NGAV devem substituir as soluções tradicionais 

Analistas preveem que, nos próximos cinco anos, o mercado de antivírus de próxima geração (Next Generation Antivírus, na sigla em inglês) deverá crescer a uma margem de 60% ao ano.

E esse crescimento será impulsionado pela demanda do mercado em obter soluções mais robustas, e que possam prevenir os ataques a partir do endpoint, e que utilizam como gatilho o comportamento do usuário final.

Embora o UBA (User Behaviour Analytics) faça o endereçamento essas demandas, ele não previne a infecção, e age apenas na detecção da ameaça quando já está agindo internamente.

Aliás, qual é a principal diferença dos antivírus de próxima geração em relação às soluções atuais de segurança?

Os antivírus tradicionais não conseguem fazer a prevenção, como veremos mais abaixo, e as ferramentas baseadas em UBA agem somente depois que o código malicioso está em ação na rede.

A partir deste ponto, é impossível definir qual é a extensão dos danos causados.

A questão é que os antivírus tradicionais não conseguem prevenir ou detectar qualquer tipo Ameaça Persistente Avançada (ATP, na sigla em inglês), por causa do seu alto grau de complexidade.

Apenas soluções que envolvem várias técnicas de prevenção e detecção estão prontas para mitigar este tipo de ataque.

Por que os tradicionais antivírus não funcionam mais?

Os antivírus tradicionais, ao longo de sua história, sempre funcionaram varrendo os arquivos à procura de algum tipo de assinatura – ou seja, pedaços de códigos encontrados em outros tipos de ataques e já documentados.

As bases de dados das assinaturas, distribuídas pelas empresas de antivírus, acabam se revelando um método efetivo somente para as ameaças tradicionais – para esse novo tipo de ataque, são ineficientes por várias razões.

O número de códigos maliciosos e sua velocidade de criação são enormes – e, com isso, as bases de dados de assinaturas só vão aumentando.

Mais do que isso, o método de assinaturas é totalmente ineficaz contra ataques de dia zero (zero-day) – cujo código nunca foi visto antes.

Para coibir a complexidade dessas ameaças, o mais eficaz é utilizar sistemas que possam detectar malware com base no fato de que o código é malicioso – e irá se comportar como tal.

Sistemas tradicionais não conseguem fazer essa detecção pelo simples motivo de que não conseguem “aprender” com o comportamento da máquina.

Ou seja: é preciso utilizar técnicas de Inteligência Artificial para permitir a identificação de padrões de comportamento de máquina além da assinatura.

Machine Learning

Antivírus de próxima geração têm como base machine learning (aprendizado de máquina) e Inteligência Artificial.

Essas ferramentas têm seus algoritmos treinados para reconhecer se um determinado elemento é seguro ou não, a partir do aprendizado prévio.

Uma vez que os algoritmos estejam “treinados”, estão prontos para trabalhar com desafios reais e determinar o que é seguro e o que não é.

Aparentemente o problema estaria resolvido, mas a questão vai além.

Eventualmente, é possível que um arquivo seguro seja classificado como “inseguro”, ou uma aplicação seja bloqueada.

Nesses casos, como funciona um antivírus de próxima geração baseado em Inteligência Artificial?

Irá testar o arquivo para determinar seu grau de confiabilidade.

Se realmente houver uma ameaça, a AI (Artificial Intelligence) é capaz de utilizar esse conhecimento para mitigar ataques futuros.

Artificial Intelligence

Muitas empresas de Segurança da Informação estão desenvolvendo pesquisas voltadas para Inteligência Artificial – não é possível ignorar a tendência, principalmente com a complexidade cada vez mais alta dos ataques.

E uma delas é a norte-americana Cylance, que baseia seu antivírus de próxima geração em Inteligência Artificial.

A Cylance se especializou em criar proteção para o endpoint a partir do aprendizado de máquina, e não das assinaturas reativas.

A Cylance detecta e bloqueia ameaças conhecidas e desconhecidas.

