Revele ameaças evasivas

Transcrição

1 Revele ameaças evasivas O Intel Security Real Protect e a contenção dinâmica de aplicativos bloqueiam o malware de dia zero.

2 Sumário Combate à ameaça do malware de dia zero....3 Revele e contenha ameaças ocultas...4 Revele as ameaças ocultas com análises estática e dinâmica....5 Bloqueie as ameaças antes que elas sejam executadas: análise estática do Real Protect....5 Detecte o malware mais evasivo: análise comportamental dinâmica do Real Protect...5 Proteja o paciente zero com a contenção dinâmica de aplicativos....7 Uma malha de defesa integrada e automatizada....8 Saiba mais...8 Sobre a Intel Security...8 Revele ameaças evasivas 2

3 Atualmente, o malware moderno disfarça-se para não ser detectado. Ele se esconde subvertendo ou acrescentando-se a aplicativos legítimos. Ele reconhece quando está sendo analisado em uma área restrita (sandbox) e atrasa sua execução, aguardando durante dias, semanas e até meses por uma oportunidade de atacar. Um malware mais inteligente exige defesas mais inteligentes. Com as avançadas ferramentas de detecção e contenção de ameaças da Intel Security, as organizações podem revelar as ameaças ocultas mais sofisticadas. Elas podem deter o malware de dia zero evasivo antes que ocorra uma epidemia e reduzir consideravelmente o tempo e os recursos necessários para proteger a empresa. Combate à ameaça do malware de dia zero As organizações modernas recorrem a um poderoso arsenal de sistemas de defesa: mecanismos antimalware com base em assinaturas, sistemas de prevenção de intrusões em host (HIPS), análise em área restrita (sandbox), filtros de reputação e muitas outras ferramentas. Todas estas proporcionam importantes capacidades de detecção, correção e proteção contra uma ampla gama de ameaças. Infelizmente, os atacantes cibernéticos não estão parados. Cientes desses avanços, eles estão criando uma nova geração de malware desenvolvida para procurar brechas nessas defesas e explorá-las. Agora, os cibercriminosos mais habilidosos mascaram seus ataques por meio de compactação, criptografia e polimorfismo para atingir organizações com um malware de dia zero nunca antes visto e que os mecanismos com base em assinaturas são lentos demais para capturar. Eles criam executáveis sofisticados que podem reconhecer quando estão sendo analisados em uma área restrita (sandbox) e atrasam a execução até que tenham passado pela análise. Eles usam como arma aplicativos e arquivos legítimos que são considerados limpos, mas que contêm código malicioso escondido bem fundo no sistema de arquivos para causar estragos em endpoints e sistemas. Para as equipes de segurança, tudo isso se traduz em três grandes problemas: Ameaças demais chegam aos endpoints: como mais malware consegue passar pelas defesas de linha de frente, as equipes de segurança enfrentam constantes infecções de rede e a ameaça iminente de danos graves à organização. Detecção e correção muito lentas: perdem-se muitos endpoints pacientes zero devido a malware anteriormente desconhecido, o que causa frustração para os usuários e um enorme trabalho de correção para a TI. Muitos recursos são necessários para deter as ameaças e infecções: as organizações utilizam atualmente múltiplas soluções isoladas para bloquear uma ampla variedade de vetores e tipos de ataque. Frequentemente, isso se traduz em excesso de ruído e de complexidade, pois as equipes de segurança precisam lidar com várias ferramentas e interfaces que não se comunicam entre si para compreender o que está acontecendo. O resultado é uma sobrecarga de trabalho interminável, enquanto os administradores correm contra o relógio para detectar, conter e corrigir novas ameaças de malware uma corrida muitas vezes perdida. Uma abordagem mais inteligente é necessária. As organizações precisam ter a capacidade de enfrentar o malware mais sofisticado e evasivo sem uma equipe de administradores de segurança altamente treinados. Elas precisam deter a maioria das ameaças antes que estas causem danos a um endpoint. Uma estratégia de defesa mais inteligente deve bloquear o malware mais sofisticado e evasivo antes que este possa danificar um endpoint. Isso traz para as equipes de segurança o equilíbrio adequado entre segurança e flexibilidade para a organização. Elas devem ser capazes de restringir rigorosamente o que pode acontecer em um endpoint ou dar aos usuários mais liberdade para executar arquivos e aplicativos externos, Revele ameaças evasivas 3

