Uma nova onda de malware avançado está buscando lacunas nas defesas dos endpoint convencionais e novas formas de explorá-las. Esses malwares usam técnicas como criptografia e polimorfismo para mascarar sua verdadeira intenção, atingindo as empresas com ataques de “dia-zero”, os quais as ferramentas de segurança baseadas em assinatura não conseguem identificar.
Esses ataques usam executáveis sofisticados capazes de reconhecer quando estão sendo analisados em ferramentas de sandbox e, assim, atrasar a execução. Eles também incluem arquivos legítimos e aplicativos que aparecem limpos na superfície, mas que contém código malicioso embutido e acionado por gatilhos posteriores.
Os responsáveis pela segurança nas empresas correm contra o relógio para detectar, conter e remediar as novas ameaças e muitas vezes não conseguem. Quando vários produtos de defesa de endpoint não se comunicam uns com os outros, isso exige etapas extras e grande esforço manual dos administradores. Muitos recursos são necessários para filtrar tantos alertas, gerados por várias soluções em vários pontos diferentes. E o tempo entre a detecção e a remediação só aumenta.
É preciso pensar em uma abordagem de segurança diferente para aumentar a proteção do endpoint. Imagine um sistema unificado, totalmente integrado, com várias camadas de defesa que pudesse responder a novos eventos imediatamente, sem intervenção humana. Em vez de depender de diversas ferramentas de segurança diferentes, usar técnicas de machine learning para parar a maioria das ameaças antes que elas atinjam os endpoints.
Para conter ameaças avançadas e de dia-zero é preciso incluir análises de estrutura e comportamento de malwares no sistema de segurança. Os cibercriminosos podem alterar o aspecto do código, mas ainda será um malware. Portanto, é provável que ele compartilhe muitos atributos com ataques já conhecidos, o que torna possível analisar o código binário estático para comparar a estrutura dos executáveis suspeitos com as ameaças já conhecidas.
Da mesma forma, mesmo sendo desconhecido, o malware vai sempre seguir certo comportamento. Ao comparar o comportamento real do código com perfis de centenas de milhões de amostras de malware é possível identificar e bloquear o arquivo se este começar a se comportar maliciosamente, como substituir arquivos ou fazer alterações de registro que correspondam ao comportamento de outro malware conhecido.
Com esses recursos é possível reduzir as etapas manuais e interromper a maioria das ameaças antes que essas possam danificar o endpoint. Ao usar defesas integradas e automatizadas, o resultado é um modelo em constante evolução, cada nova ameaça detectada melhora as defesas da organização como um todo.
* Bruno Zani é gerente de engenharia de sistemas da McAfee no Brasil