Matemática versus malware

Documentos relacionados
CYLANCE Frequently Askes QUESTIONS


FUNDAMENTOS DE ENGENHARIA DE SOFTWARE. Professor: Paulo Vencio

Forcepoint Insider Threat

US$ 62,5 bilhões Estimativa a partir de dezembro de Fonte: Forbes

Relatório Comparativo da Segurança de Terminais da Trend Micro: Realizado pela AV-Test.org

Informática. Aplicativos de Segurança. Professor Márcio Hunecke.

São Paulo. August,

Gerencie sua segurança de rede para até 250 estações a partir de um único painel

Filtragem de entrada interrompe ameaças da Internet antes que eles cheguem ao seu servidor de

Symantec Network Access Control Starter Edition

Introdução 12 que inuenciam a execução do sistema. As informações necessárias para o diagnóstico de tais problemas podem ser obtidas através da instru

10 FORMAS ESTATÍSTICA MODELAGEM PARA USAR

Aprendizado de Máquina (Machine Learning)

Kaspersky Open Space Security

Novell ZENworks Endpoint Security Management. Resumo do produto

Segurança Kaspersky para pequenas e médias empresas

Elimine as ameaças e s indesejados! Simples e eficiente, experimente o que é viver sem Spam

Rabobank Segurança Cibernética

Engenharia de Software

Como modelar o comportamento de um sistema? MAB-515

CBSI Curso de Bacharelado em Sistemas de Informação ERP. Tópicos Especiais em Sistemas de Informação

Linguagens de Programação

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO PÚBLICA

Normas ISO:

Nuvem e Virtualização Redes Programáveis

ESTUDO DE CASO: A NODE AFRICA TRANSFORMA A SEGURANÇA. Analise em detalhes os benefícios de uma solução de segurança moderna

GESTÃO DE DADOS NAS ORGANIZAÇÕES. Prof. Robson Almeida

Cibersegurança. A seguir, vamos apresentar um resumo dos principais conceitos associados à segurança que são abordados no setor de TI.

Cisco AMP Threat Grid: torne-se proativo com a segurança de malware avançado

VISÃO GERAL. Faça a gestão da segurança de rede até 250 postos através de uma consola baseada na cloud.

Estágio II. Aula 02 Conceitos de Teste de Software. Prof. MSc. Fred Viana

DESAFIOS VÃO SEMPRE EXISTIR. AS SOLUÇÕES É QUE DEVERÃO SER CADA VEZ MAIS INOVADORAS.

PROTEGENDO A CONNECTED ENTERPRISE Segurança industrial para fabricantes de máquinas e equipamentos

SERVDIGITAL +55 (65) EMPRESA DE SOLUÇÕES EM TECNOLOGIA.

SSC643 -Avaliação de Desempenho de Sistemas Computacionais Sarita Mazzini Bruschi

Fundamentos da Inteligência de Negócios: Gerenciamento da Informação e de Bancos de Dados by Prentice Hall

OPERA Cloud. Tecnologia que potencializa as operações e distribuição de seu hotel

Teste de Software. Competência: Entender as técnicas e estratégias de testes de Software

INFORMÁTICA: Informação automática

Sistemas de Informação e Decisão. Douglas Farias Cordeiro

FORCEPOINT DLP ENDPOINT

QUALIDADE DE SOFTWARE. Prof. Emiliano Monteiro

Engenharia de Software

ANTISPAM. Aqui estão algumas vantagens oferecidas pelo AntiSpam

Advanced Audit Analytics Como fortalecer a Auditoria Interna explorando o Big Data e as tendências da Transformação Digital

1. Introdução PUBLIC - 1

Segurança e Controle em Sistemas de Informação. Profa. Ellen Francine ICMC-USP

O que é um sistema distribuído?

SAM GERENCIAMENTO DE ATIVOS DE SOFTWARE

Características de Sistemas Distribuídos

Antispam corporativo e Gateway

TRANSFORMAÇÃO DA SEGURANÇA NA ERA DA NUVEM MÓVEL

Gerência de Redes Áreas Carlos Gustavo Araújo da Rocha. Gerência de Redes

Introdução a Engenharia de Software

Cybersecurity. Virtualização. Antivírus. Análise de conteúdo. Firewall. Proxy. Monitoramento de acesso virtual. Monitoramento de acesso físico

Segurança Corporativa utilizando Sistema de Detecção de Intrusão (IDS)

RESOLVA OS DESAFIOS ORGANIZACIONAIS DA TRADUÇÃO. Conheça o ondemand da Lionbridge

