Arquivos de tag para “lançamento de produtos”

Os 3 ingredientes da cibersegurança de elite: analisar o passado, testar o presente e prever o futuro. Quaisquer ingredientes extras = embromação.

Quando o passado é cuidadosamente estudado, uma imagem detalhada e precisa do presente pode ser formada; então, entra em cena a mente analítica do especialista (melhor – muitas mentes analíticas de especialistas), que vão alertar – ou até mesmo prever – um futuro previsível. É exatamente assim que nós aqui na Kaspersky podemos adivinhar prever com precisão como vai acontecer a próxima evolução dos males digitais. É também como nos mantemos a par das últimas tendências de ciberataques, o que nos permite desenvolver em tempo hábil as tecnologias correspondentes necessárias na luta contra os cibercriminosos que estão por aí. Houve momentos em que nos enganamos em nossa ciberprofecia baseada em experiência: alguns tipos de ciberameaças são muito difíceis de prever – mas esses casos sempre foram a exceção à regra.

Então, como podemos gerenciar essa situação? Será que são apenas aqueles caras superinteligentes barbudos que fazem toda essa análise e ditam as ciberprofecias? Na verdade, não. Muito disso é automatizado. E isso é para ser aplaudido: um humano – não importa o quão inteligente seja – não pode competir com o poder de computação de hoje, algoritmos, robôs e aprendizado de máquina de IA. O humano inteligente ainda é necessário, é claro; mas por que fazer todo o trabalho pesado sozinho?

É sobre o trabalho pesado que vou falar hoje neste post. Levantamento pesado tecnológico, baseado na ciência, que nos permite prever o futuro (sem adivinhação mística à la Baba Vanga).

Deixe-me começar contando sobre a evolução da nossa plataforma de inteligência de ameaças (TIP, na sigla em inglês).

Vou detalhar como fiz no título: como analisamos o passado, testamos o presente e então prevemos o futuro com bola de cristal

Analisando o passado

Quando começamos a desenvolver este serviço, em 2016, as primeiras ferramentas lidavam com a análise do passado. Eram (e ainda são) seus feeds de dados de ameaças. Como o nome sugere, são feeds de dados sobre ameaças já conhecidas: indicadores de ataque, endereços de sites de malware, endereços do centro de controle de botnet e muito mais. Você pode se inscrever para receber atualizações em tempo real.

Um pouco mais avançado que os feeds são os nossos relatórios detalhados de ameaças. Eis alguns exemplos: os relatórios analíticos sobre ameaças de APT dedicados a ataques direcionados e grupos hackers; Crimeware Intelligence Reporting, que descreve novas variantes de programas maliciosos; e ICS TI Reporting – sobre novas ameaças contra sistemas de controle industrial.

E como dificilmente vamos jogar fora qualquer um dos dados que coletamos no último quarto de século, agora temos petabytes bobbytes zillybytes de valorosos dados sobre ameaças armazenados. Parece uma pena mantê-los trancados, então decidimos dar aos clientes (claramente aqui estamos falando de corporações/empresas, mais especificamente os seus departamentos de TI/segurança de TI) a capacidade de pesquisar nosso banco de dados por conta própria. E foi assim que nosso serviço Threat Lookup, uma espécie de Google Threats, surgiu. E já é usado por centenas de empresas conhecidas e conceituadas de todo o mundo.

Testando o presente

Logicamente, saímos do passado e chegamos agora no presente…

Imagine que, esta manhã, você encontrou um arquivo suspeito em algum lugar da sua rede corporativa e precisa de uma análise dele imediatamente. Isso significa que sua plataforma de inteligência de ameaças (TI) precisa fornecer ferramentas de investigação, como jpa diria o músico Fatboy Slim, “right here, right now”.

Primeiro, você precisaria de uma análise estática de código. Nós fazemos isso desde o dia em que começamos com métodos clássicos de antivírus (hashes, heurística), que ao longo dos anos se transformaram em um sistema de atribuição de ameaças de ponta. Agora já é possível descobrir a origem do malware, mesmo que seja uma versão amplamente reescrita de um malware conhecido anteriormente.

Veja bem, certos “genes” – pedaços distintos de código de computador – são como espécimes da assinatura de um hacker e, portanto, permanecem imutáveis. E são esses genes que são capturados pelo nosso Threat Attribution Engine, que foi treinado para reconhecer as centenas de milhões de genes bons e ruins que temos armazenado nos últimos 25 anos. O resultado é poder vincular novos malwares a autores conhecidos.

