Arquivos de tag para “produtos”

Os 3 ingredientes da cibersegurança de elite: analisar o passado, testar o presente e prever o futuro. Quaisquer ingredientes extras = embromação.

Quando o passado é cuidadosamente estudado, uma imagem detalhada e precisa do presente pode ser formada; então, entra em cena a mente analítica do especialista (melhor – muitas mentes analíticas de especialistas), que vão alertar – ou até mesmo prever – um futuro previsível. É exatamente assim que nós aqui na Kaspersky podemos adivinhar prever com precisão como vai acontecer a próxima evolução dos males digitais. É também como nos mantemos a par das últimas tendências de ciberataques, o que nos permite desenvolver em tempo hábil as tecnologias correspondentes necessárias na luta contra os cibercriminosos que estão por aí. Houve momentos em que nos enganamos em nossa ciberprofecia baseada em experiência: alguns tipos de ciberameaças são muito difíceis de prever – mas esses casos sempre foram a exceção à regra.

Então, como podemos gerenciar essa situação? Será que são apenas aqueles caras superinteligentes barbudos que fazem toda essa análise e ditam as ciberprofecias? Na verdade, não. Muito disso é automatizado. E isso é para ser aplaudido: um humano – não importa o quão inteligente seja – não pode competir com o poder de computação de hoje, algoritmos, robôs e aprendizado de máquina de IA. O humano inteligente ainda é necessário, é claro; mas por que fazer todo o trabalho pesado sozinho?

É sobre o trabalho pesado que vou falar hoje neste post. Levantamento pesado tecnológico, baseado na ciência, que nos permite prever o futuro (sem adivinhação mística à la Baba Vanga).

Deixe-me começar contando sobre a evolução da nossa plataforma de inteligência de ameaças (TIP, na sigla em inglês).

Vou detalhar como fiz no título: como analisamos o passado, testamos o presente e então prevemos o futuro com bola de cristal

Analisando o passado

Quando começamos a desenvolver este serviço, em 2016, as primeiras ferramentas lidavam com a análise do passado. Eram (e ainda são) seus feeds de dados de ameaças. Como o nome sugere, são feeds de dados sobre ameaças já conhecidas: indicadores de ataque, endereços de sites de malware, endereços do centro de controle de botnet e muito mais. Você pode se inscrever para receber atualizações em tempo real.

Um pouco mais avançado que os feeds são os nossos relatórios detalhados de ameaças. Eis alguns exemplos: os relatórios analíticos sobre ameaças de APT dedicados a ataques direcionados e grupos hackers; Crimeware Intelligence Reporting, que descreve novas variantes de programas maliciosos; e ICS TI Reporting – sobre novas ameaças contra sistemas de controle industrial.

E como dificilmente vamos jogar fora qualquer um dos dados que coletamos no último quarto de século, agora temos petabytes bobbytes zillybytes de valorosos dados sobre ameaças armazenados. Parece uma pena mantê-los trancados, então decidimos dar aos clientes (claramente aqui estamos falando de corporações/empresas, mais especificamente os seus departamentos de TI/segurança de TI) a capacidade de pesquisar nosso banco de dados por conta própria. E foi assim que nosso serviço Threat Lookup, uma espécie de Google Threats, surgiu. E já é usado por centenas de empresas conhecidas e conceituadas de todo o mundo.

Testando o presente

Logicamente, saímos do passado e chegamos agora no presente…

Imagine que, esta manhã, você encontrou um arquivo suspeito em algum lugar da sua rede corporativa e precisa de uma análise dele imediatamente. Isso significa que sua plataforma de inteligência de ameaças (TI) precisa fornecer ferramentas de investigação, como jpa diria o músico Fatboy Slim, “right here, right now”.

Primeiro, você precisaria de uma análise estática de código. Nós fazemos isso desde o dia em que começamos com métodos clássicos de antivírus (hashes, heurística), que ao longo dos anos se transformaram em um sistema de atribuição de ameaças de ponta. Agora já é possível descobrir a origem do malware, mesmo que seja uma versão amplamente reescrita de um malware conhecido anteriormente.

