Ameaças avançadas demandam uma nova abordagem

Segundo Bruno Zani, gerente de engenharia de sistemas da McAfee no Brasil, em vez de depender de diversas ferramentas de segurança diferentes, futuro da SI deve usar técnicas de machine learning a fim de parar a maioria das ameaças antes que elas atinjam os endpoints.

Uma nova onda de malware avançado está buscando lacunas nas defesas dos endpoint convencionais e novas formas de explorá-las. Esses malwares usam técnicas como criptografia e polimorfismo para mascarar sua verdadeira intenção, atingindo as empresas com ataques de “dia-zero”, os quais as ferramentas de segurança baseadas em assinatura não conseguem identificar.

Esses ataques usam executáveis sofisticados capazes de reconhecer quando estão sendo analisados em ferramentas de sandbox e, assim, atrasar a execução. Eles também incluem arquivos legítimos e aplicativos que aparecem limpos na superfície, mas que contém código malicioso embutido e acionado por gatilhos posteriores.

Os responsáveis pela segurança nas empresas correm contra o relógio para detectar, conter e remediar as novas ameaças e muitas vezes não conseguem. Quando vários produtos de defesa de endpoint não se comunicam uns com os outros, isso exige etapas extras e grande esforço manual dos administradores. Muitos recursos são necessários para filtrar tantos alertas, gerados por várias soluções em vários pontos diferentes. E o tempo entre a detecção e a remediação só aumenta.

É preciso pensar em uma abordagem de segurança diferente para aumentar a proteção do endpoint. Imagine um sistema unificado, totalmente integrado, com várias camadas de defesa que pudesse responder a novos eventos imediatamente, sem intervenção humana. Em vez de depender de diversas ferramentas de segurança diferentes, usar técnicas de machine learning para parar a maioria das ameaças antes que elas atinjam os endpoints.

Para conter ameaças avançadas e de dia-zero é preciso incluir análises de estrutura e comportamento de malwares no sistema de segurança. Os cibercriminosos podem alterar o aspecto do código, mas ainda será um malware. Portanto, é provável que ele compartilhe muitos atributos com ataques já conhecidos, o que torna possível analisar o código binário estático para comparar a estrutura dos executáveis suspeitos com as ameaças já conhecidas.

Da mesma forma, mesmo sendo desconhecido, o malware vai sempre seguir certo comportamento. Ao comparar o comportamento real do código com perfis de centenas de milhões de amostras de malware é possível identificar e bloquear o arquivo se este começar a se comportar maliciosamente, como substituir arquivos ou fazer alterações de registro que correspondam ao comportamento de outro malware conhecido.

Com esses recursos é possível reduzir as etapas manuais e interromper a maioria das ameaças antes que essas possam danificar o endpoint. Ao usar defesas integradas e automatizadas, o resultado é um modelo em constante evolução, cada nova ameaça detectada melhora as defesas da organização como um todo.

* Bruno Zani é gerente de engenharia de sistemas da McAfee no Brasil

FONTE: Risk Report

Postado por: Iracema Teixeira

Leave a Reply