O que é uma assinatura baseada em carga útil?
As assinaturas baseadas em carga útil detectam padrões no conteúdo do arquivo em vez de atributos, como um hash, o que permite identificar e bloquear malware alterado.
As ferramentas de segurança geralmente utilizam assinaturas baseadas em variáveis facilmente alteradas, como hash, nome de arquivo ou URLs, para identificar e impedir que malwares conhecidos infectem sistemas. Com esse tipo de assinatura, a identificação de ameaças exige essencialmente uma correspondência de um para um com as variáveis específicas que a assinatura está procurando.
Embora já tenha sido um meio eficaz de identificação de malware, agora é uma prática fraca, pois os invasores adotaram meios mais sofisticados de evitar a detecção. Os autores de malware agora podem criar facilmente milhares de variantes de malware existente, contendo apenas pequenas alterações, para contornar a correspondência de assinatura. Como as assinaturas legadas exigem uma correspondência estática de um para um para cada arquivo exclusivo, essas pequenas alterações permitem que o malware não seja detectado.
À medida que os atacantes evoluíram, as proteções também evoluíram, e as organizações devem considerar a utilização de proteções de segurança que aproveitem as assinaturas baseadas em carga útil, que detectam padrões no conteúdo real do arquivo em vez de um atributo simples como o hash. Se uma parte de um malware conhecido tiver sido alterada de alguma forma, resultando em um hash totalmente novo ou em outra pequena alteração, as assinaturas baseadas em carga útil ainda poderão identificar e bloquear o que, de outra forma, seria tratado como uma nova ameaça desconhecida.
Embora as assinaturas baseadas em carga útil exijam mais evidências e conjuntos maiores de dados para serem produzidas, as equipes de segurança acabam tendo menos assinaturas para criar e implantar, pois cada assinatura é mais eficaz no bloqueio de variantes e malware polimórfico e oferece uma rede de proteção mais ampla. Com assinaturas baseadas em carga útil, uma assinatura pode bloquear dezenas de milhares de variantes da mesma família de malware. O resultado é uma detecção de malware de um para muitos, com uma prevenção significativamente mais rápida e bem-sucedida.
A Palo Alto Networks Next-Generation Security Platform aproveita a Threat Intelligence Cloud, incluindo a detecção de ameaças desconhecidas via WildFire, bem como a aplicação da Threat Prevention assinatura, para distribuir automaticamente assinaturas baseadas em carga útil em toda a organização. A plataforma pode impedir de forma exclusiva várias variantes de malware, bem como o tráfego de comando e controle, com a alta fidelidade de seu formato proprietário baseado em assinatura.