Veja bem, certos “genes” – pedaços distintos de código de computador – são como espécimes da assinatura de um hacker e, portanto, permanecem imutáveis. E são esses genes que são capturados pelo nosso Threat Attribution Engine, que foi treinado para reconhecer as centenas de milhões de genes bons e ruins que temos armazenado nos últimos 25 anos. O resultado é poder vincular novos malwares a autores conhecidos.

Parece que ainda estamos no passado? Em seguida, jogamos o arquivo suspeito em nossa Cloud Sandbox. Isso é, literalmente, uma análise dinâmica “no presente contínuo” de um arquivo durante sua execução em um ambiente isolado. A julgar apenas pelo seu código, pode parecer completamente inocente; mas basta rodar na sandbox e… oh-oh: está tentando criptografar alguma coisa! Quem teria pensado isso? Por mais maliciosos que sejam, afinal!

Agora vem a pergunta – de onde veio essa função maliciosa? E devemos olhar ao redor para ver se há mais alguma coisa à espreita? Você adivinhou: sim, devemos!…

Para isso, verificamos nosso Gráfico de Pesquisa, onde vemos as relações do arquivo investigado com outros objetos: domínios com os quais ele interagiu, arquivos que ele carregou – ou que o carregou – e também conexões com outras ameaças e indicadores listados em nosso base de dados. Esses indicadores podem ser pesquisados ​​pelo próprio cliente na internet – apenas para ter certeza de que nada foi perdido e que os bandidos foram jogados para longe.

Prevendo o futuro

Então, usamos o conhecimento do passado para investigar algo que ocorreu no presente. Mas onde está o futuro? Claro, ainda não ocorreu – mas já podemos ver sinais de como será. E vai se parecer a pontos fracos na proteção de sua infraestrutura, vulnerabilidades em software e configurações e possíveis pontos de entrada para ciberataques. Essas coisas podem ser encontradas nos relatórios baseados em assinatura mencionados acima (Threat Intelligence Reporting).

É neles que descrevemos em detalhes quais grupos de hackers existem no planeta e – o mais importante – quais ferramentas eles usam, como eles as usam e para quais objetivos (ou seja, descobrimos seus TTPs – táticas, técnicas e procedimentos). Sabendo de tudo isso, é possível se preparar muito melhor para possíveis ataques futuros.

No entanto, os métodos dos bandidos podem diferir em diferentes contextos, e nossos clientes geralmente nos pedem mais dados sobre como certas técnicas de ataque podem ser aplicadas em situações específicas típicas de um determinado cliente. E agora eles podem obter essas consultas com analistas em tempo real por meio do nosso serviço Ask the Analyst, ou pergunte ao especialista.

O segundo tipo de sinal em relação ao futuro é a atividade suspeita “em algum lugar na internet” que usa os dados de uma organização, o que pode ser considerado um planejamento para um ataque. E é sobretudo a estes sinais de futuro que se dedica o nosso serviço Digital Footprint Intelligence (DFI).

Funciona assim: com a ajuda de robôs dedicados, uma equipe dos nossos especialistas faz um “retrato digital” de determinada organização e, em seguida, rastreia como esses dados são usados ​​na internet para poder prever possíveis ataques.

Por exemplo, alguém registra um domínio que se parece muito com o de uma determinada empresa (digamos, com apenas uma letra diferente, ou com um traço adicionado em algum lugar) e lança um site com esse endereço que se parece muito com o “original”. O serviço DFI irá avisá-lo sobre esses sites de phishing, e o Takedown Service ajudará no bloqueio rápido do site copiado.