4 dependendo do que fizer sentido para a organização. Em qualquer dos casos, elas devem poder reagir imediatamente às ameaças, sem múltiplas etapas manuais. Finalmente, as organizações precisam de uma maneira de concatenar os diferentes componentes de segurança com mais rapidez e facilidade. Elas precisam de uma estrutura de defesa contra malware de dia zero que se adapte continuamente reunindo e compartilhando insights sobre as ameaças mais suspeitas e evasivas e aplicando automaticamente esses insights para proteger o restante do ambiente. Revele e contenha ameaças ocultas A Intel Security oferece uma nova geração de recursos de segurança criados para combater as mais evasivas e modernas ameaças. Com base em poderosas análises de autoaprendizagem e ferramentas de contenção de aplicativos, as organizações podem revelar ameaças ocultas e bloqueá-las muito mais rapidamente e com muito menos trabalho. Essas capacidades são oferecidas através de duas recentes inovações da Intel Security: Real Protect*: o Real Protect combina análise estática pré-execução e análise comportamental pós-execução para bloquear mais malware do que qualquer solução com base em assinaturas ou somente estática, tudo integrado no ecossistema da Intel Security. Ele aplica avançadas técnicas de autoaprendizagem para identificar código malicioso com base em uma avaliação profunda de suas características estáticas (análise pré-execução) e no que ele realmente faz (análise comportamental dinâmica) tudo isso sem assinaturas. Ele desmascara as mais recentes técnicas de ocultação para revelar as ameaças ocultas, de maneira que o malware de dia zero não tenha onde se esconder. Contenção dinâmica de aplicativos*: a contenção dinâmica de aplicativos torna fácil proteger endpoints pacientes zero contra novas infecções por malware de dia zero, sem sacrificar a produtividade. Quando um endpoint detecta um arquivo suspeito, a contenção dinâmica de aplicativos bloqueia imediatamente os comportamentos habituais do malware (como alterar o Registro, gravar em um diretório temporário ou excluir arquivos). Diferentemente de técnicas que retêm o arquivo (e o usuário) durante minutos por vez, a contenção dinâmica de aplicativos permite que o arquivo suspeito seja carregado na memória sem permitir que ele faça determinadas alterações no endpoint ou que ele infecte outros sistemas enquanto está sob suspeita. O endpoint e o usuário podem continuar plenamente produtivos enquanto dão às equipes de segurança uma oportunidade de realizar análises mais detalhadas. Essas novas capacidades são integradas entre si, com outras soluções de segurança e com o McAfee Endpoint Security para proporcionar uma defesa multicamada contra as ameaças mais evasivas. Elas capacitam a sua equipe de segurança a enfrentar todos os estágios do ciclo de vida da defesa contra ameaças detecção, correção e proteção proativa de uma maneira rápida e automatizada. Como resultado, você pode: Desmascarar o ataque: bloqueie mais ataques derrotando as técnicas de ocultação para ver mais ameaças de malware. Limitar o impacto: contenha, isole e previna danos aos sistemas, seja antes da ocorrência de um ataque ou antes que este possa causar infecções ou danos irreversíveis. Rastrear e adaptar-se: utilize defesas automatizadas e integradas para realizar uma gama mais ampla de operações de segurança sem ter de pensar nelas ou ativá-las manualmente. Revele ameaças evasivas 4

