14 março 2017
+1 Serviço de Inteligência Empresarial: Apresento nosso novo Raio-X de ciberameaças!
Seres humanos são curiosos. Faz parte de sua natureza buscar respostas para os “porquês” e “comos” a respeito de tudo e qualquer coisa. Isso é duplamente verdade para cibersegurança: entender essas diversas questões acerca de ciberameaças tratam-se dos alicerces sobre os quais a cibersegurança é construída, ou seja, sobre os quais a Kaspersky Lab se apoia.
A obtenção de respostas para nós reflete esmiuçar um ciberataque em suas partes constituintes, analisar tudo, e se necessário, desenvolver medidas protetivas específicas. É sempre mais interessante tomar essas iniciativas de maneira proativa, baseando-se em erros alheios ao invés de esperar até que sejamos o alvo.
Para lidar com esse desafio temos uma nova solução para empresas. Nessa coleção de ferramentas de ciberprecisão há treinamento de pessoal, serviços de inteligências de segurança capazes de levantar informações detalhadas sobre ataques descobertos, serviços de testes de penetração especializados, auditorias de apps, investigação de incidentes, e mais.
O “mais” aqui inclui nosso novo serviço – KTL (Kaspersky Threat Lookup) – o microscópio para dissecar objetos suspeitos e descobrir sua fonte e rastrear histórico de ciberataques, correlações multivariadas, e graus de perigo para infraestrutura corporativa. Um verdadeiro raio-X de ciberameaças.
Na verdade, todos os nossos usuários possuem a versão “lite” do serviço. O nível de segurança de um arquivo pode ser verificado com nossos produtos domésticos, porém clientes empresariais precisam de uma análise de ameaças mais profundas.
Para começo de conversa, o KTL pode ser usado para verificar arquivos, URLs, endereços de IP e domínios. Pode analisar objetos tendo em mente ataques específicos, bem como consideração de especificidades estatísticas e comportamentais, dados WHOIS/DNS, atributos de arquivos, download chains e outros.
É como um mecanismo de busca, só que exclusivo para ciberameaças. Por meio de alguns detalhes sobre um objeto suspeito, a KTL retornará um detalhamento que inclui aspectos históricos, geográficos e outros. Tudo em tempo real, 24 horas por dia.
Os resultados, objetos suspeitos, e outros IoC podem ser exportados em formatos legíveis por máquinas (STIX, OpenIOC, JSON, Yara, Snort, CSV…) para integração com SIEMs corporativos.
Então de onde a KTL tira seus dados? Existem diversas fontes.
Primeiro, existe nossa plataforma na nuvem a KSN, que contém sinais anônimos sobre a situação epidemiológica de centenas de milhares de usuários ao redor do mundo. Ao utilizar essa tecnologia, nossos clientes não apenas cuidam de si mesmos (a participação na KSN aumenta automaticamente a qualidade da proteção), mas também auxilia na realização de uma missão humanitária: cuidar de outros também, reduzindo assim o nível de ciberameaças ao redor da Internet.
Segundo, nossa tecnologia analisa atividade de rede, incluindo armadilhas de spam, monitoramento botnet, web crawlers, sensores de rede variados, e robôs inteligentes alimentados por aprendizado de máquina. E claro, existem resultados de investigações em torno de ataques complexos executadas pelos ciberninjas da GReAT.
Terceiro, os desenvolvedores de software de nossos parceiros. Incidentemente, o papel desses crescerá ao longo do tempo, até se tornarem predominante. Sim, temos grandes planos para o futuro, mas não entrarei nos detalhes agora.
Por enquanto – um pouco mais sobre nossos planos para o futuro próximo…
Estamos trabalhando na adição de funções da KTL de análise de objetos suspeitos em ambiente seguro – uma caixa de areia na nuvem.
Por exemplo, um arquivo é adicionado à caixa de areia e executado em uma máquina virtual (com sistemas de registro patenteados). As máquinas virtuais são completamente isoladas uma das outras e de redes internas, e possuem conectividade externa limitada. As máquinas virtuais são idênticas a computadores de modo que os objetos se comportam da mesma forma que no mundo real. Elas registram todas as ações realizadas por um objeto (como nossa proteção KATA contra ataques direcionados). Todos os resultados estão compilados em um relatório detalhado; aqui é mostrado como um arquivo teria de agir caso se tratasse de uma situação real, comparado com um escopo de como se comportam ameaças.
Seguindo também temos ferramentas úteis para trabalhar com arquivos de metadados e URLs. Em próximas versões, teremos a habilidade de extrair diferentes metadados e realizar pesquisas personalizadas. Então, será possível conduzir investigações aprofundadas acerca de similaridades entre malwares considerando diversos parâmetros, o que nos permitirá entender o contexto dos ataques sofisticados. Por exemplo, com o auxílio dessa ferramenta será possível fazer requisições como: “encontre arquivos que quando executados fazem isso ou aquilo” ou “encontre arquivos com esse nome”, e ainda “encontre arquivos que são detectados por antivírus” e por fim “arquivos cujos códigos contenham a seguinte linha”.
Como você pode ver, temos um ciber Raio-X multifuncional em desenvolvimento, mas algumas funcionalidades já podem ser usada (assim você também pode recomendar novas funções úteis:).
Mais detalhes sobre a KTL – aqui.