E isso é possível porque a empresa desenvolveu uma plataforma de pesquisa baseada em machine learning que utiliza algoritmos e Inteligência Artificial para analisar e classificar milhares de características por arquivo, compartimentando-os até um nível atômico para decidir se um objeto é seguro ou não, em tempo real.

Como isso funciona?

Pense em como a máquina consegue distinguir a fotografia de um gato da de um cachorro. Cães e gatos têm orelhas e narizes, e são peludos. Para fazer essa distinção, é preciso analisar um volume enorme de detalhes.

O mesmo acontece ao tentar distinguir um PDF seguro de um código malicioso: não há um indicador único.

A rede de Inteligência Artificial precisa examinar uma enorme quantidade de dados para fazer um julgamento confiável.

A abordagem matemática da Cylance permite a interrupção de qualquer código malicioso, independente se o sistema tem algum conhecimento prévio daquele código, ou se o código está utilizando algum tipo de técnica para coibir sua identificação.

Recentemente, a PROOF fechou uma parceria com a Cylance para incorporar às ferramentas da fabricante ao seu serviço de MSS, que se tornou o primeiro no Brasil a oferecer soluções de antivírus de próxima geração.

As soluções de da Cylance são capazes de prevenir ameaças avançadas, do tipo zero-day e ransomwares, complementando ou substituindo os antivírus tradicionais.

Contra o Ransomware

Os antivírus de próxima geração são especialmente eficazes quando se trata do ransomware – uma das maiores ameaças de 2016, que consumiu recursos e tirou o sono de vários gestores.

Isso porque é muito fácil obter um código malicioso de ransomware – não é preciso que o criminoso tenha sequer conhecimentos específicos.

Para agravar a situação, o ransomware não está mais sendo utilizado para somente sequestro de dados e pedido de resgate.

Em alguns casos, o ransomware é usado como uma distração para acobertar um crime mais grave: primeiro o criminoso rouba credenciais, e depois criptografa as informações para manter o time de TI ocupado enquanto informações mais importantes ou sensíveis são roubadas.

No caso do ransomware, empresas como a Cylance também possuem soluções que endereçam essas ameaças de maneira mais efetiva, atuando na prevenção do problema.

O aprendizado de máquina e a Inteligência Artificial permitem realizar ações de prevenção altamente eficazes contra esse tipo de ameaça – que não é detectável pelo antivírus tradicional e embora possa ser identificada pelas ferramentas UBA, é possível que o aviso seja emitido tarde demais.

Ataques Zero-day

Em um teste realizado em janeiro deste ano, 140 códigos maliciosos de ataques zero-day rodaram em uma máquina de testes que utiliza o CylancePROTECT.

A ferramenta permitiu que apenas três códigos maliciosos fossem executados na máquina – um deles foi bloqueado na execução, e os outros dois seguiram.

O resultado do teste mostrou que a solução da Cylance bloqueou 97.9% das ameaças zero-day.

Mais do que isso, o modelo matemático utilizado pelo CylancePROTECT nesse teste foi o mesmo criado em setembro de 2015, e não teve qualquer atualização.

Ao contrário dos antivírus tradicionais, que precisam ter sua base atualizada, a Inteligência Artificial desenvolvida pela Cylance permite a prevenção de ataques complexos e desconhecidos.

Outro teste realizado pela Cylance consistiu em 14.658 amostras de malware, dividido em várias categorias diferentes, como backdoors, bots, vírus, worms, downloaders, aplicativos para roubo de senhas, entre outros.

Deste total, ao menos 97% foram bloqueados antes de serem executados.

Dados da Kaspersky estimam que o Brasil concentra 92,31% de todos os casos de ransomware na América Latina.

Além disso, informações do ISTR Symantec 2016 revelam que os ataques de ransomware cresceram 35% em relação ao ano de 2015, sendo registrados cerca de 992 ataques por dia.

Preocupante, não?

ISTR Symantec Facts

Desafiados pela missão de democratizar o conceito de Segurança da Informação e explicar para mais pessoas a importância do trabalho de educação e conscientização em relação às boas práticas de segurança, foi criada a série de posts ISTR Symantec Facts.

