por Portnet Tecnologia | Segurança em TI
Um advanced persistent threat (APT) é um conjunto de processos ocultos e contínuos de invasão de computadores, muitas vezes organizados por criminosos com foco em uma entidade específica. Com frequência, essas ameaças incluem malware não documentado e desconhecido, incluindo ameaças de zero day. São projetadas para serem crescentes, polimórficas e dinâmicas. E são destinadas a extrair ou comprometer dados confidenciais, incluindo informações de controle, acesso e identidade. Embora esses tipos de ataques sejam menos comuns do que as ameaças automatizadas ou comoditizadas, que são mais amplamente direcionadas, as APTs representam uma séria ameaça.
Para detectar melhor as APTs, os profissionais de segurança estão implantando tecnologias de detecção de ameaça avançadas que, muitas vezes, incluem sandboxes virtualizados, que analisam o comportamento de arquivos suspeitos e detectam malwares ocultos anteriormente desconhecidos. No entanto, as ameaças estão ficando mais inteligentes e várias técnicas de sandbox dos fornecedores simplesmente não as acompanharam. Este resumo examina as cinco áreas em que as técnicas de sandbox legados falham, e explora o que é necessário para que a sua empresa fique à frente das APTs.
1. Infiltração antes da análise
Primeiro, algumas soluções de sandbox não chegaram a uma conclusão da análise até que um arquivo potencialmente perigoso já tivesse entrado no perímetro da rede. Isso aumenta os possíveis vetores que um arquivo de malware executado tem para se infiltrar pela rede no perímetro.
2. Análises de arquivo limitadas
Segundo, algumas soluções de sandbox de gateway são limitadas em termos de tamanho e tipo de arquivos, ou pelo ambiente operacional que podem analisar. Elas somente podem cuidar das ameaças destinadas a um único ambiente de computação. Ainda assim, as empresas de hoje operam em vários sistemas operacionais, incluindo Windows, Android e Mac OSX.
Além disso, o aumento na adoção de dispositivos móveis e conectados ampliou a superfície de ataque de destino das ameaças. Em 2015, o SonicWall viu uma ampla variedade de novas técnicas ofensivas e defensivas que tentaram aumentar a força dos ataques contra o ecossistema Android, que corresponde a quase 85 por cento de todos os smartphones globalmente. Muitas vezes, as tecnologias de detecção de ameaça avançadas de hoje apenas analisam e detectam ameaças destinadas aos aplicativos e sistemas operacionais de produtividade em escritório legado. Isso também pode deixar as organizações vulneráveis a ataques destinados a ambientes modernos de dispositivo móvel e conectado.
Além disso, elas podem não conseguir processar uma ampla variedade de tipos de arquivos de negócios padrão, incluindo programas executáveis (PE), DLL, PDFs, documentos do MS Office, arquivamentos, arquivos JAR e APK. Tais limitações podem fazer com que as ameaças de zero day desconhecidas passem pela rede sem análise e identificação.
3. Mecanismo de sandbox isolado
Terceiro, as soluções de sandbox de mecanismo único autônomas não são mais adequadas.
O Malware está agora sendo projetado para detectar a presença de um sandbox virtual e evitar a descoberta, limitando a eficácia das tecnologias de sandbox de primeira geração. As soluções de sandbox de mecanismo único apresentam um destino particularmente fácil para técnicas de evasão.
Além disso, as técnicas de mecanismo único criam lacunas de análise. Por exemplo, as análises que buscam chamadas entre aplicativos e sistemas operacionais podem ser menos granulares do que as análises que buscam chamadas entre hardware e sistemas operacionais, já que a maioria dessas chamadas está oculta das camadas de aplicativos.
Uma técnica mais eficiente seria integrar as camadas de vários mecanismos de sandbox. E, no entanto, as soluções de sandbox são muitas vezes dispositivos autônomos de mecanismo único e isolados ou serviços em cloud. Implantar várias tecnologias de sanbox, se fosse viável, poderia aumentar significativamente a complexidade de configuração, a sobrecarga administrativa e os custos.
4. Ameaças criptografadas
Por muitos anos, instituições financeiras e outras empresas que lidam com informações confidenciais optaram pelo protocolo HTTPS seguro que criptografa as informações compartilhadas. Agora outros sites, como Google, Facebook e Twitter, também estão adotando essa prática em resposta a uma crescente demanda por privacidade e segurança do usuário. Embora haja muitos benefícios em usar mais criptografia de Internet, surge uma tendência menos positiva conforme os hackers exploram essa criptografia como uma maneira de “ocultar” malware de firewalls corporativos.
