Um sistema de alerta precoce para cyber-rangers (também conhecido como – Adaptive Anomaly Control)

Provavelmente, se você normalmente trabalha no escritório, ele ainda deve estar meio vazio – ou completamente – vazio, como o nosso. Na nossa sede, as únicas pessoas que você vê são os guardas de segurança ocasionais, e o único barulho que você ouve é o zumbido dos sistemas de refrigeração de nossos servidores altamente carregados, pois todo mundo está conectado e trabalhando em casa.

Você nunca imaginaria que, sem serem vistas, nossas tecnologias, especialistas e produtos estão trabalhando 24/7 protegendo o mundo cibernético. Mas eles estão. Porém, ao mesmo tempo, os bandidos estão tramando novos truques desagradáveis. Da nossa parte, temos um sistema de alerta precoce em nossa coleção de ferramentas de proteção cibernética. Mas chegarei a isso daqui a pouco…

O papel de uma mulher ou homem da área de segurança de TI se assemelha, de certa forma, ao de um guarda florestal: capturar os caçadores furtivos (malware) e neutralizar a ameaça que eles representam para os habitantes da floresta. Então, antes de tudo, você precisa encontrá-los. Claro, você pode simplesmente esperar até que o rifle de um caçador caia e corra em direção à origem do som, mas isso não exclui a possibilidade de que você chegue tarde demais e que a única coisa que possa fazer seja limpar a bagunça.

Você pode ficar completamente paranóico: colocando sensores e câmeras de vídeo por toda a floresta, mas pode se sentir reagindo a todo e qualquer farfalhar que apanha (e logo perde o sono, e o juízo). Mas quando você percebe que os caçadores furtivos aprenderam a se esconder muito bem – na verdade, a não deixar nenhum vestígio de sua presença – fica claro que o aspecto mais importante da segurança é a capacidade de separar eventos suspeitos de eventos regulares e inofensivos.

Cada vez mais, os caçadores cibernéticos de hoje estão se camuflando com a ajuda de ferramentas e operações perfeitamente legítimas.

Alguns exemplos: a abertura de um documento no Microsoft Office, o acesso de administrador remoto ao administrador do sistema, o lançamento de um script no PowerShell e a ativação de um mecanismo de criptografia de dados. Depois, há a nova onda do chamado malware sem arquivo, deixando literalmente zero traços no disco rígido, o que limita seriamente a eficácia das abordagens tradicionais de proteção.

Exemplos: (1) o agente de ameaças da Platinum usou tecnologias sem arquivo para penetrar nos computadores das organizações diplomáticas; e (2) documentos de escritório com carga maliciosa foram usados para infecções por phishing nas operações do DarkUniverse APT; e há muito mais. Mais um exemplo: o criptografador de ransomware sem arquivo ‘Mailto’ (também conhecido como Netwalker), que usa um script do PowerShell para carregar código malicioso diretamente na memória de processos confiáveis do sistema.

Agora, se a proteção tradicional não estiver à altura da tarefa, é possível tentar proibir aos usuários toda uma gama de operações e introduzir políticas rígidas de acesso e uso de software. No entanto, considerando isso, os usuários e os bandidos provavelmente encontrarão maneiras de contornar as proibições (assim como a proibição do álcool sempre foi contornada também :).

Muito melhor seria encontrar uma solução que possa detectar anomalias nos processos padrão e que o administrador do sistema seja informado sobre elas. Mas o que é crucial é que essa solução seja capaz de aprender a determinar automaticamente com precisão o grau de “suspeita” dos processos em toda a sua grande variedade, para não atormentar o administrador do sistema com gritos constantes de “lobo!”

Bem, você adivinhou! – temos uma solução: Adaptive Anomaly Control, um serviço construído a partir de três componentes principais – regras, estatísticas e exceções.

As regras abrangem os aplicativos principais do escritório, a Instrumentação de Gerenciamento do Windows, scripts padrão e outros componentes, juntamente com uma lista de atividades “anômalas”. Essas regras fazem parte da solução e não exigem que o administrador as crie novamente.

Após a ativação, por cerca de duas semanas, o sistema estuda os processos que ocorrem habitualmente em uma organização, detecta desvios das regras padrão (ou seja, coleta estatísticas) e cria uma lista ‘personalizada’ de exceções. Esse período de estudo pode ser complementado por, por exemplo, o administrador do sistema criando suas próprias exceções para algum processo específico ou encontrando uma anomalia imprevista. E o processo de estudo pode até se dividir em departamentos, para que, por exemplo, o pessoal de finanças não possa executar scripts Java, enquanto o pessoal de P&D não pode ter acesso a ferramentas financeiras.

O sistema sinaliza quaisquer desvios da lista de exceções, indicando tanto o processo quanto o dispositivo suspeitos específicos em que foi lançado. Por exemplo, tecnicamente seria possível o lançamento do processador de comando do Windows ou do host do aplicativo HTML por um script do PowerShell a partir de um aplicativo do escritório ou de uma máquina virtual, mas dificilmente é uma operação permitida. Ou digamos que, se um arquivo com um nome típico para um arquivo do sistema for salvo em uma pasta que não é uma pasta do sistema – isso seria um sinal para analisar de perto o aplicativo.

Além disso, o administrador do sistema pode bloquear ou permitir um processo, mas com o usuário sendo informado sobre isso. Mais que isso, mediante solicitação, o período de observação para determinadas regras pode ser aumentado para estudar mais de perto como elas serão aplicadas no futuro.

“Então, por que a proteção de terminal é necessária se o sistema funciona tão bem?” pergunta o guarda florestal administrador do sistema cético. É que o Adaptive Anomaly Control deve ser visto como um sistema de alerta precoce, apenas indicando onde está ocorrendo atividade suspeita. Realmente combater a ameaça é a tarefa de outros componentes-chave de proteção, como soluções EDR.

E essa é a sua introdução básica ao Adaptive Anomaly Control, pessoal!

PS: E não usei a comparação com guardas florestais por acaso, pois as florestas (e os campos selvagens) estão na vanguarda da minha mente no momento: preciso começar a fazer as malas para a minha expedição de verão nos locais selvagens de Altai. Os sistemas de proteção individual e de alerta precoce são exatamente o tipo de coisa que vou precisar!…