Além disso, na nova versão do nosso portal de TI há agora uma função especializada de busca na internet. Assim, o que você encontraria anteriormente em nosso banco de dados interno de ameaças agora é complementado por novos dados de fontes abertas verificadas, incluindo mídia de cibersegurança, fóruns de segurança da informação e blogs de especialistas.

E, finalmente, nossa TIP pode ser usada para pesquisar os cantos mais obscuros da web (Dark Web, Deep Web). Você pode verificar se os dados de uma organização vazaram, ver se houve conversas sobre as vulnerabilidades de uma organização e verificar outros sinais de preparativos para ataques. Será que os usuários dessas redes pensaram que não eram rastreáveis? Aham, tá bom!

Mas, você pode estar pensando… “Isso pode sinalizar um futuro hacker com base em sua jornada adolescente?!” Ou: “Pode dizer como o administrador do sistema X organizará os vazamentos de dados da empresa Y em três anos?!” Ou coisas assim. Claro que a resposta é não. O que podemos fazer é fornecer aos usuários de nossa plataforma analítica as informações mais importantes sobre as ameaças que eles podem enfrentar de forma realista: por quem e por que eles podem ser atacados, como esses ataques podem ser implementados e como eles podem se proteger deles.

Então é isso aí pessoal – uma máquina do tempo de cibersegurança – com o passado, o presente e o futuro, todos avaliados! Mas, apesar dessas palavras de ficção científica, espero que você veja agora como isso é tudo menos ficção científica. Nem Vanga, nem Sauron, nem xamã, nem adivinho, nem astrologia, nem magia. Apenas ciência e tecnologia – 100%.

Quem pensaria que você precisaria analisar o passado, investigar o presente e prever o futuro para uma cibersegurança de alto nível em 2022? Nós certamente o faríamos – e o fazemos, com nossa Kaspersky Threat Intelligence. E agora você pode fazer o mesmo.

Threat Intelligence Portal: precisamos ir mais fundo

Entendo perfeitamente bem que para 95% de vocês esse post não terá nenhuma aplicação prática. Mas para os outros 5%, ele tem o potencial de simplificar muito a semana de trabalho (e vários fins de semana também). Em outras palavras, nós temos grandes notícias para os profissionais de cibersegurança – Equipes de SOC (Centros de Operação de Segurança, na sigla em inglês), pesquisadores independentes e técnicos curiosos: as ferramentas que nossos pica-paus e o pessoal do GReAT usam no dia a dia para seguir criando a melhor pesquisa contra ciberameaças do mundo estão agora disponíveis para todos vocês gratuitamente na versão Lite do nosso Threat Intelligence Portal. Também cariosamente chamado de TIP, e após essa minha introdução sobre ele, adicioná-lo aos seus favoritos é obrigatório!

O Threat Intelligence Portal resolve dois problemas principais para os sobrecarregados especialistas de cibersegurança atuais. Primeiro: “Qual dessas centenas de arquivos suspeitos eu devo escolher primeiro?”; Segundo: “Ok, meu antivírus diz que esse arquivo está seguro – e agora?”

Lanzamos una versión gratuita del Kaspersky Threat Intelligence Portal

 

Ao contrário dos clássicos – seguraça para endpoint – produtos de qualidade que apontam diretamente se um arquivo é perigoso ou seguro, as ferramentas de análises construídas dentro do Threat Intelligence Portal dão informações detalhadas sobre o caráter suspeito de um arquivo e em quais aspectos específicos. E não apenas arquivos: hashes, endereços de IP e URLs podem ser analisados. Todos esses itens são verificados rapidamente por nossa nuvem e os resultados são entregues de bandeja: o que há de errado nos arquivos (se houver), quão rara é a ameaça, quais outros perigos são semelhantes, ainda que remotamente, quais ferramentas foram usadas para cria-la, e por aí vai. Além disso, arquivos executáveis são rodados na nossa patenteada sandbox, com os resultados disponibilizados em alguns minutos.

