Symantec
agora começará a focar-se em minimizar os danos causados pelas intrusões,
identificar os atacantes e em reconhecer de que maneira os ataques funcionam.
Ao invés de combater as ameaças com programas de antivírus, que efetivamente
somente podem encontrar ameaças previamente reconhecidas em suas listas negras,
este novo enfoque tratará de não somente apagar o software malicioso
previamente reconhecido, senão também de entender o processo de ação do malware
para minimizar o dano que ocasiona e compreender como foi ocasionado. Desta
forma, permitirá a correção da falha evitando que algum outro malware que atue
de forma similar possa causar dano.
Antigamente,
as organizações somente tinham que se preocupar com proteger-se de malware
distribuído amplamente e que não mudava de formato ao infetar novos sistemas.
Este tipo de malware podia ser capturado facilmente. Ao criar uma assinatura
digital do malware em qualquer ponto de infecção de qualquer organização, os
antivírus e outras ferramentas tradicionais de segurança podiam usar essa
assinatura para encontrar o malware em todos os dispositivos de todas as
organizações. Os antivírus capturavam este tipo de malware com facilidade.
Atualmente,
a situação não é a mesma. Os ataques atuais são direcionados. Ferramentas que
facilitam a criação de malware como Metasploit e Zeus têm possibilitado que
qualquer pessoa com um pouco de habilidade técnica possa desenvolver malware
novo e desconhecido em massa. Em vez de tentar infetar um grande número de
organizações, este novo malware está concebido para atacar vulnerabilidades
particulares a um setor ou a uma só organização. Além disto, o novo malware
muda cada vez que infeta um dispositivo novo. Este polimorfismo impede que se
possa criar uma assinatura digital do malware. Quanto mais direcionado o
ataque, menor é a possibilidade de que ferramentas tradicionais de segurança
como os antivírus identifiquem ao código desconhecido como código malicioso.
Na mesma
entrevista, Dye considerou que os programas de antivírus somente são capazes de
encontrar 45% dos ataques conduzidos. Esta cifra pode ser considerada
conservadora. Em 2012, a companhia de segurança de dados Imperva lançou um
polêmico estudo, o qual demonstrava que apenas 5%
dos ataques de malware podiam ser contidos com soluções antivírus. FireEye,
outra empresa do setor, exibiu o resultado no qual 70% das amostras de malware
em seus sistemas existem uma só vez. Contudo, a empresa Sophosconsiderou em outro
estudo que 75% dos ataques realizados são produtos de malware polimórfico.
Tanto o malware que existe uma vez somente, como o malware polimórfico não
podem ser identificados com programas que funcionam mediante listas negras,
tais como os antivírus.
Estas
cifras não são surpreendentes, porque cada vez que um novo método de defesa é
criado pelas ferramentas de segurança, os autores de malware ou os empregados
mal intencionados têm desenvolvido novos métodos para evadi-los. Por exemplo,
muitas companhias de antivírus começaram a usar um sandbox para verificar o
comportamento dos programas. Infelizmente, o malware avançado comumente pode
detectar que está dentro de um sandbox e modificar seu comportamento para não
levantar suspeitas. Além disto, os empregados desonestos têm começado a usar
arquivos compostos, criptografia e outros métodos que dificultam ainda mais a
detecção das suas atividades.
A pouca
efetividade dos programas antivírus não é nenhuma novidade para a indústria da
segurança informática. A maioria das empresas do setor chegou a esta conclusão
há anos. Outras companhias tradicionais na criação de programas antivírus como
McAfee, já seguiram o mesmo caminho. Segundo Michael Fey, Chefe de Tecnologias
em McAfee, o período necessário para criar a tecnologia que deseja oferecer
Symantec demora de dois a três anos.“Eles [Symantec] não fazem parte do grupo
de líderes de opinião no setor há um bom tempo”, declarou.
Em Guidance
Software sempre seguimos este “novo enfoque”. Os produtos EnCase, com soluções
como EnCase Cybersecurity e EnCase Analytics, pretendem minimizar o prejuízo
que provoca um ataque , reconhecer seu método de ação e seu perpetrador
mediante a visibilidade completa da atividade dos dispositivos e a
possibilidade de remediação remota de qualquer atividade fora do comum. Além
disso, nossos programas podem ser integrados a plataformas de segurança como
antivírus, IPS, IDS, firewalls de última geração e outros, multiplicando a
efetividade de sua plataforma de segurança atual e encontrando ameaças que
outras ferramentas de segurança IT poderiam ignorar.
Se você deseja uma demonstração de alguma das nossas múltiplas soluções, não duvide em contatar-nos ao nosso correio sales-latam@encase.com
RELACIONADOS
As Habilidades dos Investigadores Forenses São de Importância Crítica à Medida que Cresce a Complexidade das Investigações
No comments :
Post a Comment