Por meio do uso da criptografia Secure Sockets Layer (SSL) e Transport Layer Security (TLS) (SSL/TLS), ou do tráfego de HTTPS, os invasores experientes conseguem codificar comunicações de comando e controle e código malicioso para burlar os sistemas de prevenção de intrusão (IPS) e os sistemas de inspeção antimalware. Esses ataques podem ser extremamente eficazes, simplesmente porque a maioria das empresas não tem a infraestrutura adequada para detectá-los. Soluções de segurança de rede legadas normalmente não têm capacidade de inspecionar tráfego criptografado de SSL/TLS ou seu desempenho é tão baixo que elas se tornam inutilizáveis ao realizar a inspeção.
5. Correção bloqueada
Além disso, muitas vezes as tecnologias de detecção de ameaças avançadas de hoje somente relatam sobre a presença e o comportamento do malware. Mesmo se a técnica de sanbox identificar de maneira eficiente uma nova ameaça evoluída em um endpoint específico, as organizações não possuem uma maneira clara de corrigir essa ameaça. Elas não possuem uma maneira simples e eficiente de atualizar todas as assinaturas de firewall em uma rede distribuída globalmente.
Quando o malware é descoberto, provavelmente após um sistema ser infectado, a correção recai sobre a organização de TI, deixando a equipe de TI com a demorada tarefa de rastrear e eliminar o malware e os danos associados dos sistemas infectados. Além disso, a equipe de TI também precisa criar e implantar rapidamente novas assinaturas de malware na organização para evitar ataques adicionais.
O que é necessário
Embora os sandboxes legados possam ser falhos, seu princípio subjacente é sólido. Ainda assim, esses problemas precisam ser resolvidos para que a sandbox seja eficiente. Para isso, sua solução de sandbox deve:
• Aplicar uma análise baseada em cloud em arquivos suspeitos para detectar e bloquear ameaças desconhecidas fora do gateway até que um veredito seja determinado;
• Analisar uma ampla variedade de tipos de arquivos e ambientes operacionais, independentemente da criptografia ou do tamanho do arquivo;
• Atualizar de maneira rápida e automática as assinaturas de correção;
• Integrar vários mecanismos de sandbox para resistir melhor às táticas de evasão, obter melhor visibilidade do comportamento mal-intencionado e aumentar a detecção de ameaças;
• Complexidade e custos mais baixos.
Saiba como proteger os dados confidenciais da sua organização, fale com os especialistas Portnet!
Fonte: © 2017 SonicWall Inc.
por Portnet Tecnologia | Segurança em TI
Os firewalls de próxima geração utilizam assinaturas e heurísticas de forma muito bem-sucedida. Mas ao defender contra os ataques mal-intencionados de hoje em dia, eles não são mais suficientes. Os desafios dos ataques direcionados e das ameaças de zero-day fazem da inclusão de sandboxing uma atividade essencial para uma postura de segurança eficaz.
Entendendo o desafio real e o que fazer com ele
O crescimento das ameaças externas hoje em dia é impressionante. Os invasores combinam a natureza oportunista da automação com o conceito do fornecedor de software para evoluir suas ameaças constantemente, tudo para ter a maior amplitude possível, sem serem detectados. E dado o impacto negativo sofrido por uma organização que sofre uma violação de dados ou um ataque de ransomware, detectar códigos mal-intencionados antes que eles impactem a rede é de extrema importância para as organizações de TI.
O desafio real não é o ransomware que já se espalhou na Internet. Os desafios reais são os ataques direcionados e as ameaças zero-day. Os ataques direcionados envolvem códigos nunca antes vistos e criados com o propósito específico para a organização sendo atacada, enquanto as ameaças zero-day exploram vulnerabilidades recentemente descobertas para as quais os fornecedores ainda precisam emitir patches. As organizações precisam se preocupar mais com esses tipos de ataques, que, geralmente, são mais bem-sucedidos do que seus antigos equivalentes. Então, qual é a melhor maneira de evitar ameaças provenientes de dentro da sua rede?
