Dessa maneira, os fornecedores de soluções de segurança têm apresentado estratégias que guardam paridades entre si. Entretanto, essas mesmas soluções também podem ser diferenciadas com criatividade e inventividade. Sendo assim, a solução Deep Discovery da TREND, sobre a qual Xandó falou relativo à sofisticação, foi mostrada a ele de forma minuciosa e muitos dops seus aspectos lhe chamaram a atenção.
Módulo Inspector e Módulo Advisor
A solução completa consiste de dois módulos, o Inspector e o Advisor. Eles compartilham alguns recursos, mas se complementam fortemente. As características apresentadas nesta publicação, fazem menção à solução integrada. De acordo com Xandó, "vivemos neste momento um tipo de ameaça denominada APT (Advanced Persistent Threats), ou seja, Ameaças Persistentes Avançadas". Como muitos sabem e o próprio nome sugere, os APTs são ataques direcionados a alvos específicos e que possuem o caráter "persistente".
Tais ameaças permanecem tentando de uma forma ou de outra, serem bem sucedidas na invasão e roubo de informações específicas e de pessoa ou pessoas específicas. Este tipo de ameaça, muitas vezes, só é devidamente percebido através de uma análise comportamental do tráfego da rede. Isso porque ela não tem base na identificação de algum tipo de "assinatura", como aquelas existentes em arquivos maliciosos conhecidos (caso de antivírus). Por isso, um grande conjunto de informações e ferramentas certas são necessárias para que os profissionais de segurança das empresas possam analisar e avaliar os riscos reais e tomar ações defensivas (além daquelas já existentes no produto).
Presença de Malware, Ataques e Exploração por Ameaças
O ponto de partida do Deep Discovery Inspector é seu "dashboard", que trata-se de um tipo de painel de controle a partir do qual, muitas informações históricas e também em tempo real podem ser avaliadas. Dentre os exemplos de dados coletados, consta servidores com mais eventos detectados; servidores com maior presença de malware; servidores mais atacados ou explorados por ameaças; aplicações mais disruptivas em uso na rede; conteúdo malicioso mais detectado; sites com baixa reputação mais acessados pela rede e servidores com comportamento suspeito.
O "dashboard" possui um conjunto de sensores e informações que são todos personalizáveis, bem como os servidores (endereços IP), tipos específicos de ameaças a monitorar, frequência, dentre outras coisas. São os chamados "Watchlists". Da mesma maneira, os eventos de segurança podem ser representados em um diagrama tempo x espaço, que ajuda a compreender como os eventuais ataques são distribuídos e se eles são concentrados em algum segmento, endereço da rede ou servidor.
Análise em Tempo Real
De acordo com Flávio Xandó, um dos recursos mais interessantes que a solução apresenta é a capacidade de análises em tempo real em sandbox. Sandbox é um ambiente isolado, de maneira feral (mas não obrigatoriamente), uma máquina virtual que pode ser executada no appliance especializado de segurança utilizado com maior frequência para executar código não testado, ou programas não confiáveis de fornecedores não verificados, usuários e sites não confiáveis.
Em face disso, determinado site ou programa malicioso pode ser experimentado neste ambiente controlado e analisado quanto às ações que ele realizar, e assim determinar o quanto ele pode ser destrutivo ou não. O Deep Discovery Advisor dispõe deste recurso chamado Threat Analyzer. Durante a apresentação, algumas URLs e programas maliciosos foram testados; o sandbox pode ser configurado para reproduzir o ambiente necessário. Por exemplo, algumas ameaças são muito bem sucedidas ao se instalarem e tomarem conta de uma plataforma Windows XP, mas podem não obter o mesmo sucesso no Windows 7 ou Windows 8. O processo inverso também pode acontecer, ou seja, uma ameaça poderá se instalar com sucesso no Windows 8 e não no XP.
Execução de Ameaças e Possibilidade de Realização de uma Análise Forense
Dessa forma, o administrador de segurança pode preparar várias instâncias de sandbox que reflitam os variados sistemas operacionais da empresa. Uma vez que a potencial ameaça tenha sido executada dentro destes ambientes, uma análise forense pode ser realizada. Nesse contexto, serão levados em consideração alguns pontos elementares: Qual ou quais arquivos a ameaça gravou? Quais acessos externos realizou e para quais endereços? Quais operações foram realizadas? Quais chaves de registro foram criadas ou sofreram alterações? Sequência exata (passo a passo) dos eventos desencadeados no ambiente, além da simulação e análise de ameaças detalhadas para classificar e analisar profundamente os arquivos enviados.
