Ameaças avançadas demandam uma nova abordagem para a segurança do endpoint
Artigo de *Bruno Zani
Uma nova onda de malware avançado está buscando lacunas nas defesas dos endpoint convencionais e novas formas de explorá-las.
Esses malwares usam técnicas como criptografia e polimorfismo para mascarar sua verdadeira intenção, atingindo as empresas com ataques de “dia-zero”;
Os quais as ferramentas de segurança baseadas em assinatura não conseguem identificar.
Esses ataques usam executáveis sofisticados capazes de reconhecer quando estão sendo analisados em ferramentas de sandbox e, assim, atrasar a execução.
Eles também incluem arquivos legítimos e aplicativos que aparecem limpos na superfície, mas que contém código malicioso embutido e acionado por gatilhos posteriores.
Os responsáveis pela segurança nas empresas correm contra o relógio para detectar, conter e remediar as novas ameaças e muitas vezes não conseguem.
Quando vários produtos de defesa de endpoint não se comunicam uns com os outros, isso exige etapas extras e grande esforço manual dos administradores.
Muitos recursos são necessários para filtrar tantos alertas, gerados por várias soluções em vários pontos diferentes.
E o tempo entre a detecção e a remediação só aumenta.
É preciso pensar em uma abordagem de segurança diferente para aumentar a proteção do endpoint. Imagine um sistema unificado, totalmente integrado, com várias camadas de defesa que pudesse responder a novos eventos imediatamente, sem intervenção humana.
Em vez de depender de diversas ferramentas de segurança diferentes, usar técnicas de machine learning para parar a maioria das ameaças antes que elas atinjam os endpoints.
Para conter ameaças avançadas e de dia-zero é preciso incluir análises de estrutura e comportamento de malwares no sistema de segurança.
Os cibercriminosos podem alterar o aspecto do código, mas ainda será um malware.
Portanto, é provável que ele compartilhe muitos atributos com ataques já conhecidos, o que torna possível analisar o código binário estático para comparar a estrutura dos executáveis suspeitos com as ameaças já conhecidas.
Da mesma forma, mesmo sendo desconhecido, o malware vai sempre seguir certo comportamento.
Ao comparar o comportamento real do código com perfis de centenas de milhões de amostras de malware é possível;
Identificar e bloquear o arquivo se este começar a se comportar maliciosamente;
Como substituir arquivos ou fazer alterações de registro que correspondam ao comportamento de outro malware conhecido.
Com esses recursos é possível reduzir as etapas manuais e interromper a maioria das ameaças antes que essas possam danificar o endpoint.
Ao usar defesas integradas e automatizadas, o resultado é um modelo em constante evolução, cada nova ameaça detectada melhora as defesas da organização como um todo.
Bruno Zani
*Bruno Zani é gerente de engenharia de sistemas da McAfee no Brasil