Todos gostaríamos de acreditar que há uma tecnologia sofisticada o suficiente para interromper qualquer ameaça cibernética, mas a ‘bala de prata’ não passa de um mito. Apesar disso, a ausência de uma arma perfeita não exclui a possibilidade de um sistema exemplar de defesa. Aqui na Trend Micro, passamos os últimos 27 anos forjando um “escudo” impecável – a segurança de endpoint XGen.
As ameaças sofridas pelas empresas de hoje em dia não estão apenas se multiplicando, elas estão se tornando cada vez mais rápidas, mais inteligentes e mais sofisticadas a cada ano. A resposta de muitos provedores de segurança foi anunciar novos recursos empolgantes, incluindo sandboxing, monitoramento de comportamento e, mais recentemente, machine learning. Mas os compradores de segurança de TI vão começar a entender que é possível construir uma defesa completa para o seus endpoints através de uma única técnica — sem importar o tamanho da força dos tijolos.
Eliminando as Brechas, Uma Camada Por Vez
Há muito tempo as soluções da Trend Micro protegem os usuários contra ameaças conhecidas, tais como assinaturas ruins, recursos maliciosos reconhecidos, arquivos em listas negras e mais. Ao mesmo tempo, temos constantemente refinado nossas soluções com ferramentas avançadas para garantir que elas possam enfrentar os perigos conforme eles surgem no cenário de ameaças. O XGen combina todas estas técnicas com o machine learning de forma a identificar e eliminar as ameaças de forma eficaz, enquanto permitimos a passagem de arquivos seguros sem gerar interrupções no sistema. O resultado disso é uma segurança de múltiplas camadas e intergeracional, capaz de proteger empresas contra quaisquer tipos de ameaças — sejam elas conhecidas ou desconhecidas.
Cada uma das camadas protetoras tem suas vantagens e suas desvantagens, portanto, se um arquivo malicioso conseguir escapar de alguma das camadas, ainda assim há muitas oportunidades para que ele seja bloqueado.
Vamos analisar essas camadas:
- Detecção baseada em assinaturas: Combina a reputação online e de arquivos e o bloqueio do C&C para bloquear a maior parte das ameaças conhecidas. Mas esse tipo de proteção não funciona contra malwares avançados e ameaças de zero-day
- Prevenção de Exploits: Foca na prevenção de exploits em falhas de aplicativos/sistemas operacionais bloqueando os próprios arquivos maliciosos. Essa prevenção inclui firewalls baseados em hospedagem, proteção contra exploits, prevenção contra intrusões, detecção de movimentos laterais, entre outros.
- Análise comportamental – Avalia a forma de execução de cada item, analisando comportamentos suspeitos ou estranhos através da forma que estes interagem com sistemas operacionais, aplicativos e scripts — mesmo que o item não esteja em uma lista negra. Ajuda a bloquear cripto-ransomware desta forma. Também inclui técnicas, tais como proteção de script; proteção contra injeções; inspeção de memória; monitoramento de ações suspeitas; proteção contra exploits no navegador.
- Machine Learning: Implantado em todo o sistema em camadas, usa algoritmos matemáticos para analisar os arquivos de forma detalhada e as características comportamentais para prever se um arquivo é malicioso.
- Investigação e análise forense/Detecção e resposta do endpoint (DRE): Registros e relatórios mais detalhados das atividades do sistema para avaliar a natureza e a escala de um ataque, reagindo somente quando o arquivo malicioso é detectado
Não Compre o Hype
Apesar dos rumores de que essa ferramenta é uma grande novidade, propagada principalmente por provedores recentes de ‘última geração’, o machine learning não é um novo conceito. A Trend Micro tem utilizado diversas técnicas de machine learning em nossa Smart Protection Network (SPN) há mais de uma década para treinar mecanismos de detecção de spam, identificar contas maliciosas de mídia social e muito mais. Os algoritmos de machine learning são alimentados com milhões e milhões de arquivos bons e ruins conhecidos e analisam os recursos comportamentais e do arquivo para prever se um arquivo é malicioso. Nossa SPN agora identifica e bloqueia meio milhão de novas ameaças todos os dias – para um treinamento de dados completo com a mais alta qualidade e o maior volume.
Outro diferencial do XGen é sua dupla abordagem com relação ao machine learning, assim com suas técnicas de cancelamento de ruídos, que diminuem os índices de falso positivos que geralmente são associados ao machine learning. Além de detectar arquivos estáticos com o machine learning antes que eles possam executar no sistema, nossa solução também analisa as características comportamentais de forma detalhada durante a execução. Os cibercriminosos estão constantemente fazendo melhorias em suas armas e, como resultado disso, algumas ameaças atuais são projetadas de tal forma que só é possível identificá-las durante a execução. As técnicas de cancelamento de ruídos reduzem consideravelmente o impacto que os falsos positivos podem gerar para sua equipe de TI. Incluindo:
- Verificação de censo – Bloqueia arquivos de acordo com a sua prevalência e validade – útil contra fábricas de malawares hash
- Verificação de whitelist – Usada para reduzir o número de falsos positivos, verificando se os arquivos e aplicativos são reconhecidamente seguros
Através do uso dessa abordagem dupla com relação ao machine learning, juntamente com o cancelamento de ruído, efetivamente diferencia os arquivos – protegendo os arquivos seguros e bloqueando os arquivos problemáticos.
Protegendo o Endpoint
Boa parte das mais de meio milhão de ameaças que a Trend Micro bloqueia diariamente são direcionadas para endpoints, a principal entrada virtual para os atacantes. Mudanças no comportamento dos usuários, ameaças cada vez mais sofisticadas e diversificadas e novas tecnologias, tais como a nuvem, dispositivos móveis e Internet das Coisas, estão gerando mais oportunidades do que nunca para que os bandidos causem estragos. Muitos dos provedores de segurança para o endpoint que se denominam de ‘última geração’, dizem que seus recursos funcionam como uma bala de prata, eliminando completamente essas ameaças. Isso seria ótimo, se fosse verdade.
Na verdade, a única forma possível das organizações protegerem a si mesmas contra todas as ameaças contra o endpoint é através de uma abordagem com múltiplas camadas de segurança, que use desde detecção com base em assinaturas até técnicas avançadas de machine learning de alta fidelidade.
O XGen é exatamente isso, uma combinação de múltiplas camadas uma proteção máxima. É uma armadura (e não uma bala de prata) que vai ajudar as equipes de TI a combater no atual cenário complexo e multifacetado de ameaças de endpoint.