Você tem algumas opções em termos de onde deseja abordar ataques mal-intencionados e como detectá-los e eliminá-los. O objetivo é detectar e remover códigos mal-intencionados o mais próximo possível da fonte do ataque. Em relação a onde abordar um ataque, as organizações normalmente optam por dois campos: o campo de segurança de endpoint, no qual o código mal-intencionado avança para um endpoint e então é detectado e destruído, e o campo de sandboxing, no qual o código mal-intencionado é identificado e destruído antes de entrar na rede. Até que haja uma solução 100% eficaz, ambas as tecnologias continuarão sendo camadas importantes de defesa. Uma solução de sandboxing pode fornecer prevenção na borda, se implementada da forma certa.
Mantenha o código mal-intencionado distante
Se você pensar na sua rede como um castelo, não há lugar melhor para interromper um ataque do que no portão, um ponto de bloqueio que nada nem ninguém passe sem ser inspecionado para obter permissão de entrada. Ao adotar uma solução capaz de detectar o código mal-intencionado dentro do firewall de próxima geração (NGFW), você coloca um guardião no portão do castelo. Nada entra sem o conhecimento do guardião. Durante a entrada dos dados, é realizada uma varredura nos dados do tráfego por meio de diversos métodos para a detecção de códigos mal-intencionados:
• Assinaturas: Com um banco de dados de assinaturas digitais mal-intencionadas, é realizada uma varredura no tráfego a procura de quaisquer dados que correspondam a uma assinatura. Se for encontrada uma correspondência, o código será identificado como mal-intencionado.
• Heurísticas: Diferente das assinaturas, que procuram por correspondências específicas dentro de um banco de dados, a varredura baseada em heurística utiliza regras e algoritmos para detectar códigos que possam ser mal-intencionados.
• Sandboxing: Em vez de tentar procurar pelo código para encontrar tentativas ou assinaturas mal-intencionadas, a solução de sandboxing permite que o código seja detonado ou executado como pretendido para monitorar o comportamento da atividade mal-intencionada. Esse processo é realizado em um ambiente criado com esse propósito, ou sandbox, que não causará nenhum dano.
Usar essa combinação de táticas é mais eficiente e eficaz, já que os códigos mal-intencionados mais comuns ou mais simples podem ser detectados pelas tecnologias tradicionais mais rápidas e com menos recursos. Isso permite que o sandbox se concentre no conteúdo restante que realmente requer seu nível de investigação.
O motivo pelo qual as assinaturas e as heurísticas não são boas o suficiente
A detecção baseada em assinatura é somente tão boa quanto o banco de dados que ela utiliza para identificar o código mal-intencionado. Mesmo se o seu banco de dados não for atualizado a cada minuto, você pode perder um ataque, pois demora certo tempo para os fornecedores de AV identificarem o malware, atualizarem seus bancos de dados e o distribuírem a você. Além disso, as pessoas que gravam um código mal-intencionado estão cientes da detecção baseada em assinatura e utilizam um código para evitá-la.
As heurísticas também podem ser imprecisas. Uma parte do código pode simplesmente ser o tráfego que não se enquadrou no padrão esperado, causando falsos positivos. Algumas vezes, o código mal-intencionado não parece perigoso inicialmente, até ser reconstituído no back-end e tornar as heurísticas ineficientes.
Vamos pegar o ransomware como exemplo. O código que foi feito download inicialmente não é perigoso. Ele vira uma arma quando é conectado a um servidor de comando e controle (C2) e faz download de um código adicional. Outro exemplo é uma macro dentro de um documento do Microsoft Word. A menos que a macro mal-intencionada utilize um método de ataque suspeito ou conhecido, nem as assinaturas e nem as heurísticas poderão dizer se a macro em si é boa ou ruim.
Usar assinaturas ou heurísticas para fazer uma varredura passiva do tráfego possui limitações. A varredura não permite que o código se torne ativo e os invasores conseguem ofuscar o código ruim (a partir de uma perspectiva de varredura) dentro de um código “bom”. Entretanto, a maneira mais eficaz de detectar um código mal-intencionado é interagir com uma versão completamente armada.
Brincando com fogo
A única forma de capturar um código mal-intencionado avançado é “detoná-lo”. O processo de detonação é muito diferente de simplesmente fazer uma varredura no código. Ele é similar ao processo de cultura de um micróbio perigoso em um laboratório de contenção de perigo biológico ou à detonação de uma bomba em uma câmara de contenção. A sandbox fornece um local seguro para que os dados interceptados sejam abertos e executados sob observação. Se for confirmado um comportamento suspeito ou mal-intencionado, o arquivo e a ameaça contida nele poderão ser eliminados.
