Matemática versus malware

Transcrição

1 Matemática versus malware Há uma maneira melhor? Insights sobre como a matemática pode derrotar o malware. "A matemática é o maior instrumento de conhecimento que a humanidade nos deixou." René Descartes, filósofo, matemático e cientista francês O problema, embora poucos admitam, é que o pessoal de segurança empresarial está defendendo um castelo cheio de fendas e passagens secretas, protegido por barreiras ineficientes. Esses pontos fracos são causados por software de segurança de baixa qualidade, hardware mais antigo e, em alguns casos, backdoors implantados por invasores mal-intencionados. O resultado final é a relutante admissão de que os invasores estão ganhando a guerra. Os ataques têm diversos motivos, originam-se de vários locais e, conforme as tecnologias avançam, ficam cada vez mais complexos. Como parte dessa evolução, as ameaças modernas normalmente usam técnicas de evasão criadas para ultrapassar as medidas de segurança existentes. Detectar as ameaças avançadas após o ocorrido é difícil, mas proteger uma organização inteira com antecedência é mais difícil ainda. E se houver uma maneira melhor? E se for possível defender o castelo? E se for possível parar a ameaça antes que ela faça qualquer estrago? O fator humano Para que as tecnologias de segurança estejam prontas para enfrentar os invasores modernos, elas precisam evoluir no mesmo ritmo, sem depender de intervenção humana. É nesse ponto que a matemática e o aprendizado de máquina têm vantagem. Se for possível diferenciar de forma objetiva os arquivos "bons" dos "ruins" com base em fatores de risco matemáticos, poderemos ensinar uma máquina a tomar as decisões certas sobre esses arquivos em tempo real. Nas páginas a seguir, vamos mostrar como o uso de uma abordagem matemática e de aprendizado de máquinas ao lidar com a segurança de computadores pode mudar fundamentalmente a maneira que entendemos, categorizamos e controlamos a execução de todos os arquivos. Também falaremos sobre como os produtos da Dell aproveitam essa abordagem e o nosso diferencial em relação a outras ofertas de segurança do mercado. Durante anos, setores como saúde, seguros e negociações de alta frequência aplicaram os princípios do aprendizado

2 de máquina para analisar quantidades enormes de dados empresariais e aumentar a tomada de decisões independente. No cerne de cada implementação há um "cérebro" de processamento de dados altamente escalável capaz de aplicar modelos matemáticos bem ajustados a quantidades enormes de dados quase em tempo real. Aplicação do aprendizado de máquina à classificação de arquivos Definição de aprendizado de máquina "O aprendizado de máquina, uma área da inteligência artificial, envolve a construção e o estudo de sistemas que podem aprender com os dados. (...) A principal parte do aprendizado de máquina lida com representação e generalização. A representação de instâncias de dados é parte de todos os sistemas de aprendizado de máquina. A generalização é a propriedade que permite que o sistema tenha uma boa performance em instâncias de dados desconhecidas. As condições que podem garantir isso são objeto de estudo essencial no subcampo da teoria de aprendizado computacional." - Wikipédia Nas últimas décadas, bilhões de arquivos foram criados, sejam eles mal-intencionados ou não. Na evolução da criação de arquivos, surgiram padrões que regem como tipos específicos de arquivo são criados. Há variações nesses padrões, assim como anomalias. Contudo, no geral, o processo de ciência da computação é razoavelmente consistente. Os padrões ficam ainda mais consistentes ao considerar diferentes oficinas de desenvolvimento, como Microsoft, Adobe e outros grandes fornecedores de software. A consistência desses padrões aumenta ao considerar os processos de desenvolvimento usados por desenvolvedores e invasores específicos. O desafio é identificar padrões, entender como eles se manifestam em milhões de atributos e arquivos e reconhecer o que os padrões consistentes nos dizem sobre a natureza dos arquivos. Por causa da magnitude dos dados envolvidos, da tendência ao desvio e do número de computações necessário, o trabalho humano não é capaz de aproveitar esses dados para determinar se o arquivo é mal-intencionado ou não. E, infelizmente, a maioria das empresas de segurança ainda depende de trabalho humano para tomar essas decisões. Eles contratam um grande número de pessoas para verificar milhões de arquivos e determinar quais são "bons" e quais são "ruins". Os humanos não têm a capacidade mental nem a resistência física necessárias para lidar com o enorme volume e a sofisticação das ameaças modernas. Houve avanços na análise de comportamento e vulnerabilidade, assim como na identificação de indicadores de compromisso, mas todos esses "avanços" sofrem do mesmo mal. Todos eles são baseados na perspectiva e análise humana de um problema, e os humanos têm a tendência de simplificar muito as coisas. No entanto, as máquinas não sofrem dessa mesma tendenciosidade. Como funciona O aprendizado de máquina e o data mining funcionam juntos. O aprendizado de máquina concentra-se em previsões baseadas em propriedades de dados anteriores. Funciona assim: a Dell diferencia os arquivos mal-intencionados dos arquivos seguros ou legítimos. O data mining concentrase na descoberta de propriedades de dados que antes eram desconhecidas. Assim, essas propriedades podem ser usadas nas próximas decisões de aprendizado de máquina. O aprendizado de máquina passa por um processo de 4 fases: coleta, extração, aprendizado e classificação. Coleta de dados Como uma análise de DNA ou avaliação atuarial, a análise de arquivos começa com a coleta de uma quantidade enorme de dados. Nesse caso, arquivos de tipos específicos (executáveis,.pdf,.doc, Java, flash, etc.). Centenas de milhões de arquivos são coletados por meio de "feeds" de fontes do setor, repositórios de propriedade de organizações e entradas ao vivo de computadores ativos utilizados por agentes da Dell 1 O objetivo da coleta é garantir que um indivíduo: Obtenha uma amostra de tamanho significativo em termos estatísticos Obtenha arquivos de amostra que incluam a maior variedade possível de tipos e autores de arquivos (ou grupos de autores, como Microsoft, Adobe, etc.) NÃO influencie o processo ao coletar muitos tipos específicos de arquivo Depois da coleta dos arquivos, eles são revisados e colocados em três categorias: conhecidos, verificados e válidos; conhecidos, verificados e mal-intencionados; desconhecidos. É essencial garantir que essas categorias sejam precisas. Incluir arquivos mal-intencionados na categoria válida ou arquivos válidos na categoria malintencionada criaria uma tendenciosidade incorreta. Extração A próxima fase no processo de aprendizado de máquina é a extração de atributos. Esse processo é bem diferente do processo de identificação de comportamento ou análise de malware conduzido por pesquisadores de ameaças atualmente. 2