Leia em:Threat Intelligence Portal: precisamos ir mais fundo

Flickr photostream

  • KLHQ
  • KLHQ
  • KLHQ
  • KLHQ

Instagram Photostream

Nossa nova tecnologia de emulação: o pior pesadelo dos malwares

Você já se perguntou por que os vírus de computador são conhecidos como vírus? Bem, a verdade é que hoje a palavra “vírus” é utilizada de forma um tanto imprecisa para se referir a quase “qualquer tipo de programa malicioso ou para descrever o dano que um programa gera em dispositivos”. A fonte dessa definição é a nossa enciclopédia.

No entanto (e ainda segundo nossa enciclopédia), “no sentido mais estrito … um vírus é definido como um código de programação que se replica e espalha” e se desenvolve a partir dele mesmo, como um vírus biológico, por exemplo, a gripe.

Leia em:Nossa nova tecnologia de emulação: o pior pesadelo dos malwares

Funcionalidades que você não conhece (ver. 2018): KFP!

Quando se trata de escolher uma roupa – a única coisa que penso é na funcionalidade. Embalagem, marca e status em geral não me importam. O mesmo vale para carros: se me faz chegar de A a B rapidamente, de forma segura e confortável (ar-condicionado, pelo menos), pronto.

Esse mesmo princípio de “ignorar o que não é importante” se aplica aos produtos de segurança. As pessoas deviam se considerara a proteção de fato e não aspectos irrelevantes – usados em manobras de marketing. No fim, em testes independentes detalhados, “antivírus inovadores” glamourosos mostram possuir nada além de inteligência artificial falsa e detecção AV adotada, sem falar em uma proteção cheia de buracos. São placebos, nada além disso. Portanto, para não acabar vítima desse ouro de tolo, você precisa olhar de perto como as coisas funcionam.

Claro, nem todo mundo tem tempo, paciência e conhecimento técnico para auditar os pormenores de produtos de cibersegurança e entendê-los. Entretanto, mesmo que alguém decida se embrenhar nisso, há chances de que o desenvolvedor esteja enchendo linguiça com o jargão técnico.

Com a Kaspersky Lab, por outro lado, a coisa é o contrário: temos orgulho de nossas tecnologias, publicamos abertamente os detalhes técnicos (sem encher linguiça) e nos certificamos de que qualquer um pode entendê-los se explicados apropriadamente. Finalmente, somos a empresa de cibersegurança mais transparente – ao ponto de estarmos dispostos a compartilhar nossos códigos fonte para inspeção.

Para favorecer a transparência e acessibilidade de nossas tecnologias, há sete anos, comecei uma série de artigos regulares no meu blog com a tag tecnologia, cujas publicações têm por objetivo explicar funções complexas em linguagem simples (nuances tecnológicas das quais você “não ouve falar normalmente”, acessíveis apenas em notas técnicas voltadas para nerds). Esses são os detalhes “pouco visíveis”, porém são o parafuso e a porca da nossa ciberproteção.

Ok. A introdução já foi. O artigo de hoje explica como os bancos sabem que sua conta foi hackeada.

Digamos que um dia você recebe uma mensagem de seu banco sobre “Atividades suspeitas detectadas em sua conta…”. A primeira coisa que você faz é analisar suas atividades nos últimos dias, onde você sacou dinheiro e quanto, o que comprou em lojas/ cafés ou online, etc.

No meu caso, seria assim: (i) saquei coroas norueguesas de um ATM em Longyearbyen, Svalbard, Noruega; (ii) comprei bife e cerveja uma salada e água mineral no Aeroporto de Oslo, Noruega; (iii) comprei um presente para a esposa no Aeroporto Schiphol em Amsterdã, Holanda – além de outra salada e água mineral, que sorte a minha; (iv) em algum lugar próximo a Açores, comprei acesso à internet no aeroporto; (v) saquei balboas no Aeroporto de Tocumen no Panamá; e (vi) paguei pelo jantar do grupo em um vilarejo no Panamá. Isso tudo em um dia.

