As ameaças avançadas, como exploits de zero-day e malware personalizado, estão em alta. Hoje, organizações de todos os portes são alvos de criminosos cibernéticos que continuamente procuram, localizam e exploram brechas em softwares vulneráveis. Eles fazem isso para obter acesso a redes, sistemas e dados, e geralmente perpetuam danos graves dentro de apenas alguns minutos. Para melhor detectar essas ameaças desconhecidas, os profissionais de segurança implantam tecnologias avançadas de detecção de ameaças, como sandboxes virtuais, que analisam o comportamento de arquivos suspeitos e malwares ocultos desconhecidos.
Entretanto, as ameaças se tornam cada vez mais inteligentes. Hoje em dia, o malware é projetado para detectar a presença de sandboxes virtuais e evitá-las. Isso limita a eficácia das tecnologias de detecção de ameaças. As organizações precisam de uma nova abordagem para proteger seus negócios contra essas ameaças avançadas. Em particular, isso requer que a tecnologia de análise de ameaças não seja detectada ou ignorada por códigos mal-intencionados. Para isso, uma solução de proteção contra ameaças avançadas (ATP) de ponta deve ser capaz de:
• Análises de sandbox em camadas dinâmicas
• Examinar o tráfego criptografado
• Analisar todos os arquivos
• Bloquear os arquivos até que eles sejam verificados
• Acelerar a correção de ameaças identificadas
Análises de sandbox camadas dinâmicas
Fornecer camadas adicionais de análises de ameaças com um sandbox multimotor é muito mais eficaz para descobrir ameaças de zero-day do que uma abordagem com somente um motor. O malware consegue detectar e evitar um sandbox de motor único muito mais facilmente. Idealmente, uma plataforma eficaz de análise de ameaças combina múltiplas camadas de motores de análise de malware, incluindo não apenas ambientes virtuais de sandbox mas também sandboxing de emulação de hardware e sistema operacional, combinado com análises de memória.
Com essa abordagem, o código suspeito pode ser executado em uma plataforma de sandbox multimotor, que inclui um sandbox virtualizado, emulação completa de sistema e tecnologia de análise no nível do hypervisor. O comportamento de qualquer arquivo suspeito pode ser analisado, fornecendo uma visibilidade abrangente de atividades mal-intencionadas, ao mesmo tempo que resiste a táticas de evasão e aumenta a detecção de ameaças de zero-day.
Também é importante que seja possível adicionar camadas de análises de ameaças de forma dinâmica. Como as ameaças são constantemente ocultadas de novas formas, é necessária uma plataforma de análise de ameaças que altere e adote novos mecanismos de detecção e ameaça conforme necessário. A única coisa que não vai mudar é que as técnicas de ataque serão modificadas continuamente. Para a proteção contra ameaças de zero-day, as soluções que podem adicionar dinamicamente novos mecanismos de análise de malware, conforme o cenário de ameaças evolui, são mais eficazes na detecção de ameaças e malwares avançados atuais e futuros.
Examinar o tráfego criptografado
As ameaças avançadas de hoje em dia aplicam métodos complexos e sofisticados para permanecerem não detectadas. Elas usam metodologias completamente novas ou adotam os mecanismos de defesa já existentes, como a ocultação no tráfego SSL criptografado. Para ser eficaz, uma solução avançada de detecção de ameaças deve inspecionar todo o tráfego de arquivos suspeitos, seja ele criptografado ou não. Geralmente impossível com fornecedores de produtos independentes, as sandboxes que trabalham com um firewall de próxima geração podem aproveitar o uso de uma tecnologia de encerramento de SSL para analisar arquivos criptografados.
Analisar todos os arquivos
Além de ocultar tráfego criptografado, os criadores de malware ocultam códigos mal-intencionados nos arquivos e nos aplicativos. Para combater essa atividade, as sandboxes devem ser capazes de analisar o malware oculto em diversos tipos de arquivos, tamanhos de arquivo e ambientes operacionais para melhor fornecer uma detecção de ameaças de zero-day abrangente. Essa configuração deve incluir a análise de diversos tipos arquivos, inclusive programas executáveis, PDFs, documentos do MS Office, arquivamentos, arquivos JAR e APK, assim como múltiplos ambientes de sistemas operacionais, como Windows, Android, Mac OS X e ambientes com vários navegadores. Para maior flexibilidade, a solução deve permitir análises personalizadas por tipo de arquivo, tamanho de arquivo, remetente, destinatário e protocolo. Além disso, também deve permitir o envio manual de arquivos para análise.
Bloquear os arquivos até que eles sejam verificados
A detecção de ameaças de zero-day é essencial. Mas a detecção sozinha não é suficiente. Uma solução viável não deve inspecionar somente o tráfego a procura de códigos mal-intencionados, como também deve fornecer a capacidade de bloquear a entrada de códigos suspeitos na rede até que eles sejam analisados e uma decisão seja tomada. A decisão de algumas sandobxes em silos é tomada somente após a permissão de um arquivo na rede. Nesses casos, ele funciona como um alarme em vez de uma medida preventiva.
Acelerar a correção de ameaças identificadas
Quando uma ameaça é identificada, atualizações rápidas e automáticas de assinatura são essenciais. A eficácia da proteção contra ameaças depende da diminuição de tarefas demoradas de manutenção manual de uma posição de segurança proativa. Para evitar ataques posteriores, as assinaturas para malwares recém-descobertos devem ser geradas rapidamente e distribuídas automaticamente nos dispositivos de segurança de rede, o que evita futuras infiltrações da ameaça de malware identificada. Nesse cenário, quando um arquivo é identificado como malintencionado, uma nova assinatura é implantada imediatamente nos firewalls para a inclusão em bancos de dados de assinaturas IPS e antivírus de gateway, assim como bancos de dados de reputação de domínio e IP de URL. De forma ideal, você gostaria de um painel imediato para monitorar a detecção de ameaças avançadas e fornecer relatórios de análises detalhados.
Conclusão
Os ambientes atuais de sandbox devem ser tão abrangentes e dinâmicos quanto as ameaças que eles desejam impedir. Ao seguir essas melhores práticas na seleção de uma solução de sandbox de ameaças avançadas, as organizações se beneficiarão da eficácia na detecção, proteção e alta segurança, além de tempos rápidos de resposta.
Descubra como a Portnet e a SonicWall podem ajudá-lo a fornecer a garantia de proteção avançada contra ameaças! Entre em contato com a gente para saber como o Capture ATP pode proteger seus negócios.
Fonte: © 2017 SonicWall Inc.