Sandboxes tentam detonar todos os tipos de arquivo:
• Arquivos com conteúdo ativo: Esses arquivos incluem executáveis, scripts e DLLs. Os arquivos podem ser executados e interagir com a sandbox normalmente para que seja possível monitorá-los em relação a ações mal-intencionadas, como modificar as configurações de firewall do sistema operacional ou estabelecer conexões de saída com a Internet.
• Arquivos de conteúdo passivo: Esses arquivos incluem qualquer tipo de documento, PDFs, arquivos compactados (por exemplo, ZIP, JZIP, RAR) e até mesmo arquivos de imagem. Esses arquivos são analisados com o uso do aplicativo padrão para monitorar atividades mal-intencionadas, como uma tentativa de macro do Word em fazer download de um código adicional na Internet. Sem ter todas as partes do software disponíveis em uma sandbox, é impossível analisar cada arquivo passivo. No final, sua sandbox deve ser configurada com a capacidade de inspecionar a maior quantidade de tipos de arquivo possível.
Malware em uma imagem
Você deve se perguntar o motivo pelo qual os arquivos de imagem devem ser analisados, já que eles representam um dos tipos de dados mais supostamente benignos. Mas os arquivos de imagem podem conter dados de payload mal-intencionados. Pegue como exemplo um recente ataque no Brasil em que um PDF anexado continha um link para um arquivo ZIP. Dentro desse arquivo ZIP estava um executável e um arquivo PNG. Esse PNG era pequeno (inferior a 64 pixels quadrados), mas continha um arquivo de mais de 1 MB. Após a inspeção do executável adjacente, ficou evidente que o código foi projetado para ser extraído e executar um binário mal-intencionado e oculto de dentro do PNG.
Aprimoramento de assinaturas com a sandbox
Como mencionado anteriormente, uma abordagem multifacetada é a melhor maneira de detectar código mal-intencionado. Aprimorar o método de varredura passivo pode ajudar a tornar o processo de detecção mais eficiente, já que ele precisa de bem menos ciclos de CPU para concluir a verificação em um banco de dados de assinaturas do que para gerar e manter uma sandbox capaz de detonar uma única instância de código mal-intencionado.
Além da detonação, a sandbox pode ser utilizada para criar assinaturas quando o código for determinado a ser mal-intencionado, afinal, ela possui um lugar na primeira fila para a execução desses códigos. Quando um código mal-intencionado é identificado, é criada uma assinatura e um banco de dados de assinaturas pode ser atualizado, o que aprimora a velocidade e a precisão das futuras detecções de códigos mal-intencionados.
Ainda assim, as técnicas de varredura passivas possuem suas carências em relação à detecção. Por isso, é justo perguntar o quanto uma sandbox é mais bem-sucedida.
Como uma sandbox funciona
A sandbox funciona como um ambiente de “sacrifício”, que monitora o código mal-intencionado e sua interação com o sistema operacional. As sandbox procuram pelo seguinte:
• Chamadas do sistema operacional: inclusive chamadas do sistema de monitoramento e funções de API
• Alterações do sistema de arquivos: qualquer tipo de ação, inclusive a criação, modificação, exclusão e criptografia de arquivos
• Alterações na rede: qualquer tipo de estabelecimento atípico de conexões de saída
• Alterações de registro: quaisquer modificações para estabelecer persistência ou alterações nas configurações de rede ou segurança
• Além e entre: monitoramento das instruções que um programa executa entre as chamadas do sistema operacional para complementar o contexto de outras observações
Quão eficaz é uma sandbox?
A detecção baseada em assinatura é perfeita para descobrir o código malintencionado de ontem, mas não faz nada para interromper ataques zero-day ou ataques simplesmente alterados (ou seja, malware específico que não corresponde a uma assinatura devido à mutação). As heurísticas encaram a detecção como uma etapa na direção certa, à procura de padrões atípicos no código. Mas como demonstrado no uso de um arquivo de imagem para fornecer um payload, os arquivos iniciais (por exemplo, um PDF com um link para um arquivo ZIP externo) não levantam quaisquer suspeitas.