Dicas para virar o jogo contra o ransomware

Dicas para virar o jogo contra o ransomware

Os métodos usados nos ataques de ransomware já são bem conhecidos dos profissionais de segurança. No entanto, as empresas esbarram em um problema chave na prevenção dessa ameaça: a confiança excessiva em técnicas de detecção baseadas em assinaturas.

As técnicas usadas pelos hackers são efetivas e difíceis de eliminar independente do quanto os usuários finais sejam bem educados e do quanto as empresas cuidem da atualização de seus softwares. Isso inclui e-mails de spear phishing e downloads que usam kits de exploração para tirar vantagem de vulnerabilidades nos sistemas.

Os ransomwares também passaram a adotar uma abordagem baseada na rede, que tem como alvo os servidores vulneráveis, usando ferramentas de testes de penetração acessíveis. Quando estão dentro da rede, os cibercriminosos coletam credenciais e começam a criptografar os arquivos.

Comportamento ainda é importante

Técnicas baseadas em assinatura não são capazes de detectar ransomware. Há um número enorme de variantes e assinaturas associadas ao ransomware crescendo rapidamente. Poucas são as características comuns entre eles que permitem identificá-los dessa maneira. Por isso, ao buscar comportamentos específicos em vez de assinaturas, as empresas têm mais chances de deter o ransomware antes que ele se instale.

Persistência

Quase todas as tentativas de ransomware persistem em um sistema. Ou seja, a ameaça permanece ativa. Na maioria dos casos, os autores de ransomware usam localizações muito similares àquelas que usam malwares tradicionais que efetivamente permitem novas tentativas. O ransomware Petya, que é capaz de criptografar HDs inteiros, é capaz de sobrescrever o master boot record (MBR) sozinho. Isso torna a persistência um ótimo foco na detecção de comportamentos típicos de malware.

Ferramentas do Windows

Os criadores de ransomwares amam ferramentas do Windows, especialmente frameworks baseados em scripts. Esses frameworks são usados em uma grande variedade de maneiras, incluindo persistência, deleção de cópias de sombra, comunicação e até a própria criptografia.

O ransomware é considerado uma das maiores ameaças em 2016. Baixe o whitepaper da PROOF Ransomware: Conheça a praga que vai dominar 2016 e saiba quais são as principais características desse tipo de ataque e como a PROOF pode ajudar a proteger seu ambiente.

Com Security Week

Ataques distribuídos ficam mais perigosos

Ataques distribuídos ficam mais perigosos

Não é só o número de ataques do tipo DDoS e botnet que estão crescendo, mas também a complexidade por trás desses ataques. Uma série de relatos recentes informa como os padrões dos ataques distribuídos estão convergindo.

Um estudo da empresa americana de tecnologia Neustar mostra como o volume e a intensidade dos ataques de DDoS está maior. O estudo mostra que 73% das marcas globais reportaram um ataque desse tipo em 2015. Além disso, oito em cada dez empresas sofreram múltiplos ataques de DDoS.

O estudo mostra que 42% das empresas levam três horas ou mais para detectar um ataque DDoS em sua infraestrutura e cerca de metade das empresas reportaram uma hora de queda por causa do incidente, gerando perdas de até US$ 100 mil de receita.

As perdas na receita, no entanto, são apenas “a ponta do iceberg”. Cerca de 57% dos incidentes envolvendo ataques DDoS resultaram em algum roubo de dados de clientes, propriedade intelectual ou recursos financeiros.

A evolução dos DDoS

Se antes o objetivo do DDoS era apenas tirar um site do ar, hoje os hackers usam esse tipo de ataque como uma maneira de diversificar suas táticas de infiltração. Os hackers adotam várias ações coordenadas para manter os departamentos de TI ocupados tentando descobrir onde e quando o próximo ataque vai ocorrer para esconder outras técnicas de ataque com objetivos mais complexos.

Pode ser difícil detectar um ataque do tipo DDoS porque não existe um único vetor para defender. O recurso alvo fica inundado de solicitações de centenas ou milhares de fontes.