Fazer errado pode ser pior do que não fazer nada. Há muito perigo em incorporar maus hábitos

Redes Neurais. Motivação. Componentes do neurônio. Cérebro humano. Criar máquinas capazes de operar independentemente do homem:

Recomendação de políticas Privacidade Pessoal

Grupo Técnico de Cibersegurança 1 Pesquisa ANBIMA de Cibersegurança 2017

SSC-546 Avaliação de Sistemas Computacionais

Características de Sistemas Distribuídos

Os processos de segurança da informação devem assegurar a integridade, a disponibilidade e a confidencialidade dos ativos de informação da Apex.

LISTA DE EXERCÍCIOS. Amplia a abrangência de controle da alta administração. Permite monitorar as atividades com mais eficiência

Especialização em Engenharia de Processos e de Sistemas de Produção

Para otimização de segurança de sua maquina, recomendo esta opção. Depois de selecionada clique em Avançar.

SEGURANÇA DE TI: DE SOLUÇÕES PONTUAIS A UMA ABORDAGEM INTEGRADA. Elimine lacunas e reduza riscos com uma plataforma unificada

Acelere sua jornada para a nuvem

Componente de aplicação. Figura 1 - Elementos funcionais de uma aplicação sendo executados de forma distribuída

Servidor. Servidor rack. Servidor de blade

FATORES E MÉTRICAS DE QUALIDADE

9 Seminário de Extensão

Como se proteger do sequestro de dados Ramsomware

PÚBLICA, PRIVADA OU HÍBRIDA: QUAL É A MELHOR NUVEM PARA SEUS APLICATIVOS?

McAfee Embedded Control

Sistema de dados de cromatografia OpenLAB da Agilent CONFORMIDADE E FACILIDADE DE USO, FINALMENTE JUNTOS

UNIVERSIDADE ESTADUAL DE PONTA GROSSA SETOR DE CIÊNCIAS AGRÁRIAS E DE TECNOLOGIA DEPARTAMENTO DE INFORMÁTICA

TESTES DE SOFTWARE 1. Fundamentos sobre testes de software

Insider Threat Data Protection

Introdução aos Testes de Software

Computação em nuvem (Cloud Computing)

SNORT. Sistema de Detecção de Intrusão de Rede. Amanda Argou Vilnei Neves REDES II

Cinco requisitos. ao considerar a segurança na Web

Sophos XG Firewall. Desempenho, segurança e controle sem igual

Forcepoint AVANCE SEM MEDO

Enterprise Networks. A seguir, vamos apresentar um resumo dos principais conceitos associados às redes empresariais.

Introdução à Programação para Dispositivos Móveis

Gerenciamento e Interoperabilidade de Redes

O que é uma conta do Microsoft Exchange?

Redes Neurais Artificial. Inteligência Artificial. Professor: Rosalvo Ferreira de Oliveira Neto

Sistemas de Detecção de Intrusão

White Paper. Usando dados de qualidade para obter vantagem competitiva

Transcrição:

Matemática versus malware Há uma maneira melhor? Insights sobre como a matemática pode derrotar o malware. "A matemática é o maior instrumento de conhecimento que a humanidade nos deixou." René Descartes, filósofo, matemático e cientista francês O problema, embora poucos admitam, é que o pessoal de segurança empresarial está defendendo um castelo cheio de fendas e passagens secretas, protegido por barreiras ineficientes. Esses pontos fracos são causados por software de segurança de baixa qualidade, hardware mais antigo e, em alguns casos, backdoors implantados por invasores mal-intencionados. O resultado final é a relutante admissão de que os invasores estão ganhando a guerra. Os ataques têm diversos motivos, originam-se de vários locais e, conforme as tecnologias avançam, ficam cada vez mais complexos. Como parte dessa evolução, as ameaças modernas normalmente usam técnicas de evasão criadas para ultrapassar as medidas de segurança existentes. Detectar as ameaças avançadas após o ocorrido é difícil, mas proteger uma organização inteira com antecedência é mais difícil ainda. E se houver uma maneira melhor? E se for possível defender o castelo? E se for possível parar a ameaça antes que ela faça qualquer estrago? O fator humano Para que as tecnologias de segurança estejam prontas para enfrentar os invasores modernos, elas precisam evoluir no mesmo ritmo, sem depender de intervenção humana. É nesse ponto que a matemática e o aprendizado de máquina têm vantagem. Se for possível diferenciar de forma objetiva os arquivos "bons" dos "ruins" com base em fatores de risco matemáticos, poderemos ensinar uma máquina a tomar as decisões certas sobre esses arquivos em tempo real. Nas páginas a seguir, vamos mostrar como o uso de uma abordagem matemática e de aprendizado de máquinas ao lidar com a segurança de computadores pode mudar fundamentalmente a maneira que entendemos, categorizamos e controlamos a execução de todos os arquivos. Também falaremos sobre como os produtos da Dell aproveitam essa abordagem e o nosso diferencial em relação a outras ofertas de segurança do mercado. Durante anos, setores como saúde, seguros e negociações de alta frequência aplicaram os princípios do aprendizado

