O que são técnicas de análise comportamental?

Quais comportamentos revelam atividades nefastas?

Sincronização incomum de eventos, sequências anormais de ações ou aumento da movimentação de dados são apenas algumas indicações de atividade maliciosa em um ambiente. Veja a seguir alguns exemplos específicos de comportamentos não tão normais que podem levar à identificação de um ataque em curso.

• Um link em um arquivo de aparência legítima é carregado na memória; em seguida, ele carrega remotamente um script, que buscará dados confidenciais que são enviados de volta ao invasor.
  
  
• O código malicioso é injetado em aplicativos já instalados, como Microsoft Word, Flash, Adobe PDF Reader, um navegador da web ou JavaScript, para direcionar vulnerabilidades e, em seguida, executar o código malicioso.
  
  
• Ferramentas nativas do sistema, como Microsoft Windows Management Instrumentation (WMI, pela sigla em inglês), e as linguagens de script do Microsoft PowerShell, que normalmente seriam consideradas altamente confiáveis, são direcionadas para que os scripts sejam executados remotamente.

Industry Pulse: agora, a análise comportamental é um requisito obrigatório

No início de 2016, o SANS Institute reconheceu a importância da análise comportamental em um white paper, Using Analytics to Predict Future Attacks and Breaches. O autor conclui: "Aproveitar as plataformas de análise de dados mais avançadas para receber tipos de dados mais diversificados, com foco em maior visibilidade das ameaças de rede, e automatizar ações de detecção e resposta pode ajudar as equipes de segurança agora e no futuro, à medida que elas evoluem para enfrentar esses desafios".

Bem, o futuro chegou e, em 2018, a análise comportamental é essencialmente um requisito de linha de base para a segurança avançada de endpoints. Na verdade, em seu relatório Magic Quadrant for Endpoint Protection Platform, o Gartner considera o aprendizado de máquina e o monitoramento de comportamento como pontos fortes de visionários e líderes. O relatório também observa que "Os fornecedores mais visionários e líderes em 2018 e 2019 serão aqueles que usam os dados coletados em seus recursos [de Endpoint Detection and Response] para fornecer orientação e aconselhamento acionáveis feitos sob medida para seus clientes".

17% das violações em 2017 foram causadas por erro humano (em oposição à intenção maliciosa deliberada).

A resposta: observe a nuvem

Para tirar total proveito das técnicas de análise comportamental, as empresas devem utilizar a nuvem e seu imenso poder computacional, dimensionamento ilimitado e facilidade de gerenciamento. A nuvem oferece um enfoque proativo que combina Big Data com técnicas de análise avançadas para ajudar a superar os ataques emergentes mais recentes e ameaçadores.

Por exemplo, a nuvem permite análise de transmissões, em que a atividade normal e anormal do endpoint pode ser monitorada e comparada a quaisquer dados históricos não filtrados do endpoint. Ao analisar esses fluxos de eventos e compará-los com o que parece normal, a nuvem cria um sistema de monitoramento de ameaças globais que, não apenas detecta ataques, mas prevê aqueles que nunca foram vistos antes.

Esse enfoque avançado simplesmente não é possível com soluções AV tradicionais, que baseiam-se em assinaturas, mas é possível com software antivírus de última geração (NGAV, pela sigla em inglês).

O NGAV na nuvem oferece comunicação bidirecional com endpoints, de modo que todos os dados não filtrados do endpoint possam ser monitorados e transformados em técnicas de análise preditivas que protegem proativamente as empresas contra ataques sofisticados.

Além disso, a nuvem oferece os benefícios de infraestrutura que a maioria das empresas já experimenta com outros softwares corporativos: operações simplificadas e mais baratas, implantação mais rápida e a tecnologia mais recente e inovadora.