Vivemos em um mundo em que o cenário das ameaças cibernéticas está em constante transformação. A inteligência acionável das ameaças está enterrada profundamente em terabytes de dados aparentemente interessantes, porém irrelevantes. Negação plausível, falsos positivos, falta de rastreabilidade e atribuição de autoria, invasores habilidosos, adaptação de técnicas de guerra, e outros elementos semelhantes aumentam ainda mais a confusão. O que podemos fazer para que informações críticas e úteis sobre ameaças sejam reconhecidas de maneira automatizada entre as profundezas do emaranhado de dados?
No Websense Security Labs, acreditamos que a resposta está na utilização de técnicas de big data com o aprendizado de máquinas não supervisionadas para identificar semelhanças e diferenças em URLs, endereços de IP, arquivos, e-mails, usuários e outros. Isso permite uma forma de agrupar comportamentos com base em vários atributos associados à análise de propagação de riscos (contexto em torno de nós clusterizados) de maneira automatizada.
Na maioria das recentes invasões de alto perfil (Target, Sony, etc.), vimos que, em retrospectiva, descobriu-se que todos os indicadores estavam muito presentes no ambiente por longos períodos de tempo, incrustados na imensa quantidade de dados de registros de vários dispositivos de segurança. Se esses indicadores tivessem, de alguma maneira, sido priorizados em tempo hábil, os estragos poderiam ter sido brecados ou as violações descobertas antes que viessem à tona, limitando assim o potencial de danos e graves perdas financeiras.
Em um nível alto de abstração, a descoberta da Galáxia de Ameaças é ativada através da clusterização em uma definição ampla e versátil de indicadores que generaliza essa abordagem em todos os canais de ameaças (como e-mail, web, arquivos, reputação, etc.), enquanto é capaz de modelar comportamentos dinamicamente ao longo do tempo para observar as mudanças e tendências.
Vejamos o exemplo de um cluster:
Legenda: Vermelho – malicioso / Rosa – suspeito / Branco – benigno
É evidente pela comparação das duas imagens acima que apresentam o mesmo conjunto de cluster antes e depois da propagação do risco, com uma quantidade significativamente maior classificada como maliciosa ou suspeita. Este cluster abriga especificamente ameaças como Zeus C&C, Phishing/Fraudkit, Malicious Injection, Alina PoS C&C, Phishing/FakeBank e FakeEmailPortal. O grupo cobre os estágios de Lure (Iscas), Dropper, Kit de exploração e Call Home da cadeia de ameaças.
Conforme demonstrado acima, essa abordagem permitiu a identificação automatizada de nós adicionais (indicadores de comprometimento) pertencentes às ameaças no cluster. Em termos de quantidades, descobrimos 31% mais nós que poderiam ser classificados como perigosos de maneira automatizada, o que aumentaria, portanto, a proteção contra as ameaças.
Resumo
Como ataques cada vez mais avançados e sofisticados, combinando engenharia de big data e aprendizado de máquinas não supervisionadas, informações críticas sobre ameaças globais e conhecimentos especializados de segurança cibernética são necessários para enfrentar as ameaças em tempo hábil, de maneira automatizada e eficiente. Porém, essa é uma combinação rara e o Websense Security Labs está mapeando a galáxia não explorada das ameaças para encontrar, de maneira proativa, indicadores adicionais de comprometimento (IoC) para a detecção precoce e a prevenção de invasões.
