Ameaças avançadas demandam uma nova abordagem

Segundo Bruno Zani, gerente de engenharia de sistemas da McAfee no Brasil, em vez de depender de diversas ferramentas de segurança diferentes, futuro da SI deve usar técnicas de machine learning a fim de parar a maioria das ameaças antes que elas atinjam os endpoints

Compartilhar:

Uma nova onda de malware avançado está buscando lacunas nas defesas dos endpoint convencionais e novas formas de explorá-las. Esses malwares usam técnicas como criptografia e polimorfismo para mascarar sua verdadeira intenção, atingindo as empresas com ataques de “dia-zero”, os quais as ferramentas de segurança baseadas em assinatura não conseguem identificar.

 

Esses ataques usam executáveis sofisticados capazes de reconhecer quando estão sendo analisados em ferramentas de sandbox e, assim, atrasar a execução. Eles também incluem arquivos legítimos e aplicativos que aparecem limpos na superfície, mas que contém código malicioso embutido e acionado por gatilhos posteriores.

 

Os responsáveis pela segurança nas empresas correm contra o relógio para detectar, conter e remediar as novas ameaças e muitas vezes não conseguem. Quando vários produtos de defesa de endpoint não se comunicam uns com os outros, isso exige etapas extras e grande esforço manual dos administradores. Muitos recursos são necessários para filtrar tantos alertas, gerados por várias soluções em vários pontos diferentes. E o tempo entre a detecção e a remediação só aumenta.

 

É preciso pensar em uma abordagem de segurança diferente para aumentar a proteção do endpoint. Imagine um sistema unificado, totalmente integrado, com várias camadas de defesa que pudesse responder a novos eventos imediatamente, sem intervenção humana. Em vez de depender de diversas ferramentas de segurança diferentes, usar técnicas de machine learning para parar a maioria das ameaças antes que elas atinjam os endpoints.

 

Para conter ameaças avançadas e de dia-zero é preciso incluir análises de estrutura e comportamento de malwares no sistema de segurança. Os cibercriminosos podem alterar o aspecto do código, mas ainda será um malware. Portanto, é provável que ele compartilhe muitos atributos com ataques já conhecidos, o que torna possível analisar o código binário estático para comparar a estrutura dos executáveis suspeitos com as ameaças já conhecidas.

 

Da mesma forma, mesmo sendo desconhecido, o malware vai sempre seguir certo comportamento. Ao comparar o comportamento real do código com perfis de centenas de milhões de amostras de malware é possível identificar e bloquear o arquivo se este começar a se comportar maliciosamente, como substituir arquivos ou fazer alterações de registro que correspondam ao comportamento de outro malware conhecido.

 

Com esses recursos é possível reduzir as etapas manuais e interromper a maioria das ameaças antes que essas possam danificar o endpoint. Ao usar defesas integradas e automatizadas, o resultado é um modelo em constante evolução, cada nova ameaça detectada melhora as defesas da organização como um todo.

 

* Bruno Zani é gerente de engenharia de sistemas da McAfee no Brasil

 

Conteúdos Relacionados

Security Report | Mercado

Hotéis na mira do vazamento de dados

Pesquisa da Symantec revela que sites podem vazar suas informações de reserva, permitindo que outras pessoas vejam os dados pessoais...
Security Report | Mercado

Tendências de segurança em Sistemas de Controle Industriais

Análise categoriza e classifica os riscos mais recorrentes após observação empírica; menos um terço dos riscos críticos e de alta...
Security Report | Mercado

Minsait amplia oferta de inteligência e segurança de redes com a Allot

Aliança entre as empresas tem como foco suprir a demanda do mercado de telecom brasileiro por dados analíticos com foco...
Security Report | Mercado

Boldon James lança solução de classificação de dados

OWA Classifier estende o suporte de classificação de dados do Outlook para o Microsoft Office 365