5 Revele as ameaças ocultas com análises estática e dinâmica Os atacantes cibernéticos utilizam técnicas sofisticadas para disfarçar a aparência ou impressão digital do malware. Fazendo pequenas alterações no código, eles podem mudar a assinatura ou o valor hash de forma a contornar defesas que dependam de assinaturas específicas de cada ataque. Porém, embora seja relativamente fácil fazer alterações de código na superfície, é muito difícil ocultar todos os atributos do malware. E é praticamente impossível esconder seu comportamento. O Real Protect desmascara o malware utilizando o poder da autoaprendizagem e da análise estatística para detectar ameaças evasivas. Diferentemente de outras soluções, ele aplica essas técnicas em ambas as análises estática e comportamental. Como resultado, ele pode capturar mais ameaças de dia zero do que qualquer solução baseada em assinaturas ou somente estática. Bloqueie as ameaças antes que elas sejam executadas: análise estática do Real Protect Com defesas tradicionais baseadas em assinaturas, a proteção de endpoint é sempre uma corrida contra o relógio. Reconhecer como malicioso um arquivo previamente desconhecido, criar uma assinatura para essa ameaça específica e distribuir o arquivo.dat para os endpoints para que eles possam bloqueá-lo leva tempo. Os autores de malware moderno sabem que se modificarem apenas alguns aspectos do código, este passará por essas defesas com base em assinaturas. Quando as assinaturas eventualmente forem atualizadas, eles podem fazer novas modificações, repetidas vezes. O Real Protect quebra o ciclo das assinaturas de dia zero partindo de um princípio diferente. Os autores de malware podem mudar toda sorte de coisas ao redor do código, mas no final das contas, ele continua sendo malware. Por isso, ele provavelmente terá muitos atributos em comum com outras amostras de código malicioso conhecidas o compilador utilizado, a linguagem de programação, as bibliotecas compartilhadas e dinâmicas referenciadas e muitas outras características. O Real Protect realiza uma análise estatística por autoaprendizagem de todas essas características do código binário estático para revelar a verdadeira natureza do malware, em questão de milissegundos, sem assinaturas. Ao comparar essas características com ameaças conhecidas, ele revela as mais recentes técnicas de ocultação e detecta a maioria do malware de dia zero antes que este tenha a oportunidade de ser executado. Veja como isso funciona. A Intel Security baseia-se em mais de 500 milhões de amostras de malware coletadas de milhões de endpoints em todo o mundo através do McAfee Global Threat Intelligence (McAfee GTI). Ela combina isso com milhões de outras amostras de malware de outras fontes de inteligência contra ameaças e cria modelos de autoaprendizagem de diversos tipos de binários de malware. Não se tratam de assinaturas para cada ataque visto à solta, mas de perfis de classes inteiras de malware. O Real Protect pode, então, desmascarar o malware oculto antes que este tenha a oportunidade de ser executado. Ninguém precisa examinar o código manualmente, tampouco criar uma assinatura. A maioria das infecções nunca chega a atingir os usuários e os sistemas. E as equipes de segurança evitam um enorme trabalho de correção e limpeza. Detecte o malware mais evasivo: análise comportamental dinâmica do Real Protect A análise estática de código pode capturar muitas ameaças de dia zero, mas não todas. Quando uma exploração bem elaborada aproveita-se de um aplicativo legítimo (por exemplo, um ataque de phishing escondido em uma macro em um documento legítimo do Word), até mesmo as melhores defesas puramente estáticas podem deixar passar. Revele ameaças evasivas 5

