O que são ameaças cibernéticas desconhecidas?
A maioria dos produtos de segurança tradicionais é criada para agir com base em ameaças conhecidas. No momento em que veem algo sabidamente malicioso, eles o bloqueiam. Para superar os produtos de segurança que bloqueiam com sucesso as ameaças conhecidas, os invasores são forçados a criar algo que nunca foi visto antes, aumentando o custo para executar um ataque. Como eles fazem isso e o que podemos fazer para evitar ameaças conhecidas e desconhecidas?
Vamos dar uma olhada em alguns cenários:
Ameaças recicladas
As ameaças recicladas são consideradas o método de ataque mais econômico, e é por isso que os invasores geralmente reciclam as ameaças existentes usando técnicas comprovadas anteriormente. O que torna essas ameaças recicladas "desconhecidas" está na memória limitada dos produtos de segurança. Todos os produtos de segurança têm memória limitada, e as equipes de segurança escolhem as ameaças mais atualizadas para se proteger, esperando que elas bloqueiem a maioria dos ataques recebidos. Se uma ameaça mais antiga, não rastreada pelo produto de segurança, tentar entrar na rede, ela poderá contornar o produto de segurança porque não está categorizada como algo visto anteriormente.
Para se proteger contra essas ameaças recicladas "desconhecidas", é fundamental ter acesso a um guardião de memória de inteligência de ameaças, geralmente colocado em uma infraestrutura de nuvem elástica capaz de ser dimensionada para lidar com o volume de dados de ameaças. No evento de um produto de segurança não ter uma ameaça específica identificada e armazenada, o acesso a uma base de conhecimento maior de inteligência de ameaças poderia ajudar a determinar se algo é malicioso e permitir que o produto de segurança o bloqueie.
Código existente modificado
Esse método é um pouco mais caro do que as ameaças de reciclagem. Os atacantes pegam uma ameaça existente e fazem pequenas modificações no código, manual ou automaticamente, à medida que a ameaça transita ativamente na rede. Isso resulta em um malware polimórfico ou em um URL polimórfico. Como um vírus, o malware se transforma continuamente e automaticamente e muda rapidamente. Se um produto de segurança identificar a ameaça original como conhecida e criar uma proteção para ela com base em apenas uma variação, qualquer pequena alteração no código transformará essa ameaça em uma desconhecida.
Alguns produtos de segurança combinam ameaças usando a tecnologia de hashing, que gera um número totalmente exclusivo com base em uma sequência de texto de tal forma que se torna impossível obter dois hashes idênticos. Nesse contexto, o valor de hash corresponde apenas a uma variação da ameaça, portanto, qualquer nova variação da ameaça será considerada nova e desconhecida.
Para se proteger melhor contra essas ameaças, os produtos de segurança precisam usar assinaturas polimórficas. As assinaturas polimórficas são criadas com base no conteúdo e nos padrões do tráfego e dos arquivos, e não em um hash, e podem identificar e proteger contra diversas variações de uma ameaça conhecida. O foco no comportamento, e não na aparência da codificação fixa, permite a detecção de padrões em malwares modificados.
Ameaças recém-criadas
Os atacantes mais determinados e dispostos a investir o dinheiro criarão uma ameaça totalmente nova com um código puramente novo. Todos os aspectos do ciclo de vida de um ataque cibernético precisam ser novos para que um ataque seja realmente considerado uma ameaça desconhecida.
- Foco no comportamento empresarial
A proteção contra essas novas ameaças exige foco no comportamento empresarial e nos fluxos de dados exclusivos do senhor. Essas informações podem então ser implementadas nas práticas recomendadas de segurança cibernética. Por exemplo, o uso da segmentação com ID de usuário e ID de aplicativo pode ajudar a evitar que novas ameaças se espalhem pela organização e bloquear downloads de sites novos, desconhecidos e não classificados. - Utilize a inteligência coletiva
Nenhuma organização experimentará todas as novas ameaças, e é por isso que é tão importante poder se beneficiar da inteligência coletiva de ameaças. Ataques direcionados com ameaças desconhecidas e nunca antes vistas podem se tornar rapidamente conhecidos com o compartilhamento global de informações. Quando uma nova ameaça é analisada e detectada em uma organização, as informações sobre a ameaça recém-identificada podem ser distribuídas por toda a comunidade, com mitigações implantadas antecipadamente para limitar a propagação e a eficácia dos ataques.
Transformar ameaças desconhecidas em ameaças conhecidas e prevenir ativamente contra elas acontece em um ambiente combinado. Primeiro, o senhor precisa prever a próxima etapa e o local do ataque. Em segundo lugar, o senhor precisa ser capaz de desenvolver e fornecer proteção rapidamente para o ponto de aplicação, a fim de interrompê-la.
Automatizar proteções
Quando uma ameaça realmente nova entra em sua organização, a primeira linha de defesa é ter práticas recomendadas de segurança cibernética específicas para a organização. Ao mesmo tempo, o senhor deve enviar arquivos e URLs desconhecidos para análise. A eficácia da análise da sandbox depende do tempo necessário para fornecer um veredicto preciso sobre uma ameaça desconhecida e para criar e implementar proteções em toda a organização, bem como da forma como o ambiente da sandbox lida com ameaças evasivas. Sua postura de segurança precisa ser alterada com rapidez suficiente para bloquear a ameaça antes que ela tenha a capacidade de progredir - em outras palavras, o mais rápido possível. E para garantir que essa ameaça não atravesse mais a rede, as prevenções precisam ser criadas e implementadas automaticamente em todos os produtos de segurança mais rapidamente do que a ameaça pode se espalhar.
Uma pesquisa recente da SANS informou que 40% dos ataques têm elementos previamente desconhecidos. A capacidade de detectar ameaças desconhecidas e evitar ataques bem-sucedidos define a eficácia de sua implantação de segurança. Uma verdadeira plataforma de segurança de última geração é ágil, transformando rapidamente ameaças desconhecidas em proteção e prevenção conhecidas em nível global. Compartilhar automaticamente novos dados sobre ameaças e, ao mesmo tempo, estender novas proteções por toda a organização para impedir a propagação de um ataque.