Para um banco, essa lista de compras em um cartão de crédito – não registrado em nenhum dos países citados – sem dúvida parece suspeito. Quem começa o dia na cidade mais ao norte do mundo, compra um item caro logo depois num aeroporto de uma capital europeia, por fim e termina no Panamá em um banquete. Sendo que essa rota não tinha acontecido antes?

Sim, é no mínimo estranho. É fato que os bancos não podem acompanhar seus milhões de clientes. Quantos colaboradores seriam necessários? No lugar disso, possuem um sistema automatizado (como o Kaspersky Fraud Prevention (KFP)) que reconhece fraudes automaticamente com alta precisão. Ok, vamos analisar a fundo os detalhes de como o KFP protege seu dinheiro.

Cada cliente do banco tem um modo comportamental: um gráfico matemático que contém o dispositivo (computador, smartphones, tablets), contas de usuários, serviços bancários usados (ex: internet banking), e também as regras para interação entre os padrões de análise. O modelo é pautado em dados anônimos coletados sobre atividades específicas do cliente na internet e no aplicativo bancário. Crucialmente, o sistema não está interessado em transações concretas, montantes envolvidos, faturas, nomes, entre outros – o sigilo bancário se mantém. Ameaças são calculadas baseadas unicamente nos metadados técnicos e análise de ações anônimas.

Essa abordagem permite detecção automática de diferentes tipos de fraudes cibernéticas.

Exemplo 1: o cidadão X utiliza o internet banking no computador de casa. Para a autenticação ele utiliza o token USB fornecido pelo banco. Entretanto, para proteção, instalou um antivírus next-generation baseado em um sistema de inteligência artificial de ponta, certo dia, um Trojan malicioso passa por ele. Esse vírus – se valeu do fato do token ter sido deixado na entrada USB – começa a transferir dinheiro na surdina para fora da conta do Cidadão X. Entretanto, o sistema anti-fraude percebe, detectando o comportamento anômalo rapidamente, bloqueia operações e informa o departamento de segurança do banco.

Painel de controle d0 KFP

Leia em:Funcionalidades que você não conhece (ver. 2018): KFP!

+1 Serviço de Inteligência Empresarial: Apresento nosso novo Raio-X de ciberameaças!

Seres humanos são curiosos. Faz parte de sua natureza buscar respostas para os “porquês” e “comos” a respeito de tudo e qualquer coisa. Isso é duplamente verdade para cibersegurança: entender essas diversas questões acerca de ciberameaças tratam-se dos alicerces sobre os quais a cibersegurança é construída, ou seja, sobre os quais a Kaspersky Lab  se apoia.

A obtenção de respostas para nós reflete esmiuçar um ciberataque em suas partes constituintes, analisar tudo, e se necessário, desenvolver medidas protetivas específicas. É sempre mais interessante tomar essas iniciativas de maneira proativa, baseando-se em erros alheios ao invés de esperar até que sejamos o alvo.

Para lidar com esse desafio temos uma nova solução para empresas. Nessa coleção de ferramentas de ciberprecisão há treinamento de pessoal, serviços de inteligências de segurança capazes de levantar informações detalhadas sobre ataques descobertos, serviços de testes de penetração especializados, auditorias de apps, investigação de incidentes, e mais.

O “mais” aqui inclui nosso novo serviço – KTL (Kaspersky Threat Lookup) – o microscópio para dissecar objetos suspeitos e descobrir sua fonte e rastrear histórico de ciberataques, correlações multivariadas, e graus de perigo para infraestrutura corporativa. Um verdadeiro raio-X de ciberameaças.

Na verdade, todos os nossos usuários possuem a versão “lite” do serviço. O nível de segurança de um arquivo pode ser verificado com nossos produtos domésticos, porém clientes empresariais precisam de uma análise de ameaças mais profundas.