A questão é o motivo pelo qual a sandbox é um método de detecção tão eficaz. Mesmo com ataques zero-day sem nenhuma assinatura e um código nunca antes visto, a sandbox é o único método que detecta comportamentos mal-intencionados. No final do dia, o código mal-intencionado realiza um número limitado de ações, inclusive fazer uma conexão externa, fazer download de payloads adicionais, conectar a um servidor C2 e tentar fazer alterações no sistema operacional. Nenhuma dessas ações é necessariamente normal para arquivos relacionados ao trabalho.
Há diversas formas de proteger a sua organização contra um código mal-intencionado. Ao mesmo tempo que proteger o endpoint é importante, isso pode colocar a sua organização em um risco ainda maior ao permitir o código mal-intencionado na rede. Uma solução de sandboxing fornece uma maneira de interromper as ameaças antes que elas entrem na rede.
Podemos te ajudar com a sua estratégia de sandboxing com as soluções da nossa parceira Sonicwall. Fale com a gente!
Fonte: © 2017 SonicWall Inc.
por Portnet Tecnologia | Segurança em TI
As ameaças avançadas de hoje em dia requerem um novo conjunto de funcionalidades de segurança de e-mail além dos recursos tradicionais. Uma abordagem multicamadas de segurança de e-mail garante proteção para as comunicações do negócio. Os negócios precisam de uma solução de segurança de e-mail de próxima geração que ofereça recursos abrangentes de prevenção contra ameaças.
A importância cada vez maior da segurança de e-mail de próxima geração
O e-mail tornou-se o vetor mais importante para uma variedade de ameaças, tanto de entrada quanto de saída. As ameaças cibernéticas estão evoluindo rapidamente de ataques de spam em massa para formas avançadas de ataques direcionados. A maioria destas campanhas de ataques utilizam o e-mail como veículo preferencial para distribuir o payload. De acordo com Relatório anual de ameaças do SonicWall o uso de ransomware cresceu 167 vezes anualmente e é o payload de escolha para campanhas de e-mail maliciosas. No entanto, a segurança de e-mail tradicional não está equipada para lidar com ameaças avançadas como o ransomware e ataques zero-day. Hoje, você precisa de uma solução de segurança de e-mail de próxima geração.
A seguir estão os recursos críticos que uma solução de segurança de e-mail de próxima geração deve fornecer para a prevenção efetiva de violações:
Proteção avançada contra ameaças
A maioria das soluções de antivírus é baseada em assinaturas e, portanto, ineficazes contra as ameaças avançadas como ransomware e malware desconhecido. Estes tipos de malware são exclusivamente criptografados e indetectáveis, utilizando técnicas tradicionais. Portanto, um ambiente de sandbox é necessário para detectar e prevenir ransomware e ataques zero-day antes mesmo de chegarem à sua rede.
Proteção contra ameaças conhecidas
Os cibercriminosos realizam uma série de ataques usando malwares conhecidos. O uso de bancos de dados de assinatura de AV é uma maneira simples e eficaz de exibir a entrada de e-mails maliciosos e impedir que seus funcionários enviem vírus nos e-mails remetidos. Para uma melhor eficácia, recomendamos a utilização de vários mecanismos de detecção de vírus para verificar nas mensagens de e-mail e anexos a existência de vírus, cavalos de Tróia, worms e outros tipos de conteúdo malicioso.
Proteção contra phishing
As campanhas de phishing surgiram como o principal veículo para fornecer payloads para ataques de ransomware. Sua solução de segurança de e-mail deve incorporar análise avançada de conteúdo que verifica todos os assuntos, corpo e anexo de e-mail e utiliza um ambiente de sandbox para anexos suspeitos. Além disso, a solução deve manter uma lista negra de IP em tempo real para filtrar e-mails com links maliciosos.
Proteção contra fraudes
Os hackers usam táticas avançadas como spear phishing, whaling e Fraude de CEO para solicitar PII ou para executar fraudes por personificar e elaborar e-mails que parecem ser autênticos. As configurações granulares para os parâmetros de e-email devem estar disponíveis para prevenir que as mensagens ilícitas entrem em sua organização. As configurações de e-mail, como SPF (Sender Policy Framework, ou, Estrutura de Política de Envio), DKIM (Domain Keys Identified Mail, ou, Autenticação de E-mail Baseada em Chaves Públicas) e DMARC (Domainbased Message Authentication, Reporting and Conformance, ou, Autenticação, Relatório e Conformidade de Mensagem Baseada em Domínio), juntamente com o reconhecimento de padrões e a análise de conteúdo, impõem validação adequada em todas as mensagens recebidas.