de máquina para analisar quantidades enormes de dados empresariais e aumentar a tomada de decisões independente. No cerne de cada implementação há um "cérebro" de processamento de dados altamente escalável capaz de aplicar modelos matemáticos bem ajustados a quantidades enormes de dados quase em tempo real. Aplicação do aprendizado de máquina à classificação de arquivos Definição de aprendizado de máquina "O aprendizado de máquina, uma área da inteligência artificial, envolve a construção e o estudo de sistemas que podem aprender com os dados. (...) A principal parte do aprendizado de máquina lida com representação e generalização. A representação de instâncias de dados é parte de todos os sistemas de aprendizado de máquina. A generalização é a propriedade que permite que o sistema tenha uma boa performance em instâncias de dados desconhecidas. As condições que podem garantir isso são objeto de estudo essencial no subcampo da teoria de aprendizado computacional." - Wikipédia Nas últimas décadas, bilhões de arquivos foram criados, sejam eles mal-intencionados ou não. Na evolução da criação de arquivos, surgiram padrões que regem como tipos específicos de arquivo são criados. Há variações nesses padrões, assim como anomalias. Contudo, no geral, o processo de ciência da computação é razoavelmente consistente. Os padrões ficam ainda mais consistentes ao considerar diferentes oficinas de desenvolvimento, como Microsoft, Adobe e outros grandes fornecedores de software. A consistência desses padrões aumenta ao considerar os processos de desenvolvimento usados por desenvolvedores e invasores específicos. O desafio é identificar padrões, entender como eles se manifestam em milhões de atributos e arquivos e reconhecer o que os padrões consistentes nos dizem sobre a natureza dos arquivos. Por causa da magnitude dos dados envolvidos, da tendência ao desvio e do número de computações necessário, o trabalho humano não é capaz de aproveitar esses dados para determinar se o arquivo é mal-intencionado ou não. E, infelizmente, a maioria das empresas de segurança ainda depende de trabalho humano para tomar essas decisões. Eles contratam um grande número de pessoas para verificar milhões de arquivos e determinar quais são "bons" e quais são "ruins". Os humanos não têm a capacidade mental nem a resistência física necessárias para lidar com o enorme volume e a sofisticação das ameaças modernas. Houve avanços na análise de comportamento e vulnerabilidade, assim como na identificação de indicadores de compromisso, mas todos esses "avanços" sofrem do mesmo mal. Todos eles são baseados na perspectiva e análise humana de um problema, e os humanos têm a tendência de simplificar muito as coisas. No entanto, as máquinas não sofrem dessa mesma tendenciosidade. Como funciona O aprendizado de máquina e o data mining funcionam juntos. O aprendizado de máquina concentra-se em previsões baseadas em propriedades de dados anteriores. Funciona assim: a Dell diferencia os arquivos mal-intencionados dos arquivos seguros ou legítimos. O data mining concentrase na descoberta de propriedades de dados que antes eram desconhecidas. Assim, essas propriedades podem ser usadas nas próximas decisões de aprendizado de máquina. O aprendizado de máquina passa por um processo de 4 fases: coleta, extração, aprendizado e classificação. Coleta de dados Como uma análise de DNA ou avaliação atuarial, a análise de arquivos começa com a coleta de uma quantidade enorme de dados. Nesse caso, arquivos de tipos específicos (executáveis,.pdf,.doc, Java, flash, etc.). Centenas de milhões de arquivos são coletados por meio de "feeds" de fontes do setor, repositórios de propriedade de organizações e entradas ao vivo de computadores ativos utilizados por agentes da Dell 1 O objetivo da coleta é garantir que um indivíduo: Obtenha uma amostra de tamanho significativo em termos estatísticos Obtenha arquivos de amostra que incluam a maior variedade possível de tipos e autores de arquivos (ou grupos de autores, como Microsoft, Adobe, etc.) NÃO influencie o processo ao coletar muitos tipos específicos de arquivo Depois da coleta dos arquivos, eles são revisados e colocados em três categorias: conhecidos, verificados e válidos; conhecidos, verificados e mal-intencionados; desconhecidos. É essencial garantir que essas categorias sejam precisas. Incluir arquivos mal-intencionados na categoria válida ou arquivos válidos na categoria malintencionada criaria uma tendenciosidade incorreta. Extração A próxima fase no processo de aprendizado de máquina é a extração de atributos. Esse processo é bem diferente do processo de identificação de comportamento ou análise de malware conduzido por pesquisadores de ameaças atualmente. 2