Para começo de conversa, o KTL pode ser usado para verificar arquivos, URLs, endereços de IP e domínios. Pode analisar objetos tendo em mente ataques específicos, bem como consideração de especificidades estatísticas e comportamentais, dados WHOIS/DNS, atributos de arquivos, download chains e outros.

Leia em:+1 Serviço de Inteligência Empresarial: Apresento nosso novo Raio-X de ciberameaças!

Perguntas e respostas sobre o sistema operacional da Kaspersky

Lançamos oficialmente nosso próprio sistema operacional seguro para dispositivos de rede, sistemas de controle industrial, e IoT. (Internet das Coisas).

O Sistema Operacional não tem código Linux, é baseado no microkernel que permite aos usuários examinar o código fonte para verificar que não há nada ocorrendo que não tenha sido autorizado

O sistema operacional foi concebido originalmente dia 11 de novembro; e por isso nos referimos a ele como 11-11. Trata-se de um ciclo de desenvolvimento muito longo, sem dúvida: trabalhamos no projeto por 14 anos e até mesmo executamos testes piloto. Agora o sistema operacional está pronto para consumo e disponível para implementação por todas as partes interessadas em diversos cenários.

Eu os pouparei dos detalhes de nerd, mas se você quiser algo mais técnico – veja aqui. Prefiro manter o foco coisas que não abordamos nesse artigo, de modo que responderei algumas perguntas feitas com frequência, além de desmitificar algumas teorias sobre o novo sistema operacional.

Leia em:Perguntas e respostas sobre o sistema operacional da Kaspersky

Um bilhão na nuvem

Recentemente, usuários atentos me parabenizaram por conta de um bilhão de itens na Kaspersky Security Network.

A billion items in Kaspersky Security Network

Antes de mais nada, não se preocupe. Não se trata de um bilhão de coisas que você não quer no seu computador; algo diferente, um pouco mais complicado. Vou começar com algumas  definições básicas.

Leia em:Um bilhão na nuvem

Funções que você não fica sabendo normalmente – edição 2017.

Estamos na missão de salvar o mundo por, vejamos, uns bons 19 anos! Na verdade, bem mais tempo do que isso, mas 19 anos é o tempo que a KL está registrada como empresa no Reino Unido.

Infelizmente, “salvar o mundo” de uma vez por todas simplesmente não é possível: ciberameaças estão em evolução constantemente, com cibercriminosos maquinando novas formas de ataques pelo ambiente digital, o que significa que ele nunca será 100% seguro. Contudo, centenas de milhões de pessoas ao redor do mundo, em diferentes dispositivos, em diferentes situações de vida, todo dia possuem a possibilidade de proteger sua privacidade e dados, lojas online e banco, proteger seus filhos da imundice digital, pervertidos e engraçadinhos.

ginger-girl

Do nosso lado – aqueles protegendo – existem muitas razões para continuarmos nessa luta diária: cada foto salva de um ransomware, cada site de phishing bloqueado, cada botnet derrubada e cada cibercriminoso enviado para a prisão: cada uma dessas pequenas vitórias significa orgulho e satisfação profissional aos nossos especialistas. Significa que todo o trabalho duro valeu a pena, estamos de fato fazendo algo bom.

Na luta contra a ciber imundice, os ciber pervertidos e os ciber criminosos, temos diversas ferramentas cada vez melhores.

Leia em:Funções que você não fica sabendo normalmente – edição 2017.

O marco geral

Na primavera de 2015, descobrimos o Duqu 2.0 – uma operação altamente profissional de ciberespionagem. Provavelmente com financiamento governamental. Identificamos o empreendimento enquanto conduzíamos os testes beta do Kaspersky Anti Targeted Attack (KATA) – nossa solução para a proteção contra-ataques direcionados como o Duqu 2.0.

Agora, um ano mais tarde, posso proclamar orgulhosamente: Uhul! O produto está oficialmente lançado e pronto para a batalha!

Kaspersky Anti-Targeted Attack Platform Leia em:O marco geral