Quais comportamentos revelam atividades nefastas?

Sincronização incomum de eventos, sequências anormais de ações ou aumento da movimentação de dados são apenas algumas indicações de atividade maliciosa em um ambiente. Veja a seguir alguns exemplos específicos de comportamentos não tão normais que podem levar à identificação de um ataque em curso.

• Um link em um arquivo de aparência legítima é carregado na memória; em seguida, ele carrega remotamente um script, que buscará dados confidenciais que são enviados de volta ao invasor.
  
  
• O código malicioso é injetado em aplicativos já instalados, como Microsoft Word, Flash, Adobe PDF Reader, um navegador da web ou JavaScript, para direcionar vulnerabilidades e, em seguida, executar o código malicioso.
  
  
• Ferramentas nativas do sistema, como Microsoft Windows Management Instrumentation (WMI, pela sigla em inglês), e as linguagens de script do Microsoft PowerShell, que normalmente seriam consideradas altamente confiáveis, são direcionadas para que os scripts sejam executados remotamente.

Industry Pulse: agora, a análise comportamental é um requisito obrigatório

No início de 2016, o SANS Institute reconheceu a importância da análise comportamental em um white paper, Using Analytics to Predict Future Attacks and Breaches. O autor conclui: "Aproveitar as plataformas de análise de dados mais avançadas para receber tipos de dados mais diversificados, com foco em maior visibilidade das ameaças de rede, e automatizar ações de detecção e resposta pode ajudar as equipes de segurança agora e no futuro, à medida que elas evoluem para enfrentar esses desafios".

Bem, o futuro chegou e, em 2018, a análise comportamental é essencialmente um requisito de linha de base para a segurança avançada de endpoints. Na verdade, em seu relatório Magic Quadrant for Endpoint Protection Platform, o Gartner considera o aprendizado de máquina e o monitoramento de comportamento como pontos fortes de visionários e líderes. O relatório também observa que "Os fornecedores mais visionários e líderes em 2018 e 2019 serão aqueles que usam os dados coletados em seus recursos [de Endpoint Detection and Response] para fornecer orientação e aconselhamento acionáveis feitos sob medida para seus clientes".

17% das violações em 2017 foram causadas por erro humano (em oposição à intenção maliciosa deliberada).

A resposta: observe a nuvem

Para tirar total proveito das técnicas de análise comportamental, as empresas devem utilizar a nuvem e seu imenso poder computacional, dimensionamento ilimitado e facilidade de gerenciamento. A nuvem oferece um enfoque proativo que combina Big Data com técnicas de análise avançadas para ajudar a superar os ataques emergentes mais recentes e ameaçadores.

Por exemplo, a nuvem permite análise de transmissões, em que a atividade normal e anormal do endpoint pode ser monitorada e comparada a quaisquer dados históricos não filtrados do endpoint. Ao analisar esses fluxos de eventos e compará-los com o que parece normal, a nuvem cria um sistema de monitoramento de ameaças globais que, não apenas detecta ataques, mas prevê aqueles que nunca foram vistos antes.

Esse enfoque avançado simplesmente não é possível com soluções AV tradicionais, que baseiam-se em assinaturas, mas é possível com software antivírus de última geração (NGAV, pela sigla em inglês).

O NGAV na nuvem oferece comunicação bidirecional com endpoints, de modo que todos os dados não filtrados do endpoint possam ser monitorados e transformados em técnicas de análise preditivas que protegem proativamente as empresas contra ataques sofisticados.

Além disso, a nuvem oferece os benefícios de infraestrutura que a maioria das empresas já experimenta com outros softwares corporativos: operações simplificadas e mais baratas, implantação mais rápida e a tecnologia mais recente e inovadora.