5 maneiras em que os sandboxes em seu firewall podem falhar
Um advanced persistent threat (APT) é um conjunto de processos ocultos e contínuos de invasão de computadores, muitas vezes organizados por criminosos com foco em uma entidade específica. Com frequência, essas ameaças incluem malware não documentado e desconhecido, incluindo ameaças de zero day. São projetadas para serem crescentes, polimórficas e dinâmicas. E são destinadas a extrair ou comprometer dados confidenciais, incluindo informações de controle, acesso e identidade. Embora esses tipos de ataques sejam menos comuns do que as ameaças automatizadas ou comoditizadas, que são mais amplamente direcionadas, as APTs representam uma séria ameaça.
Para detectar melhor as APTs, os profissionais de segurança estão implantando tecnologias de detecção de ameaça avançadas que, muitas vezes, incluem sandboxes virtualizados, que analisam o comportamento de arquivos suspeitos e detectam malwares ocultos anteriormente desconhecidos. No entanto, as ameaças estão ficando mais inteligentes e várias técnicas de sandbox dos fornecedores simplesmente não as acompanharam. Este resumo examina as cinco áreas em que as técnicas de sandbox legados falham, e explora o que é necessário para que a sua empresa fique à frente das APTs.
1. Infiltração antes da análise
Primeiro, algumas soluções de sandbox não chegaram a uma conclusão da análise até que um arquivo potencialmente perigoso já tivesse entrado no perímetro da rede. Isso aumenta os possíveis vetores que um arquivo de malware executado tem para se infiltrar pela rede no perímetro.
2. Análises de arquivo limitadas
Segundo, algumas soluções de sandbox de gateway são limitadas em termos de tamanho e tipo de arquivos, ou pelo ambiente operacional que podem analisar. Elas somente podem cuidar das ameaças destinadas a um único ambiente de computação. Ainda assim, as empresas de hoje operam em vários sistemas operacionais, incluindo Windows, Android e Mac OSX.
Além disso, o aumento na adoção de dispositivos móveis e conectados ampliou a superfície de ataque de destino das ameaças. Em 2015, o SonicWall viu uma ampla variedade de novas técnicas ofensivas e defensivas que tentaram aumentar a força dos ataques contra o ecossistema Android, que corresponde a quase 85 por cento de todos os smartphones globalmente. Muitas vezes, as tecnologias de detecção de ameaça avançadas de hoje apenas analisam e detectam ameaças destinadas aos aplicativos e sistemas operacionais de produtividade em escritório legado. Isso também pode deixar as organizações vulneráveis a ataques destinados a ambientes modernos de dispositivo móvel e conectado.
Além disso, elas podem não conseguir processar uma ampla variedade de tipos de arquivos de negócios padrão, incluindo programas executáveis (PE), DLL, PDFs, documentos do MS Office, arquivamentos, arquivos JAR e APK. Tais limitações podem fazer com que as ameaças de zero day desconhecidas passem pela rede sem análise e identificação.
3. Mecanismo de sandbox isolado
Terceiro, as soluções de sandbox de mecanismo único autônomas não são mais adequadas.
O Malware está agora sendo projetado para detectar a presença de um sandbox virtual e evitar a descoberta, limitando a eficácia das tecnologias de sandbox de primeira geração. As soluções de sandbox de mecanismo único apresentam um destino particularmente fácil para técnicas de evasão.
Além disso, as técnicas de mecanismo único criam lacunas de análise. Por exemplo, as análises que buscam chamadas entre aplicativos e sistemas operacionais podem ser menos granulares do que as análises que buscam chamadas entre hardware e sistemas operacionais, já que a maioria dessas chamadas está oculta das camadas de aplicativos.
Uma técnica mais eficiente seria integrar as camadas de vários mecanismos de sandbox. E, no entanto, as soluções de sandbox são muitas vezes dispositivos autônomos de mecanismo único e isolados ou serviços em cloud. Implantar várias tecnologias de sanbox, se fosse viável, poderia aumentar significativamente a complexidade de configuração, a sobrecarga administrativa e os custos.
4. Ameaças criptografadas
Por muitos anos, instituições financeiras e outras empresas que lidam com informações confidenciais optaram pelo protocolo HTTPS seguro que criptografa as informações compartilhadas. Agora outros sites, como Google, Facebook e Twitter, também estão adotando essa prática em resposta a uma crescente demanda por privacidade e segurança do usuário. Embora haja muitos benefícios em usar mais criptografia de Internet, surge uma tendência menos positiva conforme os hackers exploram essa criptografia como uma maneira de “ocultar” malware de firewalls corporativos.
Por meio do uso da criptografia Secure Sockets Layer (SSL) e Transport Layer Security (TLS) (SSL/TLS), ou do tráfego de HTTPS, os invasores experientes conseguem codificar comunicações de comando e controle e código malicioso para burlar os sistemas de prevenção de intrusão (IPS) e os sistemas de inspeção antimalware. Esses ataques podem ser extremamente eficazes, simplesmente porque a maioria das empresas não tem a infraestrutura adequada para detectá-los. Soluções de segurança de rede legadas normalmente não têm capacidade de inspecionar tráfego criptografado de SSL/TLS ou seu desempenho é tão baixo que elas se tornam inutilizáveis ao realizar a inspeção.
5. Correção bloqueada
Além disso, muitas vezes as tecnologias de detecção de ameaças avançadas de hoje somente relatam sobre a presença e o comportamento do malware. Mesmo se a técnica de sanbox identificar de maneira eficiente uma nova ameaça evoluída em um endpoint específico, as organizações não possuem uma maneira clara de corrigir essa ameaça. Elas não possuem uma maneira simples e eficiente de atualizar todas as assinaturas de firewall em uma rede distribuída globalmente.
Quando o malware é descoberto, provavelmente após um sistema ser infectado, a correção recai sobre a organização de TI, deixando a equipe de TI com a demorada tarefa de rastrear e eliminar o malware e os danos associados dos sistemas infectados. Além disso, a equipe de TI também precisa criar e implantar rapidamente novas assinaturas de malware na organização para evitar ataques adicionais.
O que é necessário
Embora os sandboxes legados possam ser falhos, seu princípio subjacente é sólido. Ainda assim, esses problemas precisam ser resolvidos para que a sandbox seja eficiente. Para isso, sua solução de sandbox deve:
• Aplicar uma análise baseada em cloud em arquivos suspeitos para detectar e bloquear ameaças desconhecidas fora do gateway até que um veredito seja determinado;
• Analisar uma ampla variedade de tipos de arquivos e ambientes operacionais, independentemente da criptografia ou do tamanho do arquivo;
• Atualizar de maneira rápida e automática as assinaturas de correção;
• Integrar vários mecanismos de sandbox para resistir melhor às táticas de evasão, obter melhor visibilidade do comportamento mal-intencionado e aumentar a detecção de ameaças;
• Complexidade e custos mais baixos.
Saiba como proteger os dados confidenciais da sua organização, fale com os especialistas Portnet!
Fonte: © 2017 SonicWall Inc.