3 Em vez de procurar o que as pessoas acreditam ser malintencionado, a Dell aproveita a capacidade de computação das máquinas e as técnicas de data mining para identificar o maior conjunto possível de características de um arquivo. Essas características podem ser básicas, como o tamanho do arquivo PE ou o compilador usado, mas também podem ser complexas como uma revisão na primeira falha lógica do binário. Extraímos as características atômicas exclusivas do arquivo, dependendo do tipo (.exe,.dll,.com,.pdf,.java,.doc,.xls,.ppt, etc.). Com a identificação do conjunto mais amplo possível de atributos, a Dell remove a tendência apresentada pela classificação manual de arquivos. O uso de centenas de milhares de atributos também aumenta significativamente para os invasores o custo da criação de um malware que não é detectado pela Dell. O resultado desse processo de identificação e extração de atributos é a criação de um arquivo genoma muito parecido com o arquivo que é usado por biólogos para criar um genoma humano. Esse genoma é usado como a base de criação de modelos matemáticos para determinar as características esperadas dos arquivos, assim como a análise de DNA humano é aproveitada para determinar características e comportamentos de células. Aprendizado e treinamento Depois que os atributos são coletados, o resultado é normalizado e convertido para valores numéricos que podem ser usados em modelos estatísticos. É aqui que a vetorização e o aprendizado de máquina são aplicados para eliminar as impurezas humanas e acelerar o processo de análise. Depois de aproveitar os milhões de atributos de arquivos identificados na extração, nossos matemáticos desenvolvem modelos estatísticos que podem prever de forma precisa se um arquivo é válido ou mal-intencionado. Dezenas de modelos são criados com medidas essenciais para garantir a precisão preditiva dos modelos finais. Os modelos ineficientes são inutilizados, e os modelos eficientes passam por vários níveis de testes. O primeiro nível começa com alguns milhões de arquivos conhecidos, e os próximos níveis envolvem todo o corpus de arquivos (dezenas de milhões de arquivos). Em seguida, os modelos finais são extraídos do corpus de testes e são carregados para o ambiente de produção para a utilização na classificação de arquivos. É importante lembrar que, para cada arquivo, milhares de atributos são analisados para diferenciar arquivos legítimos e malware. É assim que o nosso mecanismo identifica malware, seja compactado ou não, conhecido ou desconhecido, e atinge um nível de precisão sem precedentes. Ele divide um único arquivo em um número enorme de características e analisa cada uma com relação a centenas de milhões de outros arquivos para tomar uma decisão sobre a normalidade de cada característica. Classificação Depois da criação dos modelos estatísticos, o nosso mecanismo pode ser usado para classificar arquivos desconhecidos (ou seja, arquivos que nunca foram vistos ou analisados por outra lista branca ou negra). Essa análise leva apenas milissegundos e é extremamente precisa devido à variedade das características de arquivo analisadas. Como a análise é feita com modelos estatísticos, a classificação não é feita como em uma caixa preta. A Dell fornece ao usuário uma "pontuação de confiabilidade" como parte do processo de classificação. Essa pontuação fornece ao usuário mais insight, que o ajuda a tomar decisões sobre o que fazer com um arquivo específico: bloquear, colocar em quarentena, monitorar ou analisar mais detalhadamente. Há uma diferença importante entre a abordagem de aprendizado de máquina e uma abordagem tradicional de pesquisa de ameaças. Com a abordagem matemática, podemos criar modelos que determinam de forma específica se um arquivo é válido ou mal-intencionado. Essa abordagem também retornará a resposta "suspeito" se a nossa confiança sobre a intenção do arquivo for menor que 20% e não houver outras indicações de que o arquivo é mal-intencionado. Assim, a empresa obtém uma perspectiva holística sobre os arquivos que são executados em seu ambiente. Isso também elimina a tendenciosidade do setor atual no qual os pesquisadores de ameaças determinam apenas se um arquivo é mal-intencionado e os fornecedores da lista branca determinam apenas se um arquivo é seguro. Além dos benefícios mais evidentes obtidos com a detecção de uma quantidade maior de ameaças, essa abordagem também traz benefícios mais sutis: todo arquivo analisado é avaliado com algoritmos de classificação. Embora isso pareça muito simples, os fornecedores tradicionais de antivírus avaliam apenas um arquivo específico em relação a uma lista limitada de assinaturas criada para detectar malware com base em análise humana. Mesmo que eles usem algumas técnicas automáticas, eles estão limitados a criar assinaturas baseadas em partes específicas de arquivos que foram identificados como malware conhecido por um humano. Pouca proatividade é possível com essas técnicas. Elas simplesmente classificam objetos que não correspondem a nenhuma assinatura específica como "bons". Por outro lado, o nosso mecanismo analisa todas as amostras e fornece uma classificação definitiva de todos os arquivos, se eles são ruins, suspeitos ou bons. Isso dá à equipe de segurança uma clara visão do que está em execução no ambiente. Segurança pronta para o futuro Com a aplicação de modelos matemáticos ao endpoint, o nosso mecanismo de prevenção de ameaças avançadas ultrapassa com facilidade os métodos tradicionais de detecção e prevenção de malware. O nosso objetivo 3