Parece que ainda estamos no passado? Em seguida, jogamos o arquivo suspeito em nossa Cloud Sandbox. Isso é, literalmente, uma análise dinâmica “no presente contínuo” de um arquivo durante sua execução em um ambiente isolado. A julgar apenas pelo seu código, pode parecer completamente inocente; mas basta rodar na sandbox e… oh-oh: está tentando criptografar alguma coisa! Quem teria pensado isso? Por mais maliciosos que sejam, afinal!

Agora vem a pergunta – de onde veio essa função maliciosa? E devemos olhar ao redor para ver se há mais alguma coisa à espreita? Você adivinhou: sim, devemos!…

Para isso, verificamos nosso Gráfico de Pesquisa, onde vemos as relações do arquivo investigado com outros objetos: domínios com os quais ele interagiu, arquivos que ele carregou – ou que o carregou – e também conexões com outras ameaças e indicadores listados em nosso base de dados. Esses indicadores podem ser pesquisados ​​pelo próprio cliente na internet – apenas para ter certeza de que nada foi perdido e que os bandidos foram jogados para longe.

Prevendo o futuro

Então, usamos o conhecimento do passado para investigar algo que ocorreu no presente. Mas onde está o futuro? Claro, ainda não ocorreu – mas já podemos ver sinais de como será. E vai se parecer a pontos fracos na proteção de sua infraestrutura, vulnerabilidades em software e configurações e possíveis pontos de entrada para ciberataques. Essas coisas podem ser encontradas nos relatórios baseados em assinatura mencionados acima (Threat Intelligence Reporting).

É neles que descrevemos em detalhes quais grupos de hackers existem no planeta e – o mais importante – quais ferramentas eles usam, como eles as usam e para quais objetivos (ou seja, descobrimos seus TTPs – táticas, técnicas e procedimentos). Sabendo de tudo isso, é possível se preparar muito melhor para possíveis ataques futuros.

No entanto, os métodos dos bandidos podem diferir em diferentes contextos, e nossos clientes geralmente nos pedem mais dados sobre como certas técnicas de ataque podem ser aplicadas em situações específicas típicas de um determinado cliente. E agora eles podem obter essas consultas com analistas em tempo real por meio do nosso serviço Ask the Analyst, ou pergunte ao especialista.

O segundo tipo de sinal em relação ao futuro é a atividade suspeita “em algum lugar na internet” que usa os dados de uma organização, o que pode ser considerado um planejamento para um ataque. E é sobretudo a estes sinais de futuro que se dedica o nosso serviço Digital Footprint Intelligence (DFI).

Funciona assim: com a ajuda de robôs dedicados, uma equipe dos nossos especialistas faz um “retrato digital” de determinada organização e, em seguida, rastreia como esses dados são usados ​​na internet para poder prever possíveis ataques.

Por exemplo, alguém registra um domínio que se parece muito com o de uma determinada empresa (digamos, com apenas uma letra diferente, ou com um traço adicionado em algum lugar) e lança um site com esse endereço que se parece muito com o “original”. O serviço DFI irá avisá-lo sobre esses sites de phishing, e o Takedown Service ajudará no bloqueio rápido do site copiado.

Além disso, na nova versão do nosso portal de TI há agora uma função especializada de busca na internet. Assim, o que você encontraria anteriormente em nosso banco de dados interno de ameaças agora é complementado por novos dados de fontes abertas verificadas, incluindo mídia de cibersegurança, fóruns de segurança da informação e blogs de especialistas.

E, finalmente, nossa TIP pode ser usada para pesquisar os cantos mais obscuros da web (Dark Web, Deep Web). Você pode verificar se os dados de uma organização vazaram, ver se houve conversas sobre as vulnerabilidades de uma organização e verificar outros sinais de preparativos para ataques. Será que os usuários dessas redes pensaram que não eram rastreáveis? Aham, tá bom!

Mas, você pode estar pensando… “Isso pode sinalizar um futuro hacker com base em sua jornada adolescente?!” Ou: “Pode dizer como o administrador do sistema X organizará os vazamentos de dados da empresa Y em três anos?!” Ou coisas assim. Claro que a resposta é não. O que podemos fazer é fornecer aos usuários de nossa plataforma analítica as informações mais importantes sobre as ameaças que eles podem enfrentar de forma realista: por quem e por que eles podem ser atacados, como esses ataques podem ser implementados e como eles podem se proteger deles.

Então é isso aí pessoal – uma máquina do tempo de cibersegurança – com o passado, o presente e o futuro, todos avaliados! Mas, apesar dessas palavras de ficção científica, espero que você veja agora como isso é tudo menos ficção científica. Nem Vanga, nem Sauron, nem xamã, nem adivinho, nem astrologia, nem magia. Apenas ciência e tecnologia – 100%.

