم حماية شاملة من التهديدات
المستمرة المتقدمة. وعلاوة على ذلك، يعد تطوير نظام التشغيل "فورتينت أو.
أس 5" تأكيد قوي على إلتزامنا بتوفير حلول شاملة لأمن الشبكات تلبي
الاحتياجات الخاصة للمؤسسات والشركات في الشرق الأوسط والأسواق العالمية
الأخرى".
