[ 273,274 page views, 120,004 usuários nos últimos 30 dias ] - [ 6.086 assinantes na newsletter, taxa de abertura 27% ]

Pesquisar

Navegando pela galáxia inexplorada das ameaças

Vivemos em um mundo em que o cenário das ameaças cibernéticas está em constante transformação. A inteligência acionável das ameaças está enterrada profundamente em terabytes de dados aparentemente interessantes, porém irrelevantes. Negação plausível, falsos positivos, falta de rastreabilidade e atribuição de autoria, invasores habilidosos, adaptação de técnicas de guerra, e outros elementos semelhantes aumentam ainda mais a confusão. O que podemos fazer para que informações críticas e úteis sobre ameaças sejam reconhecidas de maneira automatizada entre as profundezas do emaranhado de dados?

 

No Websense Security Labs, acreditamos que a resposta está na utilização de técnicas de big data com o aprendizado de máquinas não supervisionadas para identificar semelhanças e diferenças em URLs, endereços de IP, arquivos, e-mails, usuários e outros. Isso permite uma forma de agrupar comportamentos com base em vários atributos associados à análise de propagação de riscos (contexto em torno de nós clusterizados) de maneira automatizada.

img01Na maioria das recentes invasões de alto perfil (Target, Sony, etc.), vimos que, em retrospectiva, descobriu-se que todos os indicadores estavam muito presentes no ambiente por longos períodos de tempo, incrustados na imensa quantidade de dados de registros de vários dispositivos de segurança. Se esses indicadores tivessem, de alguma maneira, sido priorizados em tempo hábil, os estragos poderiam ter sido brecados ou as violações descobertas antes que viessem à tona, limitando assim o potencial de danos e graves perdas financeiras.

 

Em um nível alto de abstração, a descoberta da Galáxia de Ameaças é ativada através da clusterização em uma definição ampla e versátil de indicadores que generaliza essa abordagem em todos os canais de ameaças (como e-mail, web, arquivos, reputação, etc.), enquanto é capaz de modelar comportamentos dinamicamente ao longo do tempo para observar as mudanças e tendências.

Vejamos o exemplo de um cluster:

Legenda: Vermelho – malicioso / Rosa – suspeito / Branco – benigno

img02
Antes de propagação risco

 

 

 

 

 

 

 

 

img03
Após a propagação de risco

É evidente pela comparação das duas imagens acima que apresentam o mesmo conjunto de cluster antes e depois da propagação do risco, com uma quantidade significativamente maior classificada como maliciosa ou suspeita. Este cluster abriga especificamente ameaças como Zeus C&C, Phishing/Fraudkit, Malicious Injection, Alina PoS C&C, Phishing/FakeBank e FakeEmailPortal. O grupo cobre os estágios de Lure (Iscas), Dropper, Kit de exploração e Call Home da cadeia de ameaças.

img04
Ameaças

 

 

img05
Fases da cadeia de ameaças

Conforme demonstrado acima, essa abordagem permitiu a identificação automatizada de nós adicionais (indicadores de comprometimento) pertencentes às ameaças no cluster. Em termos de quantidades, descobrimos 31% mais nós que poderiam ser classificados como perigosos de maneira automatizada, o que aumentaria, portanto, a proteção contra as ameaças.

Resumo

Como ataques cada vez mais avançados e sofisticados, combinando engenharia de big data e aprendizado de máquinas não supervisionadas, informações críticas sobre ameaças globais e conhecimentos especializados de segurança cibernética são necessários para enfrentar as ameaças em tempo hábil, de maneira automatizada e eficiente. Porém, essa é uma combinação rara e o Websense Security Labs está mapeando a galáxia não explorada das ameaças para encontrar, de maneira proativa, indicadores adicionais de comprometimento (IoC) para a detecção precoce e a prevenção de invasões.