Empresas com uma abordagem multifacetada provavelmente estão mais bem equipadas para se defender desses ataques. É preciso criar um plano proativo e responsivo para proteger o ambiente dos ataques mais complexos de DDoS, não apenas depender de softwares de segurança de detecção.

A PROOF tem uma equipe de segurança com especialistas em verticais de negócios capazes de identificar as principais ameaças à operação do seu ambiente, possibilitando a adoção de uma abordagem proativa. Conheça os Serviços Gerenciados – MSS PROOF e saiba como podemos ajudá-lo a proteger seu ambiente.

Como a ciência de dados traz praticidade à segurança da informação

Como a ciência de dados traz praticidade à segurança da informação

Ao ser incorporada à segurança da informação, a ciência de dados pode tornar a segurança da informação muito mais prática. Essa tecnologia pode ser implementada na infraestrutura de segurança para gerar mais rapidez nos processos diários e obter mais conhecimento sobre a rede.

Saiba como implementar a ciência de dados na segurança da informação de maneira efetiva para melhorar sua estratégia de proteção:

Uma maneira de aprendizado

Em vez de programar a solução para resolver problemas complexos, as ferramentas de ciência de dados podem ser usadas para obter mais insights dos dados coletados ao longo do tempo, assim, em vez de usá-los para obter respostas pontuais, é possível usá-los para aprender e adaptar a estratégia de maneira contínua.

Esse conceito de aprendizado contínuo é crucial, pois o aprendizado de máquina está sendo usado para criar mudanças similares na segurança da informação. Por muitos anos, os produtos de segurança se comportaram como uma linha de montagem na detecção de ameaças, em que um processo seria desenvolvido e então replicado em escala.

Como parte desse processo, os produtos eram programados com padrões conhecidos de ameaças e a solução então escanearia o tráfego em busca desses padrões. Esse mecanismo, no entanto, é facilmente derrotado ao encarar um adversário inteligente e adaptável.

A ciência de dados e o aprendizado de máquina são a solução para esse modelo. Em vez de precisar da resposta, o software pode aprender com os dados. Hoje os modelos de aprendizado de máquina avaliam grandes grupos de ameaças para encontrar traços em comum, conexões escondidas que não são óbvias para analistas humanos.

Por exemplo, cibercriminosos movem constantemente seus servidores de comando e controle pra novos domínios e trocam endereços de IP para estarem sempre à frente nas listas de reputação. Os modelos de aprendizado de máquina podem detectar padrões escondidos no comportamento desses servidores.

Diferentes modelos podem identificar precisamente o tráfego de servidores de comando e controle na ausência de qualquer reputação ou assinatura. Esse conceito tem sido estendido à parte de encontrar comunicações específicas de malware, como um malware recebendo instruções ou recebendo um update executável. Esses modelos podem ser treinados constantemente como novos dados para encontrar mais tendências e comportamentos nocivos no tráfego.

Com Security Week

Como empresas do middle-market podem se proteger do ransomware

Como empresas do middle-market podem se proteger do ransomware

As empresas do chamado middle-market, são empresas consideradas de médio porte. Quando o assunto é o cibercrime, elas não estão fora da mira dos criminosos.

A maioria dos ataques que tem como alvo as grandes empresas são resultado de campanhas altamente sofisticadas, em que os hackers passam meses testando as defesas do perímetro e conduzindo trabalhos de reconhecimento de engenharia social. Ao contrário desses ataques altamente personalizados com objetivos específicos, o ransomware é um ataque massivamente escalável, cujo objetivo é infectar o máximo de usuários possível por meio de um e-mail malicioso ou sites comprometidos.

Algumas empresas se apressam para pagar o resgate do ransomware para ter seus dados de volta, mas isso informa ao resto da comunidade hacker quais são alvos melhores. Apesar do crescimento dos ataques de ransomware – na América Latina, o Brasil é o maior alvo dos cibercriminosos que usam esse tipo de ameaça, segundo estudo da Kaspersky Lab divulgado em março deste ano – muitas empresas de médio porte não se consideram um alvo atraente para os cibercriminosos.