Em vez de procurar o que as pessoas acreditam ser malintencionado, a Dell aproveita a capacidade de computação das máquinas e as técnicas de data mining para identificar o maior conjunto possível de características de um arquivo. Essas características podem ser básicas, como o tamanho do arquivo PE ou o compilador usado, mas também podem ser complexas como uma revisão na primeira falha lógica do binário. Extraímos as características atômicas exclusivas do arquivo, dependendo do tipo (.exe,.dll,.com,.pdf,.java,.doc,.xls,.ppt, etc.). Com a identificação do conjunto mais amplo possível de atributos, a Dell remove a tendência apresentada pela classificação manual de arquivos. O uso de centenas de milhares de atributos também aumenta significativamente para os invasores o custo da criação de um malware que não é detectado pela Dell. O resultado desse processo de identificação e extração de atributos é a criação de um arquivo genoma muito parecido com o arquivo que é usado por biólogos para criar um genoma humano. Esse genoma é usado como a base de criação de modelos matemáticos para determinar as características esperadas dos arquivos, assim como a análise de DNA humano é aproveitada para determinar características e comportamentos de células. Aprendizado e treinamento Depois que os atributos são coletados, o resultado é normalizado e convertido para valores numéricos que podem ser usados em modelos estatísticos. É aqui que a vetorização e o aprendizado de máquina são aplicados para eliminar as impurezas humanas e acelerar o processo de análise. Depois de aproveitar os milhões de atributos de arquivos identificados na extração, nossos matemáticos desenvolvem modelos estatísticos que podem prever de forma precisa se um arquivo é válido ou mal-intencionado. Dezenas de modelos são criados com medidas essenciais para garantir a precisão preditiva dos modelos finais. Os modelos ineficientes são inutilizados, e os modelos eficientes passam por vários níveis de testes. O primeiro nível começa com alguns milhões de arquivos conhecidos, e os próximos níveis envolvem todo o corpus de arquivos (dezenas de milhões de arquivos). Em seguida, os modelos finais são extraídos do corpus de testes e são carregados para o ambiente de produção para a utilização na classificação de arquivos. É importante lembrar que, para cada arquivo, milhares de atributos são analisados para diferenciar arquivos legítimos e malware. É assim que o nosso mecanismo identifica malware, seja compactado ou não, conhecido ou desconhecido, e atinge um nível de precisão sem precedentes. Ele divide um único arquivo em um número enorme de características e analisa cada uma com relação a centenas de milhões de outros arquivos para tomar uma decisão sobre a normalidade de cada característica. Classificação Depois da criação dos modelos estatísticos, o nosso mecanismo pode ser usado para classificar arquivos desconhecidos (ou seja, arquivos que nunca foram vistos ou analisados por outra lista branca ou negra). Essa análise leva apenas milissegundos e é extremamente precisa devido à variedade das características de arquivo analisadas. Como a análise é feita com modelos estatísticos, a classificação não é feita como em uma caixa preta. A Dell fornece ao usuário uma "pontuação de confiabilidade" como parte do processo de classificação. Essa pontuação fornece ao usuário mais insight, que o ajuda a tomar decisões sobre o que fazer com um arquivo específico: bloquear, colocar em quarentena, monitorar ou analisar mais detalhadamente. Há uma diferença importante entre a abordagem de aprendizado de máquina e uma abordagem tradicional de pesquisa de ameaças. Com a abordagem matemática, podemos criar modelos que determinam de forma específica se um arquivo é válido ou mal-intencionado. Essa abordagem também retornará a resposta "suspeito" se a nossa confiança sobre a intenção do arquivo for menor que 20% e não houver outras indicações de que o arquivo é mal-intencionado. Assim, a empresa obtém uma perspectiva holística sobre os arquivos que são executados em seu ambiente. Isso também elimina a tendenciosidade do setor atual no qual os pesquisadores de ameaças determinam apenas se um arquivo é mal-intencionado e os fornecedores da lista branca determinam apenas se um arquivo é seguro. Além dos benefícios mais evidentes obtidos com a detecção de uma quantidade maior de ameaças, essa abordagem também traz benefícios mais sutis: todo arquivo analisado é avaliado com algoritmos de classificação. Embora isso pareça muito simples, os fornecedores tradicionais de antivírus avaliam apenas um arquivo específico em relação a uma lista limitada de assinaturas criada para detectar malware com base em análise humana. Mesmo que eles usem algumas técnicas automáticas, eles estão limitados a criar assinaturas baseadas em partes específicas de arquivos que foram identificados como malware conhecido por um humano. Pouca proatividade é possível com essas técnicas. Elas simplesmente classificam objetos que não correspondem a nenhuma assinatura específica como "bons". Por outro lado, o nosso mecanismo analisa todas as amostras e fornece uma classificação definitiva de todos os arquivos, se eles são ruins, suspeitos ou bons. Isso dá à equipe de segurança uma clara visão do que está em execução no ambiente. Segurança pronta para o futuro Com a aplicação de modelos matemáticos ao endpoint, o nosso mecanismo de prevenção de ameaças avançadas ultrapassa com facilidade os métodos tradicionais de detecção e prevenção de malware. O nosso objetivo 3

