A importância de se prender malware na área restrita

*Por Claudio Bannwart

 

A frase “conheça seu inimigo tão bem quanto a si mesmo” é citada com frequência no setor de segurança de TI.  Mas, considerando o vasto número e complexidade dos ciberataques, conhecer seu inimigo é uma tarefa gigantesca.  Todos os dias, surgem novos adversários, com uma quantidade desnorteante de malwares que tentam perturbar operações ou desviar dados clandestinamente.  E as organizações continuam vulneráveis a ataques de dia zero devido ao volume de novos malwares que podem se esconder bem debaixo de nossos olhos em arquivos que parecem inofensivos.  Assim embora não saibamos tudo sobre todos os inimigos novas tecnologias de segurança podem revelar informações vitais que podem ser usadas para identificar e eliminar novos riscos que surgem diariamente.Claudio Bannwart

 

O cibercrime se tornou um negócio muito lucrativo e, como em qualquer outro setor comercial, os criminosos querem aumentar suas receitas e sua fatia de mercado.  Para aumentar a probabilidade de sucesso, eles atacam centenas, até mesmo milhares de empresas.  Em 2012 uma média de 70.000 a 100.000 novos malwares foram criados e distribuídos diariamente – um número 10 vezes superior, por dia, do que em 2011 e 100 vezes mais do que em 2006.  O Relatório de Segurança de 2013 da Check Point mostrou que 63% das organizações estavam infectadas com robôs e mais da metade delas eram infectadas com novos malwares, pelo menos, uma vez por dia.  Acompanhar esse gigantesco crescimento está se mostrando impossível para abordagens anti-malware convencionais.

 

Contudo da mesma maneira que os controles de fronteira de um país utilizam várias técnicas para observar as pessoas que entram no país a fim de identificar aquelas que representam ameaças, novas técnicas de segurança tornaram possível examinar os emails, arquivos e dados que entram em uma rede através de emails ou de downloads da internet em tempo real.  Assim arquivos maliciosos podem ser isolados no gateway, na borda da rede ou na nuvem conforme a escolha da organização de modo a impedir que a infecção chegue a ocorrer o que proporciona uma camada externa de proteção contra ataques sem causar impacto no fluxo dos negócios.

 

Varredura à procura de malwares

No ambiente virtual da área restrita, o arquivo é aberto e monitorado à procura de qualquer comportamento incomum em tempo real, como tentativas de fazer alterações anormais no registro ou em conexões de rede.  Caso se verifique que o comportamento do arquivo é suspeito ou malicioso, ele é bloqueado e colocado em quarentena, o que impede qualquer infecção antes que ela possa chegar à rede e causar danos.  Nessa altura, podem-se tomar outras medidas para identificar e classificar a nova ameaça, a fim de facilitar sua identificação futura.

 

Criação de uma área restrita

A seleção de arquivos que são considerados suspeitos e precisam ser inspecionados – ou seja a rota até a área restrita – ocorre de forma embutida seja nos gateways de segurança da organização ou na nuvem, por meio de um agente que funciona ao lado do servidor de email da organização.  A seleção de arquivos pode até ser feita por meio da entrega de tráfego criptografado através de túneis SSL e TLS que caso contrário driblaria muitas implementações padrão de segurança da indústria.

 

O processo de seleção é feito por meio de uma combinação de heurística e outros métodos de análise.  Por exemplo, se instâncias do mesmo arquivo já tiverem sido armazenadas em cache no gateway ou pelo agente de email, o sistema considerará que o arquivo pode ser parte de uma tentativa de phishing em massa dirigida contra múltiplos funcionários.  Esta abordagem otimiza e acelera a análise por escolher somente arquivos suspeitos para uma inspeção mais profunda.  Quando os arquivos são selecionados, eles são carregados na área restrita que contém o mecanismo de emulação, que é executado no gateway de segurança ou na nuvem.

 

Todo esse processo ocorre de forma transparente no caso da maioria dos arquivos – o que significa que mesmo na rara eventualidade de um arquivo ser inspecionado e considerado como “limpo”, o seu destinatário não notará qualquer pausa nos serviços de email.  Depois disso as informações sobre a atividade do arquivo detectado ficarão à disposição da equipe de TI em um relatório detalhado de ameaça.

 

Compartilhamento global de informações sobre ameaças

Este é o princípio subjacente ao serviço ThreatCloud da Check Point que a ajuda a disseminar o conhecimento adquirido sobre um novo inimigo.  De forma muito parecida com a que organizações globais de saúde colaboram para combater doenças emergentes e desenvolver vacinas e outros tratamentos, a abordagem colaborativa do ThreatCloud fecha a janela de tempo entre a descoberta de um novo ataque e a capacidade de defesa contra ele.  Assim que uma nova ameaça é identificada, detalhes sobre ela (incluindo descritores de chave como o endereço IP, URL ou DNS) são carregados no ThreatCloud e, automaticamente, compartilhados com os assinantes no mundo inteiro.  Por exemplo, se uma nova ameaça estiver sendo usada como um ataque direcionado contra um banco em Hong Kong e for identificada pela emulação de ameaças, a nova assinatura pode ser aplicada a gateways ao redor do mundo em poucos minutos.  Por vacinar organizações contra ataques antes que a infeção possa se espalhar, a emulação de ameaças reduz as chances de um surto se tornar epidêmico, aumentando, assim, a segurança de todos.

 

* Claudio Bannwart é gerente de contas estratégicas da Check Point Brasil.

Share This Post

Post Comment