Proteção contra spam
As mensagens de spam podem obstruir caixas de entrada e recursos de rede, desperdiçar tempo de negócio e aumentar os custos operacionais. A segurança de e-mail deve usar vários métodos de detecção de spam e outros e-mails indesejados. Esses métodos incluem o uso de listas específicas de permissão e bloqueio de pessoas, domínios e listas de distribuição, padrões criados por estudar o que outros usuários marcam como lixo eletrônico e a capacidade de ativar listas de terceiros bloqueadas.
Prevenção contra perda de dados
As comunicações mais sensíveis de uma organização exigem a máxima proteção. A melhor medida é criptografar e-mails confidenciais e anexos de e-mails. Um recurso de um serviço de criptografia deve funcionar em conjunto com a segurança de e-mail para proteger os e-mails.
As soluções tradicionais de segurança de e-mail contam com reputações de IP estático e mecanismos de detecção baseados em assinaturas, que simplesmente não podem proteger contra os malwares evasivos e sofisticados de hoje. A detecção por si só não é suficiente; muitas vezes as notificações são inúteis para evitar um ataque em curso. Há uma necessidade de soluções de segurança de e-mail para passar da detecção para a prevenção e ter a capacidade de parar os ataques antes mesmo de chegarem à sua rede.
As soluções de segurança de e-mail de próxima geração da SonicWall usam uma abordagem de defesa multicamada em conjunto com a tecnologia premiada de sandboxing Capture ATP. Os recursos inigualáveis de prevenção de violações do Capture ATP, defendem contra ameaças avançadas provenientes de e-mails. Além disso, ela oferece antiphishing, antifalsificação, antispam, multimotor AV e Prevenção de Perda de Dados (DLP) superiores para uma proteção abrangente.
Converse com a Portnet! Podemos ajudar a sua organização as soluções da nossa parceira, SonicWall.
Fonte: © 2017 SonicWall Inc.
por Portnet Tecnologia | Segurança em TI
As ameaças avançadas, como exploits de zero-day e malware personalizado, estão em alta. Hoje, organizações de todos os portes são alvos de criminosos cibernéticos que continuamente procuram, localizam e exploram brechas em softwares vulneráveis. Eles fazem isso para obter acesso a redes, sistemas e dados, e geralmente perpetuam danos graves dentro de apenas alguns minutos. Para melhor detectar essas ameaças desconhecidas, os profissionais de segurança implantam tecnologias avançadas de detecção de ameaças, como sandboxes virtuais, que analisam o comportamento de arquivos suspeitos e malwares ocultos desconhecidos.
Entretanto, as ameaças se tornam cada vez mais inteligentes. Hoje em dia, o malware é projetado para detectar a presença de sandboxes virtuais e evitá-las. Isso limita a eficácia das tecnologias de detecção de ameaças. As organizações precisam de uma nova abordagem para proteger seus negócios contra essas ameaças avançadas. Em particular, isso requer que a tecnologia de análise de ameaças não seja detectada ou ignorada por códigos mal-intencionados. Para isso, uma solução de proteção contra ameaças avançadas (ATP) de ponta deve ser capaz de:
• Análises de sandbox em camadas dinâmicas
• Examinar o tráfego criptografado
• Analisar todos os arquivos
• Bloquear os arquivos até que eles sejam verificados
• Acelerar a correção de ameaças identificadas
Análises de sandbox camadas dinâmicas
Fornecer camadas adicionais de análises de ameaças com um sandbox multimotor é muito mais eficaz para descobrir ameaças de zero-day do que uma abordagem com somente um motor. O malware consegue detectar e evitar um sandbox de motor único muito mais facilmente. Idealmente, uma plataforma eficaz de análise de ameaças combina múltiplas camadas de motores de análise de malware, incluindo não apenas ambientes virtuais de sandbox mas também sandboxing de emulação de hardware e sistema operacional, combinado com análises de memória.
Com essa abordagem, o código suspeito pode ser executado em uma plataforma de sandbox multimotor, que inclui um sandbox virtualizado, emulação completa de sistema e tecnologia de análise no nível do hypervisor. O comportamento de qualquer arquivo suspeito pode ser analisado, fornecendo uma visibilidade abrangente de atividades mal-intencionadas, ao mesmo tempo que resiste a táticas de evasão e aumenta a detecção de ameaças de zero-day.
