24 outubro 2019
Threat Intelligence Portal: precisamos ir mais fundo
Entendo perfeitamente bem que para 95% de vocês esse post não terá nenhuma aplicação prática. Mas para os outros 5%, ele tem o potencial de simplificar muito a semana de trabalho (e vários fins de semana também). Em outras palavras, nós temos grandes notícias para os profissionais de cibersegurança – Equipes de SOC (Centros de Operação de Segurança, na sigla em inglês), pesquisadores independentes e técnicos curiosos: as ferramentas que nossos pica-paus e o pessoal do GReAT usam no dia a dia para seguir criando a melhor pesquisa contra ciberameaças do mundo estão agora disponíveis para todos vocês gratuitamente na versão Lite do nosso Threat Intelligence Portal. Também cariosamente chamado de TIP, e após essa minha introdução sobre ele, adicioná-lo aos seus favoritos é obrigatório!
O Threat Intelligence Portal resolve dois problemas principais para os sobrecarregados especialistas de cibersegurança atuais. Primeiro: “Qual dessas centenas de arquivos suspeitos eu devo escolher primeiro?”; Segundo: “Ok, meu antivírus diz que esse arquivo está seguro – e agora?”
Ao contrário dos clássicos – seguraça para endpoint – produtos de qualidade que apontam diretamente se um arquivo é perigoso ou seguro, as ferramentas de análises construídas dentro do Threat Intelligence Portal dão informações detalhadas sobre o caráter suspeito de um arquivo e em quais aspectos específicos. E não apenas arquivos: hashes, endereços de IP e URLs podem ser analisados. Todos esses itens são verificados rapidamente por nossa nuvem e os resultados são entregues de bandeja: o que há de errado nos arquivos (se houver), quão rara é a ameaça, quais outros perigos são semelhantes, ainda que remotamente, quais ferramentas foram usadas para cria-la, e por aí vai. Além disso, arquivos executáveis são rodados na nossa patenteada sandbox, com os resultados disponibilizados em alguns minutos.
Já posso ouvir os 5% gritando “É apenas o VirusTotal”.
Sim – e não.
Por um lado, o objetivo é o mesmo: dar aos especialistas ferramentas adicionais para analisar concretamente um incidente e tomar uma decisão embasada. Por outro, nossa estratégia é completamente diferente
O VirusTotal foi concebido como um simples multiscanner que agrega vários motores de antivírus e o alimenta com arquivos disponibilizados pelos usuários. Por essa razão, a acusação “não detectou um arquivo x” muitas vezes recai em todos os fornecedores, incluindo a gente. No entanto, é mais assertivo dizer que nós não detectamos X com um scanner tradicional de arquivos. Como se verifica mais tarde, nós detectamos com sucesso utilizando outras ferramentas. Mas no VirusTotal você simplesmente não vê isso. Claro, ferramentas adicionais foram incluídas ao VirusTotal, mas o foco geral permanece em uma ampla cobertura de motores utilizando uma tecnologia bastante conservadora, que foi criada há mais de 30 anos.
Como especialistas em análises profundas de ameaças complexas, nos esforçamos para disponibilizar essa profundidade para toda a comunidade de pesquisadores. O único motor que analisa artefatos no Threat Intelligence Portal pertence à empresa que leva meu nome. E ela é a melhor do mundo. Combina dezenas de tecnologias avançadas de análises (veja aqui, aqui, aqui, e etc) e daí permite que você dê uma olhada nos resultados detalhados. Claro, em comparação com a parte do nosso motor que reside no VirusTotal, TIP te dá um nível de detecção muito diferente.
Além disso, pode valer a pena escanear os arquivos com o VirusTotal também – uma segunda, terceira ou quarta opinião nunca é algo ruim. Mas é fundamental saber dar o peso devido a essas opiniões. Aliás se um dia decidirmos expandir o Threat Intelligence Portal com informações de outros fornecedores parceiros, nosso cuidado será ainda maior.
Outra diferença entre o Threat Intelligence Portal e o VirusTotal é… – como podemos dizer… – a distribuição limitada de informação. Arquivos upados no VirusTotal estão disponíveis para uma enorme quantidade de assinantes, enquanto no nosso TIP não existe acesso público aos arquivos das pessoas.
Y hablando de suscripciones:
Existe uma versão paga do Threat Intelligence Portal, que é muito mais completa – em parte porque os relatórios detalhados das ciberameaças detectadas são escritos pelos nossos melhores analistas. E se um arquivo enviado se assemelhar, digamos, a um conhecido malware financeiro, as informações mais recentes e detalhadas sobre como os cibercriminosos atacam suas vítimas, quais ferramentas eles usam e muito mais estarão disponíveis na versão completa do serviço.