6 Infelizmente, a análise estática de código é o máximo que a maioria dos sistemas de defesa de endpoint faz. A Intel Security vai além. Sabemos que mesmo que um malware sofisticado se disfarce em um sistema de arquivos, ele não pode esconder seu comportamento. Se é malware, ele realiza ações maliciosas como um processo. A análise dinâmica do Real Protect adota o mesmo tipo de autoaprendizagem sem assinaturas utilizado na análise estática de código, mas o aplica ao comportamento real. Se um greyware executável desconhecido conseguir passar pela análise estática do Real Protect e pelas demais defesas, mas o endpoint ainda o considerar suspeito, a análise dinâmica do Real Protect poderá ser utilizada. O endpoint, então, deixa o código ser executado em um modo controlado e monitorado, no qual a análise dinâmica do Real Protect observa atentamente o comportamento do aplicativo e informa a nuvem para análise. Tal como na análise estática do Real Protect, o sistema compara o comportamento do greyware com perfis gerados a partir de centenas de milhões de amostras de malware conhecido no McAfee GTI e em outras fontes. Se o comportamento coincidir com um perfil de comportamento conhecido como malicioso se estiver derrubando subprocessos e sobrescrevendo arquivos, fazendo alterações no Registro que correspondam a comportamentos de malware conhecido o endpoint será imediatamente notificado e tomará providências para bloquear a ameaça, normalmente em alguns segundos. Para compreender o quão poderosa pode ser a proteção comportamental dinâmica, imagine um ataque de ransomware típico. Tais ataques costumam se disfarçar como arquivos ou aplicativos legítimos e podem causar danos devastadores. Porém, para causar esses danos, eles precisam realizar uma série característica de ações: Etapa 1: evadir as defesas da linha de frente ocultando-se em um anexo de ou site comprometido para atingir o endpoint. Etapa 2: no endpoint, iniciar processos de ativação comunicar-se com servidores de chaves de criptografia, procurar arquivos importantes do usuário no sistema e copiar, movimentar, renomear e criptografar esses arquivos. Etapa 3: enviar um pedido de resgate. Se você conta com defesas somente estáticas, uma vez que o ransomware as contorne, nada resta para impedir que ele atinja seu objetivo. Mesmo que você reconheça o que está acontecendo e corte a conexão do endpoint com o restante da rede, o endpoint e tudo o que ele contiver estará perdido. No entanto, se as suas defesas estiverem observando o comportamento real do greyware, tudo o que ele tentar fazer no endpoint será uma nova oportunidade para detectá-lo e bloqueá-lo. Mesmo que o ransomware comece a ser executado, ele não irá longe. Nos poucos segundos decorridos durante sua análise, ele pode conseguir se comunicar com o servidor de chaves de criptografia. Ele pode até chegar a criptografar um ou dois arquivos. Mas isso é o máximo que o ataque conseguirá fazer antes de ser interrompido e corrigido. Com a análise dinâmica do Real Protect, você deterá o malware no primeiro endpoint que o encontrar. Você impede que ele se espalhe para outros sistemas e cause graves danos ao endpoint. Você evita que o paciente zero perca tudo no sistema. E tudo isso é feito automaticamente, em questão de segundos, sem intervenção manual. Revele ameaças evasivas 6

7 Proteja o paciente zero com a contenção dinâmica de aplicativos Quando faz sentido deixar que um arquivo ou aplicativo desconhecido seja executado, e quando é melhor bloquear sumariamente todo comportamento que possa ser malicioso? A resposta pode ser diferente para cada organização e pode até ser diferente para diferentes partes de uma mesma organização. Em alguns casos, os usuários têm uma necessidade legítima de executar uma ampla variedade de arquivos e aplicativos de terceiros. As equipes de segurança não podem bloquear cada executável e não podem pedir que os usuários aguardem enquanto cada arquivo é analisado. Nesses cenários, permitir que arquivos suspeitos sejam executados e, então, monitorá-los com análise comportamental dinâmica pode ser o mais apropriado. Em outros (especialmente em organizações altamente regulamentadas de serviços financeiros ou de saúde), a flexibilidade dá lugar à segurança do endpoint. Esses cenários exigem uma filosofia de bloquear primeiro; fazer perguntas depois. Contudo, as equipes de segurança continuam não desejando obstruir os usuários mais do que o estritamente necessário. A contenção dinâmica de aplicativos constitui uma abordagem alternativa e comportamental ao greyware, restringindo preemptivamente os aplicativos suspeitos ao limitar rigorosamente o que eles podem fazer em um endpoint. Veja como isso funciona. Se as defesas de endpoint classificam um executável como suspeito, elas podem chamar a contenção de aplicativos. A contenção dinâmica de aplicativos deixa que o arquivo seja carregado na memória, mas bloqueia ações de processos que os aplicativos maliciosos costumam usar. Isso impede imediatamente que o greyware faça quaisquer alterações no endpoint, espalhe-se para outros sistemas ou exponha o usuário a comportamentos maliciosos. O sistema e o usuário podem continuar a trabalhar normalmente, enquanto a equipe de segurança tem a oportunidade de realizar análise mais detalhada do aplicativo. As organizações podem personalizar os gatilhos que chamam a contenção dinâmica de aplicativos, bem como as ações específicas que são bloqueadas para proteção contra diferentes tipos de ameaças, ou adequar a contenção a diferentes alvos e atividades. Além disso, a contenção dinâmica de aplicativos é suficientemente leve para ser executada no endpoint e, portanto, pode proteger usuários e sistemas mesmo quando estão off-line. A contenção dinâmica de aplicativos também atua como uma caixa preta do greyware, rastreando todas as atividades que o aplicativo tenta realizar. Ela se comunica com o McAfee Endpoint Security e com toda a malha de defesa acima deste para que, caso o greyware seja considerado malicioso, o restante do ambiente possa ser atualizado para bloqueá-lo automaticamente e quase instantaneamente. Juntas, essas capacidades de contenção dinâmica: Salvam o paciente zero: a contenção dinâmica de aplicativos reduz ou elimina a capacidade do greyware de fazer alterações maliciosas no endpoint, sem exigir que o usuário espere por uma análise detalhada do código. Ajudam a derrotar o malware que reconhece quando está sendo analisado: com a contenção dinâmica de aplicativos, a contenção de processos ocorre no endpoint, o qual continua sendo executado normalmente, de forma que o malware tem menos possibilidades de detectar que está sendo contido. Aceleram consideravelmente o ciclo de vida da defesa contra ameaças, da detecção à correção e à proteção: a contenção dinâmica de aplicativos bloqueia alterações no endpoint e, portanto, atividades de correção não costumam ser necessárias, uma vez que o malware já está contido. Ao mesmo tempo, ela transmite informações sobre o greyware para a malha de defesa para proteger outros endpoints contra infecção. Revele ameaças evasivas 7