Também é importante que seja possível adicionar camadas de análises de ameaças de forma dinâmica. Como as ameaças são constantemente ocultadas de novas formas, é necessária uma plataforma de análise de ameaças que altere e adote novos mecanismos de detecção e ameaça conforme necessário. A única coisa que não vai mudar é que as técnicas de ataque serão modificadas continuamente. Para a proteção contra ameaças de zero-day, as soluções que podem adicionar dinamicamente novos mecanismos de análise de malware, conforme o cenário de ameaças evolui, são mais eficazes na detecção de ameaças e malwares avançados atuais e futuros.
Examinar o tráfego criptografado
As ameaças avançadas de hoje em dia aplicam métodos complexos e sofisticados para permanecerem não detectadas. Elas usam metodologias completamente novas ou adotam os mecanismos de defesa já existentes, como a ocultação no tráfego SSL criptografado. Para ser eficaz, uma solução avançada de detecção de ameaças deve inspecionar todo o tráfego de arquivos suspeitos, seja ele criptografado ou não. Geralmente impossível com fornecedores de produtos independentes, as sandboxes que trabalham com um firewall de próxima geração podem aproveitar o uso de uma tecnologia de encerramento de SSL para analisar arquivos criptografados.
Analisar todos os arquivos
Além de ocultar tráfego criptografado, os criadores de malware ocultam códigos mal-intencionados nos arquivos e nos aplicativos. Para combater essa atividade, as sandboxes devem ser capazes de analisar o malware oculto em diversos tipos de arquivos, tamanhos de arquivo e ambientes operacionais para melhor fornecer uma detecção de ameaças de zero-day abrangente. Essa configuração deve incluir a análise de diversos tipos arquivos, inclusive programas executáveis, PDFs, documentos do MS Office, arquivamentos, arquivos JAR e APK, assim como múltiplos ambientes de sistemas operacionais, como Windows, Android, Mac OS X e ambientes com vários navegadores. Para maior flexibilidade, a solução deve permitir análises personalizadas por tipo de arquivo, tamanho de arquivo, remetente, destinatário e protocolo. Além disso, também deve permitir o envio manual de arquivos para análise.
Bloquear os arquivos até que eles sejam verificados
A detecção de ameaças de zero-day é essencial. Mas a detecção sozinha não é suficiente. Uma solução viável não deve inspecionar somente o tráfego a procura de códigos mal-intencionados, como também deve fornecer a capacidade de bloquear a entrada de códigos suspeitos na rede até que eles sejam analisados e uma decisão seja tomada. A decisão de algumas sandobxes em silos é tomada somente após a permissão de um arquivo na rede. Nesses casos, ele funciona como um alarme em vez de uma medida preventiva.
Acelerar a correção de ameaças identificadas
Quando uma ameaça é identificada, atualizações rápidas e automáticas de assinatura são essenciais. A eficácia da proteção contra ameaças depende da diminuição de tarefas demoradas de manutenção manual de uma posição de segurança proativa. Para evitar ataques posteriores, as assinaturas para malwares recém-descobertos devem ser geradas rapidamente e distribuídas automaticamente nos dispositivos de segurança de rede, o que evita futuras infiltrações da ameaça de malware identificada. Nesse cenário, quando um arquivo é identificado como malintencionado, uma nova assinatura é implantada imediatamente nos firewalls para a inclusão em bancos de dados de assinaturas IPS e antivírus de gateway, assim como bancos de dados de reputação de domínio e IP de URL. De forma ideal, você gostaria de um painel imediato para monitorar a detecção de ameaças avançadas e fornecer relatórios de análises detalhados.
Conclusão
Os ambientes atuais de sandbox devem ser tão abrangentes e dinâmicos quanto as ameaças que eles desejam impedir. Ao seguir essas melhores práticas na seleção de uma solução de sandbox de ameaças avançadas, as organizações se beneficiarão da eficácia na detecção, proteção e alta segurança, além de tempos rápidos de resposta.
Descubra como a Portnet e a SonicWall podem ajudá-lo a fornecer a garantia de proteção avançada contra ameaças! Entre em contato com a gente para saber como o Capture ATP pode proteger seus negócios.
Fonte: © 2017 SonicWall Inc.
