Inovação

Metodologias inovadoras de detecção de ameaças em segurança de e-mail

Metodologias inovadoras de detecção de ameaças em segurança de e-mail


We are searching data for your request:

Forums and discussions:
Manuals and reference books:
Data from registers:
Wait the end of the search in all databases.
Upon completion, a link will appear to access the found materials.

Os sistemas de segurança contam com assinaturas de ameaças continuamente atualizadas para combater as ameaças em constante evolução. As atualizações do banco de dados são implementadas de vez em quando, para que novos ataques sejam identificados e bloqueados corretamente.

É por isso que as empresas de segurança fazem com que as informações sobre as ameaças mais recentes sejam coletadas e analisadas imediatamente, a fim de evitar problemas maiores. A ideia predominante em segurança de e-mail é que você pode vencê-la se souber disso. Você não pode responder aos ataques cegamente.

As coisas podem precisar mudar em breve, pois um estudo publicado recentemente pela empresa de segurança BitDam revela os perigos de lidar com ataques desconhecidos. Os sistemas de segurança podem ser bons na coleta de informações sobre as ameaças mais recentes (para atualizar seus bancos de dados de assinatura e recursos de detecção), mas suas defesas são notavelmente inadequadas quando encontram pela primeira vez software malicioso que não tem a assinatura de ameaça correspondente em seu banco de dados.

Explorando o desconhecido

O estudo de segurança de e-mail da BitDam enfoca os pontos fracos das principais plataformas de e-mail corporativo ao abordar ameaças desconhecidas ou aquelas que encontram pela primeira vez. Os sistemas modernos têm sido bastante eficazes no bloqueio de ataques já identificados. A questão mais importante, entretanto, é como eles lidam com novas metodologias de ataque ou variantes delas.

O processo do estudo pode ser resumido da seguinte forma:

  1. Os pesquisadores coletaram amostras de malware,
  2. Verificou se eles são realmente prejudiciais ou maliciosos,
  3. Modificou o software malicioso verificado,
  4. Enviou o malware verificado para contas de e-mail de destino,
  5. Monitorou o desempenho dos sistemas de segurança de email protegendo as contas de email alvo, e
  6. Coletou e analisou os dados monitorados.

O malware verificado que conseguiu passar pelos sistemas de segurança de e-mail é reenviado com frequência decrescente ao longo da duração do estudo. Nas primeiras quatro horas, os arquivos com malware são reenviados a cada 30 minutos. Nas próximas 20 horas, a frequência de reenvio é reduzida para uma vez a cada 2 horas. A frequência é reduzida ainda mais para uma vez a cada 6 horas durante os próximos sete dias e, eventualmente, é interrompida após o sétimo dia. Isso é feito para simular

O estudo inicialmente se concentrou no ATP do Office365 da Microsoft e no G Suite do Google. É um estudo contínuo e o plano é incluir o Proofpoint e outros sistemas importantes de segurança de e-mail.

Então, como o BitDam obteve milhares de malware "desconhecido"?

Esta é certamente uma questão importante. BitDam usou milhares de malware verificado para o estudo. Se ele tiver acesso a tantos malwares desconhecidos, é razoável que a comunidade de segurança suspeite da empresa. No entanto, o BitDam não obteve milhares de malware que ainda não estão registrados nos bancos de dados de ameaças da Microsoft e do Google. Eles tiveram que ser criativos e engenhosos para prosseguir com o estudo.

A origem de ameaças que seriam consideradas desconhecidas do Office365 e do G Suite é um dos desafios críticos ao fazer o estudo. O BitDam não possui fontes abundantes de ameaças que ainda não foram identificadas pelos principais sistemas de segurança. A solução: modificar as ameaças para que pareçam novas e desconhecidas.

A alteração de ameaças recentes mas conhecidas em desconhecidas foi possível usando dois métodos. A primeira foi alterando o hash dos arquivos que contêm o malware com a introdução de dados benignos neles. O segundo método exigia a modificação da assinatura estática de uma macro, adicionando comentários que consistiam em palavras aleatórias e convertendo o código de cada função da macro em string de base64.

Em outras palavras, as ameaças desconhecidas usadas para os testes são variantes das recentes existentes. O uso dessas variantes resolveu dois grandes problemas para os pesquisadores: o problema de anexar os arquivos infectados aos e-mails de teste e a filtragem definitiva do malware (já que já estão no banco de dados do Office365 e do G Suite). Os serviços de e-mail da Microsoft e do Google verificam automaticamente os arquivos anexados aos e-mails da mesma forma que verificam os anexos que tentam entrar nas caixas de entrada.