é impedir a execução de arquivos ruins antes que eles possam causar estragos. Com essa abordagem, o endpoint permanece seguro e intocado, mesmo que o arquivo esteja no disco. Prevenção contra ameaças avançadas da Dell O Dell Data Protection Endpoint Security Suite Enterprise é o nosso principal produto empresarial. Ele aproveita a capacidade do nosso mecanismo de prevenção contra ameaças avançadas para evitar a execução de ameaças avançadas em tempo real, em todos os endpoints da organização. Principais recursos: Proteção e detecção de ameaças avançadas indetectáveis anteriormente Não depende de nuvem em ambientes sensíveis Não há atualizações.dat diárias, o que elimina a necessidade de uma conexão sempre ativa Impacto extremamente baixo na performance com o tempo de execução para reduzir significativamente a sobrecarga Fácil de gerenciar com um console da Web simples A Dell oferece detecção e prevenção de malware em tempo real. A operação funciona com a análise de execuções de arquivos potenciais para verificar se há malware no sistema operacional e nas camadas de memória, o que previne a entrega de cargas mal-intencionadas. A proteção da memória opera com pouca intervenção para não provocar uma grande sobrecarga de performance. Em vez disso, a proteção da memória fortalece recursos básicos de proteção do sistema operacional, como DEP, ASLR e EMET ao fornecer uma camada adicional para detectar e proibir certos comportamentos que geralmente são explorados. Essas duas funções essenciais recebem suporte de uma variedade de recursos auxiliares necessários para a funcionalidade empresarial, como: Suporte a listas brancas e negras para fornecer granularidade administrativa Modo somente detecção (modo de auditoria) Autoproteção (prevenção contra violações de usuário) Relatórios completos de controle, capacidade de configuração e conformidade do console de gerenciamento Serviços profissionais de segurança virtual da Dell Estamos aqui para ajudá-lo com soluções completas para identificar e resolver riscos de segurança no seu ambiente. A nossa equipe de profissionais de segurança ajudará você a encontrar riscos de segurança, implementar soluções e permanecer seguro. O nosso pacote de serviços foi criado com base em experiência comprovada, esforços cooperativos e urgências. Os principais serviços oferecidos incluem: Avaliações Serviços de implementação Serviços gerenciados 4

Resumo A Dell realmente acredita que os modelos matemáticos e o aprendizado de máquina são a chave para um futuro seguro. Cada produto e cada serviço que oferecemos está totalmente integrado ao nosso mecanismo de prevenção de ameaças avançadas, o que fornece precisão sem precedentes e insight sobre o cenário de ameaças modernas. A melhor parte é que, com o aprendizado e o treinamento constantes baseados em novos dados, o mecanismo da Dell está realmente sempre pronto para o futuro e não perderá eficiência com o tempo, mesmo quando as estratégias dos invasores mudarem. Para obter mais informações sobre soluções de endpoint da Dell que ajudam você a proteger dados e prevenir ameaças, acesse Dell.com/DataSecurity. 1 Os arquivos somente serão carregados de computadores ativos se o cliente ativar essa opção. 5

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback