3 desafios para identificar ameaças evasivas
Antes, era necessário ter habilidade técnica avançada e determinação para criar e implantar ataques cibernéticos sofisticados. Atualmente, o crime cibernético evoluiu para incorporar toda uma economia subterrânea na qual ferramentas e serviços para atividades nefastas podem ser comprados ou alugados. Isso tornou as ameaças avançadas e altamente evasivas mais acessíveis e comuns. As ameaças evasivas são criadas para identificar ambientes comerciais de análise de malware, comumente conhecidos como sandboxes, e pausam a atividade mal-intencionada até que não haja mais risco de detecção.
As organizações têm dificuldade para identificar essas ameaças altamente evasivas e, muitas vezes, não conseguem evitá-las. Aqui estão os três principais desafios que as empresas e as ferramentas de segurança enfrentam no combate às ameaças evasivas:
1. Existe um mercado para ameaças evasivas
Os profissionais de segurança desenvolveram defesas para a detecção de ameaças cibernéticas, como ambientes virtuais de análise de malware, enquanto os atores de ameaças incorporaram simultaneamente a automação e o hardware de commodity em "manuais" bem definidos que estão disponíveis no submundo do crime cibernético. Isso eliminou as barreiras para facilitar a implementação por uma variedade de atores de ameaças, desde novatos menos sofisticados até atacantes avançados e estados-nação organizados. Como resultado, houve um aumento no número de ataques sofisticados e na probabilidade de violações de dados bem-sucedidas.
2. As defesas tradicionais não são mais suficientes
O malware evasivo usa códigos mal-intencionados que ocultam sua identidade e intenções da detecção por ambientes tradicionais de análise de malware. O invasor procura indicadores de que o malware está em um ambiente virtual. Eles procuram ver se o arquivo é detonado e observabilidade; falta de atividade válida do usuário, como clicar em um teclado, mover um mouse ou conectar um pendrive; ou uso de tecnologia de virtualização, como nome de usuário, espaço em disco etc.
3. O software de código aberto prejudica mais do que ajuda
O código aberto proporcionou uma maneira revolucionária de desenvolver software. No entanto, quando se trata de análise de ameaças, o código aberto se tornou mais um prejuízo. A maioria dos ambientes de análise de malware utiliza código aberto, e os invasores aproveitaram as vulnerabilidades conhecidas para obter vantagens. Além disso, os autores de malware projetam ameaças com a capacidade de detectar e evitar as técnicas de detecção usadas pelos hipervisores populares.
Proteção contra ameaças evasivas
A Palo Alto Networks® Next-Generation Security Platform aborda a detecção de ameaças evasivas e a prevenção contra ameaças com essas três coisas em mente. Uma parte integrante da plataforma é o serviço de análise de ameaças WildFire® , que incorpora análise estática, análise dinâmica em um ambiente de análise virtual personalizado, aprendizado de máquina e um ambiente de análise bare metal para execução completa do hardware.
Também faz parte da Next-Generation Security Platform o serviço de inteligência de ameaças contextual AutoFocus™, que fornece as informações necessárias para entender por que, onde e como um ataque afetará uma rede. Ele responde a perguntas como "Quem está atacando?". "Que ferramentas eles estão usando?" e "Como isso afetará a rede?" e prioriza automaticamente os ataques direcionados. O resultado é uma análise mais rápida, correlação mais fácil e resposta rápida a incidentes.
A Palo Alto Networks® Next-Generation Security Platform abrange a rede, a nuvem e o endpoint, prevenindo automaticamente até mesmo os malwares conhecidos e desconhecidos mais evasivos e as ameaças de dia zero com alta eficácia e quase zero falsos positivos.
Para saber mais sobre a defesa contra ataques evasivos, leia o Repense sua estratégia para derrotar ataques evasivos white paper.