Justamente essa falta sensação de anonimato, junto da falta de recursos e expertise em segurança, tornam as empresas do middle-market alvos lucrativos para os hackers. Conheça algumas maneiras de parar com os ataques:

Não abra e-mails e anexos suspeitos

Essa dica é óbvia e ainda assim parece que precisa ser repetida sempre. O elo mais fraco da cibersegurança são seus próprios funcionários. Se os e-mails de phishing não fossem tão efetivos, não haveria chance para a maioria dos ataques cibernéticos. As soluções de segurança mais básicas precisam ser implementadas juntamente com um programa de treinamento em cibersegurança para todos os funcionários.

Avise os usuários sobre sites suspeitos

Instale um filtro de URL forte para impedir, ou ao menos alertar, os usuários sobre a navegação em sites que podem oferecer riscos. Quando os anexos maliciosos falham, os sites maliciosos geralmente entram em ação.

Detecte arquivos maliciosos recebidos

Uma solução sandbox ou um antimalware podem ajudar na luta contra o ransomware, pois ajudam a detectar arquivos maliciosos recebidos. Isso reduz o risco de infecção caso um usuário acidentalmente faça download de um arquivo prejudicial.

Busque tráfego de saída malicioso

Se sua equipe de segurança da informação detectar uma infecção, ainda há esperança. Para que o ransomware funcione, ele precisa gerar a chave de criptografia e entregar a chave pública para a máquina por meio de um servidor de comando e controle. No entanto, o estágio de criptografia pode ser bloqueado se a empresa puder detectar e parar o tráfego de saída.

Com Security Week

Mídias sociais trazem riscos sérios à segurança da informação

A exposição nas redes sociais pode trazer uma série de riscos às empresas. Bons sistemas de detecção de incidentes são essenciais para mitigar os riscos das mídias sociais.

Com a ajuda de serviços de inteligência, as empresas podem melhorar a consciência da empresa em relação à segurança para identificar e antecipar desafios para fortalecer as defesas corporativas.

Conheça alguns riscos das mídias sociais e saiba como preveni-los, estabelecendo boas práticas de monitoramento de riscos nas mídias sociais.

Entenda os riscos que sua empresa corre com a exposição online

Dados de vazamentos nunca poderão ser completamente prevenidos, por isso, o objetivo deve ser detectá-los o mais rápido possível. Serviços de inteligência com a capacidade de examinar uma grande quantidade de fontes diversas podem oferecer uma boa cobertura de todos os pontos, incluindo os que envolvem as mídias sociais.

Reforce uma abordagem de defesa contra ataques com alvo

A empresa deve investir em uma boa conscientização dos riscos de segurança, suas táticas e seus motivos. Os serviços de inteligência em segurança da informação devem monitorar continuamente grupos hostis e suas operações. Muitos serviços cobrem fóruns criminais e sites da dark web, mas as empresas também precisam monitorar as mídias sociais para detectar ataques com alvo, engenharia social e campanhas de hackativismo específicas que podem abranger a empresa.

Monitore menções à sua empresa e sua marca

Ao monitorar as menções à empresa e à marca, as empresas, consequentemente podem identificar e remover materiais potencialmente prejudiciais antes que ele se espalhe e cause mais danos. A publicação de materiais prejudiciais também não pode ser prevenida completamente, por isso, a melhor opção para as empresas é detectá-la o mais rápido possível. Para proteger efetivamente a marca, o monitoramento de serviços deve ser personalizado para cada organização.

Crie políticas para as mídias sociais

Invista na criação de políticas para o uso das mídias sociais que permitam monitorar o que os funcionários publicam nas redes sociais e garanta que elas sejam revistas frequentemente. Os funcionários precisam estar conscientes de que sua presença nas mídias sociais pode ser monitorada, já que fazem parte da empresa nas mídias sociais. É responsabilidade da empresa treinar os funcionários para que cumpram as regras.

Com Security Week