Por que o senhor precisa de análise estática, análise dinâmica e aprendizado de máquina?

Veja a seguir os três métodos de identificação de ameaças que, trabalhando em conjunto, podem evitar ataques cibernéticos bem-sucedidos:

Análise dinâmica

A única ferramenta que pode detectar uma ameaça de dia zero

Com a análise dinâmica, um arquivo suspeito é detonado em uma máquina virtual, como um ambiente de análise de malware, e analisado para ver o que ele faz. O arquivo é classificado de acordo com o que faz ao ser executado, em vez de depender de assinaturas para a identificação de ameaças. Isso permite que a análise dinâmica identifique ameaças que são diferentes de tudo o que já foi visto antes.

Para obter os resultados mais precisos, a amostra deve ter acesso total à Internet, assim como um endpoint comum em uma rede corporativa teria, pois as ameaças geralmente exigem comando e controle para se desvencilharem totalmente. Como mecanismo de prevenção, a análise de malware pode proibir o acesso à Internet e falsificar chamadas de resposta para tentar induzir a ameaça a se revelar, mas isso pode não ser confiável e não é um verdadeiro substituto para o acesso à Internet.

Os ambientes de análise de malware são reconhecíveis e o processo é demorado

Para evitar a detecção, os atacantes tentarão identificar se o ataque está sendo executado em um ambiente de análise de malware, traçando o perfil da rede. Eles procurarão indicadores de que o malware está em um ambiente virtual, como ser detonado em horários semelhantes ou pelos mesmos endereços IP, falta de atividade válida do usuário, como toques no teclado ou movimento do mouse, ou tecnologia de virtualização, como quantidades excepcionalmente grandes de espaço em disco. Se for determinado que está sendo executado em um ambiente de análise de malware, o invasor deixará de executar o ataque. Isso significa que os resultados são suscetíveis a qualquer falha na análise. Por exemplo, se a amostra telefonar para casa durante o processo de detonação, mas a operação estiver inativa porque o invasor identificou a análise de malware, a amostra não fará nada malicioso e a análise não identificará nenhuma ameaça. Da mesma forma, se a ameaça exigir uma versão específica de um determinado software para ser executada, ela não fará nada identificável como mal-intencionado no ambiente de análise de malware.

Pode levar vários minutos para abrir uma máquina virtual, colocar o arquivo nela, ver o que ele faz, desmontar a máquina e analisar os resultados. Embora a análise dinâmica seja o método mais caro e demorado, ela também é a única ferramenta que pode detectar com eficácia ameaças desconhecidas ou de dia zero.

Análise estática

Resultados rápidos e sem requisitos para análise

Ao contrário da análise dinâmica, a análise estática examina o conteúdo de um arquivo específico conforme ele existe em um disco, e não conforme ele é detonado. Ele analisa os dados, extraindo padrões, atributos e artefatos e sinaliza anomalias.

A análise estática é resistente aos problemas que a análise dinâmica apresenta. É extremamente eficiente - leva apenas uma fração de segundo - e muito mais econômico. A análise estática também pode funcionar para qualquer arquivo porque não há requisitos específicos, ambientes que precisem ser adaptados ou comunicações de saída necessárias do arquivo para que a análise seja feita.

Arquivos compactados resultam em perda de visibilidade

No entanto, a análise estática pode ser evitada com relativa facilidade se o arquivo estiver compactado. Embora os arquivos compactados funcionem bem na análise dinâmica, a visibilidade do arquivo real é perdida durante a análise estática, pois o reempacotamento da amostra transforma o arquivo inteiro em ruído. O que pode ser extraído estaticamente é quase nada.

Aprendizado de máquina

Novas versões de ameaças agrupadas com ameaças conhecidas com base no comportamento

Em vez de fazer a correspondência de padrões específicos ou detonar um arquivo, o aprendizado de máquina analisa o arquivo e extrai milhares de recursos. Esses recursos são executados por meio de um classificador, também chamado de vetor de recursos, para identificar se o arquivo é bom ou ruim com base em identificadores conhecidos. Em vez de procurar por algo específico, se um recurso do arquivo se comportar como qualquer cluster de arquivos avaliado anteriormente, a máquina marcará esse arquivo como parte do cluster. Para um bom aprendizado de máquina, são necessários conjuntos de treinamento de veredictos bons e ruins, e a adição de novos dados ou recursos melhorará o processo e reduzirá as taxas de falsos positivos.

O aprendizado de máquina compensa o que falta à análise dinâmica e estática. Uma amostra que é inerte, não detona, é prejudicada por um empacotador, tem comando e controle desativados ou não é confiável ainda pode ser identificada como maliciosa com o aprendizado de máquina. Se várias versões de uma determinada ameaça tiverem sido vistas e agrupadas, e uma amostra tiver recursos como os do agrupamento, a máquina presumirá que a amostra pertence ao agrupamento e a marcará como mal-intencionada em segundos.

Apenas capaz de descobrir mais do que já é conhecido

Assim como os outros dois métodos, o aprendizado de máquina deve ser visto como uma ferramenta com muitas vantagens, mas também com algumas desvantagens. Ou seja, o aprendizado de máquina treina o modelo com base apenas em identificadores conhecidos. Ao contrário da análise dinâmica, o aprendizado de máquina nunca encontrará algo realmente original ou desconhecido. Se encontrar uma ameaça que não se pareça com nada que tenha visto antes, a máquina não a sinalizará, pois foi treinada apenas para encontrar mais do que já é conhecido.

Técnicas em camadas em uma plataforma

Para frustrar tudo o que os adversários avançados podem lançar contra o senhor, é preciso mais de uma peça do quebra-cabeça. O senhor precisa de técnicas em camadas, um conceito que costumava ser uma solução de vários fornecedores. Embora a defesa em profundidade ainda seja apropriada e relevante, ela precisa avançar além das soluções pontuais de vários fornecedores para uma plataforma que integre análise estática, análise dinâmica e aprendizado de máquina. Todos os três, trabalhando juntos, podem realizar a defesa em profundidade por meio de camadas de soluções integradas.

A Palo Alto Networks Next-Generation Security Platform integra-se ao WildFire^® serviço de análise de ameaças baseado na nuvem para alimentar os componentes com inteligência de ameaças contextual e acionável, fornecendo capacitação segura em toda a rede, endpoint e nuvem. O WildFire combina um mecanismo de análise dinâmica personalizado, análise estática, aprendizado de máquina e análise bare metal para técnicas avançadas de prevenção contra ameaças. Embora muitos ambientes de análise de malware utilizem a tecnologia de código aberto, o WildFire removeu toda a virtualização de código aberto do mecanismo de análise dinâmica e a substituiu por um ambiente virtual criado desde o início. Os atacantes devem criar ameaças totalmente exclusivas para evitar a detecção no WildFire, separadas das técnicas usadas contra outros fornecedores de segurança cibernética. Para a pequena porcentagem de ataques que podem escapar das três primeiras camadas de defesas do WildFire - análise dinâmica, análise estática e aprendizado de máquina - os arquivos que apresentam comportamento evasivo são dinamicamente direcionados para um ambiente bare metal para execução completa em hardware.

Dentro da plataforma, essas técnicas trabalham juntas de forma não linear. Se uma técnica identificar um arquivo como mal-intencionado, ele será registrado como tal em toda a plataforma para uma abordagem em várias camadas que aumenta a segurança de todas as outras funções.