Todo esse processo apresentou os seguintes momentos eureka aos pesquisadores:

  • Os sistemas de e-mail tendem a identificar erroneamente as variantes das ameaças existentes, mesmo que as ameaças originais já tenham suas assinaturas registradas.
  • É fácil produzir variantes de malware que aparecem como desconhecidas para os sistemas de segurança. Com a ajuda da inteligência artificial, inúmeras variantes de malware podem ser geradas e usadas para mais ataques.

Isso explica por que os pesquisadores da BitDam tiveram que fazer a etapa 3 no processo mencionado acima. A modificação é necessária para criar ameaças desconhecidas viáveis ​​e permitir o anexo de arquivos carregados de malware nos e-mails de teste.

O problema de altas taxas de falha de detecção e TTD

Depois de resolver os problemas de anexar os arquivos com malware e a detecção imediata pelo Office365 e G Suite, os pesquisadores prosseguiram com os testes e foram confrontados com resultados preocupantes.

Depois de várias semanas fazendo os testes, o Office365 mostrou uma taxa média de falha no primeiro encontro de 23%. A taxa de falhas atingiu o seu máximo na primeira semana (31%). O G Suite teve um desempenho ainda pior, registrando uma taxa média de falha no primeiro encontro de 35,5%. Assim como o Office365, ele registrou a taxa mais alta na primeira semana, com impressionantes 45%.

Também alarmante é a hora de detectar números (TTD). O Office365 teve um TTD médio de 48 horas após o primeiro encontro. Para o G Suite, é de 26,4 horas.

Para esclarecer, a taxa de perda do primeiro encontro se refere à taxa pela qual os sistemas de segurança de e-mail falharam em detectar o malware verificado enviado a eles. O TTD, por outro lado, refere-se ao tempo que leva para os sistemas de segurança detectarem o malware após a primeira vez que ele foi apresentado a eles.

As falhas de detecção criam pontos fracos que permitem que as ameaças penetrem. Com TTDs longos, os riscos são agravados. Um TTD de 48 horas significa que as contas de e-mail ficam vulneráveis ​​por um período de dois dias. O sistema de segurança apenas descobre que a ameaça que permitiu passar antes deveria ter sido bloqueada. Nesse momento, os usuários de e-mail podem já ter baixado os arquivos anexados ou clicado nos links prejudiciais.

Usando a abordagem de detecção de ameaças prevalecente, seria necessário que os sistemas de segurança atualizassem seus bancos de dados com a assinatura de uma ameaça no momento em que ela é lançada. Isso é simplesmente impossível.

Identificação não é a única solução

Saber o desconhecido não é a única maneira de lidar com o problema de ataques novos e ainda a serem identificados. Afinal, é virtualmente impossível identificar ameaças e atualizar bancos de dados de assinaturas de ameaças no momento em que são lançadas.

Como tal, o BitDam sugere um repensar de como a detecção de ameaças opera. Em vez de depender muito de dados atualizados (baseados em dados) para identificar ataques, a ideia é adotar uma abordagem baseada em modelos.

A BitDam desenvolveu uma solução ATP que usa um mecanismo independente de ameaças. Ele apresenta uma abordagem de detecção que não requer informações sobre ataques para determinar se algo é prejudicial e deve ser bloqueado. Ele se concentra na maneira como os aplicativos interagem com os arquivos.

Modelos de fluxos de execução “limpos” são criados para ter uma referência de como os aplicativos operam quando estão trabalhando com arquivos seguros, não adulterados ou benignos. Se o mecanismo de ATP observar fluxos de execução que se desviam de como os fluxos limpos ocorrem, a decisão lógica seria bloquear o arquivo suspeito.

O mecanismo de detecção de ameaças baseado em modelo do BitDam tem sido altamente eficaz, conforme evidenciado pela forma como detectou as ameaças perdidas pelo Office365 e pelo G Suite no primeiro encontro. Mostra que não é necessário conhecer o desconhecido para avaliá-lo corretamente como malicioso ou prejudicial.

Em conclusão

Ser desconhecido torna as ameaças mais arriscadas e assustadoras. Felizmente, a solução nem sempre precisa ser o oposto do que é desconhecido. O BitDam introduziu uma abordagem de detecção de ameaças baseada em modelo que foi comprovada em testes como altamente eficaz. Pode até reduzir o TTD a zero. No entanto, esse método não visa substituir estratégias baseadas em dados. Ele pode aumentar a eficácia dos sistemas de segurança de e-mail atuais, mas provavelmente precisará de informações atualizadas sobre ameaças para lidar com a possibilidade de falsos positivos excessivos, caso se torne excessivamente agressivo.


Assista o vídeo: Aula ABNT ISO 27001 Sistema de Gestão da Segurança da Informação - Profº Neiton Carvalho (Pode 2022).