Quem pensaria que você precisaria analisar o passado, investigar o presente e prever o futuro para uma cibersegurança de alto nível em 2022? Nós certamente o faríamos – e o fazemos, com nossa Kaspersky Threat Intelligence. E agora você pode fazer o mesmo.

Ciberiluminação: como descobrir efetivamente os lobos em pele de cordeiro. Ou: nunca é tarde para aprender

Oi pessoal!

Todos nós sabemos perfeitamente bem que a internet está inundada com todos os tipos de malware – desde o nível amador primitivo até o nível profissional sofisticado. E, nos últimos três meses, as coisas pioraram muito. Os cibercriminosos estão se tornando cada vez mais ousados e seus métodos cada vez mais avançados e refinados. E embora lutar contra os cibervilões seja digno e totalmente necessário, é sempre melhor prevenir do que remediar.

Ou seja, ser capaz de reconhecer as ciberameaças pelo que são e em tempo hábil é uma tarefa de vital importância estratégica; ainda mais quando falamos não apenas de proteger empresas, mas de proteger infraestruturas críticas – o kit que nos permite ter condições seguras, confortáveis ​​e estáveis ​​para viver.

Assim, conscientizar e capacitar os funcionários sobre como identificar ciberataques em redes corporativas é muito importante. E sim, somos os maiores fãs do mundo dessa ‘ciberiluminação’: realizamos regularmente treinamentos de todos os tipos e formatos: online (inclusive em tempo real) e offline, e tudo sob os olhares atentos e cuidadosos de nossos especialistas.

Recentemente, escrevi neste meu blog sobre nossos programas de treinamento na identificação de ciberataques com base em conjuntos de características de malware (você pode ler mais sobre as regras da YARA aqui). Mas, aqui na Kaspersky, nós nunca ficamos parados. Por isso, nos atualizamos e hoje quero falar sobre nosso novo curso, que acaba de ser adicionado ao nosso portfólio educacional de treinamento online para especialistas.

Então aqui está pessoal: apresento a vocês o treinamento sobre como responder (no Windows) a incidentes (incluindo ransomware) – o curso Kaspersky Windows Incident Response. Aliás, este curso existia apenas no formato offline e era o mais popular entre nossos clientes; no entanto, ele destina-se tanto a equipes internas quanto a especialistas independentes em cibersegurança que desejam aprimorar ainda mais seus conhecimentos e aumentar suas qualificações.

Agora, de acordo com pesquisas recentes, os principais gerentes (fora da área de TI) e também os proprietários de empresas parecem superestimar sua capacidade de lidar com ransomware – especialmente se nunca se depararam com o problema. E aproximadamente 73% das empresas não conseguem lidar com um ataque de ransomware, mesmo com a ajuda de seus prestadores de serviços de TI. Sim – este dado é impressionante!

Leia em:Ciberiluminação: como descobrir efetivamente os lobos em pele de cordeiro. Ou: nunca é tarde para aprender

Querido, Papai Noel: Eu gostaria de um sandbox, por favor

Olá pessoal, ou eu deveria dizer – ho ho holá, pessoal? Alguns disseram que existe uma ligeira semelhança… mas eu já discordo!

Claro, Natal e Ano Novo estão chegando. Crianças escreveram suas cartas para o Papai Noel com seus pedidos, afirmando que foram bons meninos e boas meninas, e a Rudolph & Co está prestes a fazer sua parte no milagre logístico que acontece por uma noite em todo fim de ano. Mas não são apenas os presentes das crianças de sempre que o Papai Noel e suas renas entregarão este ano. Eles também distribuirão algo que há muito tempo é pedido: uma nova solução para combater ataques cibernéticos avançados – o Kaspersky Sandbox! Vou contar um pouco sobre essa história para vocês.

Basicamente, trata-se de emulação. Você conhece emulação, certo? Eu a descrevi algumas vezes aqui no blog antes, a última vez foi no começo deste ano. Mas, só pra garantir: emulação é um método que incentiva as ameaças a se revelarem: um arquivo é executado em um ambiente virtual que imita um computador real. O comportamento do arquivo suspeito é estudado em uma “sandbox” com um magnífico vidro de proteção. Ao melhor estilo Sherlock Holmes, e ao encontrar ações incomuns (= perigosas) o objeto é isolado para que não cause danos e possa ser analisado mais de perto.

Leia em:Querido, Papai Noel: Eu gostaria de um sandbox, por favor