4 é impedir a execução de arquivos ruins antes que eles possam causar estragos. Com essa abordagem, o endpoint permanece seguro e intocado, mesmo que o arquivo esteja no disco. Prevenção contra ameaças avançadas da Dell O Dell Data Protection Endpoint Security Suite Enterprise é o nosso principal produto empresarial. Ele aproveita a capacidade do nosso mecanismo de prevenção contra ameaças avançadas para evitar a execução de ameaças avançadas em tempo real, em todos os endpoints da organização. Principais recursos: Proteção e detecção de ameaças avançadas indetectáveis anteriormente Não depende de nuvem em ambientes sensíveis Não há atualizações.dat diárias, o que elimina a necessidade de uma conexão sempre ativa Impacto extremamente baixo na performance com o tempo de execução para reduzir significativamente a sobrecarga Fácil de gerenciar com um console da Web simples A Dell oferece detecção e prevenção de malware em tempo real. A operação funciona com a análise de execuções de arquivos potenciais para verificar se há malware no sistema operacional e nas camadas de memória, o que previne a entrega de cargas mal-intencionadas. A proteção da memória opera com pouca intervenção para não provocar uma grande sobrecarga de performance. Em vez disso, a proteção da memória fortalece recursos básicos de proteção do sistema operacional, como DEP, ASLR e EMET ao fornecer uma camada adicional para detectar e proibir certos comportamentos que geralmente são explorados. Essas duas funções essenciais recebem suporte de uma variedade de recursos auxiliares necessários para a funcionalidade empresarial, como: Suporte a listas brancas e negras para fornecer granularidade administrativa Modo somente detecção (modo de auditoria) Autoproteção (prevenção contra violações de usuário) Relatórios completos de controle, capacidade de configuração e conformidade do console de gerenciamento Serviços profissionais de segurança virtual da Dell Estamos aqui para ajudá-lo com soluções completas para identificar e resolver riscos de segurança no seu ambiente. A nossa equipe de profissionais de segurança ajudará você a encontrar riscos de segurança, implementar soluções e permanecer seguro. O nosso pacote de serviços foi criado com base em experiência comprovada, esforços cooperativos e urgências. Os principais serviços oferecidos incluem: Avaliações Serviços de implementação Serviços gerenciados 4

5 Resumo A Dell realmente acredita que os modelos matemáticos e o aprendizado de máquina são a chave para um futuro seguro. Cada produto e cada serviço que oferecemos está totalmente integrado ao nosso mecanismo de prevenção de ameaças avançadas, o que fornece precisão sem precedentes e insight sobre o cenário de ameaças modernas. A melhor parte é que, com o aprendizado e o treinamento constantes baseados em novos dados, o mecanismo da Dell está realmente sempre pronto para o futuro e não perderá eficiência com o tempo, mesmo quando as estratégias dos invasores mudarem. Para obter mais informações sobre soluções de endpoint da Dell que ajudam você a proteger dados e prevenir ameaças, acesse Dell.com/DataSecurity. 1 Os arquivos somente serão carregados de computadores ativos se o cliente ativar essa opção. 5