Entendendo o Comportamento das Ameaças
Todas essas informações ajudam a entender como as ameaças atacaram a rede ou alvos específicos, e saber quais ações podem ser realizadas para prevenir outros ataques semelhantes no futuro. Entretanto, o processo de detecção de ameaças e malware não deve se limitar à análises de sandbox. O Deep Discovery Inspector, também alerta para comunicações maliciosas e suspeitas da rede para servidores externos, que podem estar na liderança destes ataques. Para exemplificar, o executivo disse que lhe foi apresentado o seguinte: o uso de smartphone conectado à rede WiFi da empresa, sendo, portanto, objeto de análise de seu tráfego pelo Deep Discovery.
Ameaças que Rondam Google Play e App Store
De maneira proposital, alguns aplicativos maliciosos baixados do Google Play, aplicativos que parecem legítimos, logo ao serem instalados começavam a disparar alarmes diversos nas telas do Deep Discovery, por conta de suas ações. Diante disso, é necessário redobrar os cuidados em relação aos aplicativos, pois mesmo no Google Play ou App Store da Apple, há apps infectados. O aplicativo em questão, era um jogo que até funciona, mas nos bastidores gera um tráfego imenso e captura dados do telefone e de seu dono.
Possibilidade de Análise de Ameaças e Atacantes
A cada momento, durante a análise de um evento ou ataque, pode ser acessado o Threat Connect que traz toda a inteligência e recomendações da TREND Micro Smart Protection Network e dos pesquisadores do TREND Labs, ajudando a entender e a responder a um ataque, com maior rapidez. Além do mais, os pesquisadores acumulam conhecimentos, estudando nas sandboxes as ameaças e todas as suas variações. Isso também permite alimentar uma base de dados de URLs e endereços IP, com histórico de atividades suspeitas que são fornecidos para o software rodando no cliente e assim ter ainda mais agilidade na filtragem de acessos perigosos.
Também é possível identificar cada tipo de ameaça relacionando-as com grupos de atacantes conhecidos, assim como a sua origem, sua localização e até mesmo de quais cidades ele está sendo desencadeado.
Compatibilidade e Emissão de Relatórios Detalhados
O Deep Discovery Inspector é compatível com soluções de gerenciamento de eventos de segurança (SIEM), de vários fabricantes como HP, IBM e outras que utilizam formatos CEF ou LEEF. Quanto ao nível de informações, os relatórios podem ser gerados em diversos níveis. Esses níveis vão desde resumos executivos dos eventos de segurança e seus impactos nos negócios, bem como relatórios detalhados de cada ameaça e suas características técnicas, assim como os seus meios de ação e as ocorrências.
Eficácia no Combate às Ameaças
Devido a tantas incertezas e eventos que vem ocorrendo, a segurança não pode ser delegada a um processo único, a uma única tecnologia. São muitas vulnerabilidades que vem sendo fortemente exploradas pelos criminosos virtuais, todos eles na tentativa de roubar bens, roubar identidade, informações sensíveis, etc. Portanto, a proteção só será de fato, obtida, pela adoção de várias camadas que restringem e dificultam o acesso, bem como de forma especializada. Isso acontecerá a partir do momento em que puder impedir o acesso e fornecer as informações necessárias, principalmente para combater as ameaças novas e até então, desconhecidas.
Respostas aos Ataques
O Deep Discovery é o núcleo da Defesa Personalizada da Trend Micro, que não apenas permite que a pessoa detecte e analise as APTs, como também possa adaptar a proteção e responder, de forma bastante rápida, a esses ataques. Além do mais, Deep Discovery oferece a proteção avançada de ameaças que você precisa, para melhorar imediatamente sua proteção contra ataques futuros. Esta valiosa solução, tem a capacidade de monitorar toda a rede com "sandboxing" personalizado e inteligência relevante em tempo real. Isso permite antecipar a detecção, conter rapidamente e obter atualizações de segurança personalizadas, melhorando sua proteção para se antecipar às ameaças.
Em uma plataforma de inteligência unificada, a solução Deep Discovery possui dois componentes: o Deep Discovery Inspector, que fornece inspeção de tráfego de rede, detecção de ameaças avançadas, análises e relatórios em tempo real; e o Deep Discovery Advisor, opcional, que fornece análises abertas de "sandbox" personalizadas e escaláveis, visibilidade sobre os eventos de segurança em toda a rede e exportações de atualizações de segurança.
Saiba Mais:
[1] IT Web http://itweb.com.br/111410/trend-mic...dioes-da-rede/