O malware, então, faz o download de um arquivo malicioso com extensão .JPG, com a intenção de para comprometer o dispositivo do usuário final e abrir a comunicação com o centro de comando e controle, a fim de roubar dados confidenciais. Este é outro exemplo de um ataque direcionado, que explora a fraqueza maior das empresas - aplicações de terminais vulneráveis. O ataque explora vulnerabilidades em aplicações de estações de trabalho para introduzir o malware, que então, permite a progressão do ataque. Ao bloquear o exploit, o ataque inteiro pode ser interrompido.
Mas isso não pode ser feito com soluções de blacklist, como vimos com as recentes violações contra o New York Times, Washington Post e Wall Street Journal. Como a maioria dos ataques direcionados explora vulnerabilidades zero-day, uma solução eficaz deve ser capaz de bloquear o ataque sem saber nada sobre a vulnerabilidade alvo ou o malware usado na ação.
Proteção Endpoint Contra Ação de Malware
Uma abordagem sobre proteção endpoint que fornece tanto a eficácia e a capacidade de gerenciamento, deve começar com uma compreensão dos vetores de ataque que exigem mitigação. Malware pode comprometer dispositivos de usuário final de várias maneiras. Por exemplo, o malware pode instalar silenciosamente através da exploração de uma aplicação ou vulnerabilidade do sistema operacional, que pode ser baixado pelo usuário final através de engenharia social ou pode ser pré-instalado no dispositivo. Portanto, as empresas precisam tomar as medidas preventivas para evitar roubo de informações.
Novas Camadas de Segurança
Stateful Application Control é uma nova abordagem para proteger dispositivos contra ações de malware, direcionadas para roubo de dados avançado. Ele combina dois componentes importantes: o primeiro é projetado para impedir a instalação de malwares no dispositivo e o segundo, é projetado para evitar a execução das pragas no dispositivo. A primeira camada, a prevention exploit aplication, implementa whitelisting ao invés dos próprios aplicativos. Este método evita a exploração de vulnerabilidades de aplicativos e a introdução de malware para o sistema de arquivos do computador.
Ao analisar estados de memória de aplicações durante as operações normais, esta abordagem mapeia os estados legítimos de aplicações específicas, como navegadores, Adobe, Flash e Java, quando estas aplicações são escritas para o sistema de arquivos. Por exemplo, um "state aplication" legítimo ocorre quando um usuário salva uma planilha para disco, ou quando o aplicativo atualiza o seu código. A criação de arquivos executáveis que ocorrem fora de um estado de aplicativo legítimo, como acontece quando exploits tentam instalar malware, são impedidos.
A prevention exploit aplication permite maior estabilidade na segurança de terminais, de forma mais eficaz e controlável do que as abordagens tradicionais de controle de aplicativos. Isto porque há estados de aplicação muito menos estáticos e que exigem um maior processo de análise e manutenção, em comparação com o grande número de arquivos de aplicativos que as abordagens de controle aplicativos devem fiscalizar e gerenciar.
No caso em que o malware é um elemento capaz de instalar em um dispositivo de ponto final, uma segunda camada e diferente de proteção devem ser implementadas para evitar que o malware de realizar seu objetivo de roubar informações. Este mecanismo também utiliza o conceito de whitelisting e os aplica aos states data exfiltration. Em outras palavras, há um monitoramento e é permitida a comunicação legítima, a ser transmitida a partir do dispositivo endpoint.
Saiba Mais:
[1] Help Net Security http://www.net-security.org/article.php?id=1824&p=2