8 Uma malha de defesa integrada e automatizada Juntas, as análises estática e dinâmica do Real Protect e a contenção dinâmica de aplicativos proporcionam capacidades poderosas para revelar as ameaças ocultas e deter o malware de dia zero. Contudo, diferentemente de soluções isoladas que exigem ferramentas e interfaces separadas, as soluções da Intel Security são integradas em uma malha de defesa unificada e adaptável. O Real Protect e a contenção dinâmica de aplicativos trabalham conjuntamente e também com soluções da Intel Security como McAfee Endpoint Security, McAfee Threat Intelligence Exchange, McAfee Active Response, McAfee Advanced Threat Defense e outras, como um sistema único e integrado. Por exemplo, quando o Real Protect ou a contenção dinâmica de aplicativos revelam que uma ameaça evasiva é malware, eles transmitem essa informação imediatamente para o McAfee Threat Intelligence Exchange, o qual fornece informações de inteligência contra ameaças para todo o ambiente. Quando uma dessas defesas revela malware de dia zero em um endpoint, o restante do ambiente é atualizado para se proteger contra ele, quase instantaneamente. O resultado é um modelo de ameaças em constante evolução, à disposição da organização. Cada nova ameaça detectada automaticamente reforça as defesas da organização como um todo. As etapas anteriormente manuais nas fases de detecção, correção e proteção do ciclo de defesa contra ameaças desaparecem. E as organizações ganham a flexibilidade de selecionar o mais amplo portfólio de capacidades de defesa contra ameaças do setor através de uma única interface, sabendo que qualquer inteligência obtida em um componente será automaticamente compartilhada com o seguinte. Para as equipes de segurança, a diferença é notável. Mais malware de dia zero é revelado e bloqueado. A resposta a ameaças é radicalmente acelerada. As operações de segurança se tornam muito mais simples e exigem muito menos tempo e recursos. Saiba mais Para obter mais informações sobre o Real Protect e a contenção dinâmica de aplicativos, visite: Sobre a Intel Security A Intel Security, com sua linha de produtos McAfee, dedica-se a tornar o mundo digital mais seguro para todos. A Intel Security é uma divisão da Intel. McAfee. Part of Intel Security. Av. das Nações Unidas, andar CEP São Paulo - SP - Brasil Telefone: +55 (11) Fax: +55 (11) * A solução inclui data centers hospedados nos EUA que são utilizados para verificar reputações de arquivos e armazenar dados relevantes para a detecção de arquivos suspeitos. Embora não seja obrigatório, a tecnologia Dynamic Application Containment funciona melhor com uma conexão com a nuvem. O pleno aproveitamento das capacidades de contenção dinâmica de aplicativos e Real Protect dos produtos exige acesso à nuvem, suporte ativo e está sujeito aos termos e condições do serviço de nuvem. Intel e os logotipos da Intel e da McAfee são marcas comerciais da Intel Corporation ou da McAfee, Inc. nos EUA e/ou em outros países. Outros nomes e marcas podem ser propriedade de terceiros. Copyright 2016 Intel Corporation. 1958_1016 OUTUBRO DE 2016