Blog do Websense Security Labs: Navegando pela galáxia inexplorada das ameaças

Vivemos em um mundo em que o cenário das ameaças cibernéticas está em constante transformação. A inteligência acionável das ameaças está enterrada profundamente em terabytes de dados aparentemente interessantes, porém irrelevantes. Negação plausível, falsos positivos, falta de rastreabilidade e atribuição de autoria, invasores habilidosos, adaptação de técnicas de guerra, e outros elementos semelhantes aumentam ainda mais a confusão. O que podemos fazer para que informações críticas e úteis sobre ameaças sejam reconhecidas de maneira automatizada entre as profundezas do emaranhado de dados?

No Websense Security Labs, acreditamos que a resposta está na utilização de técnicas de big data com o aprendizado de máquinas não supervisionadas para identificar semelhanças e diferenças em URLs, endereços de IP, arquivos, e-mails, usuários e outros. Isso permite uma forma de agrupar comportamentos com base em vários atributos associados à análise de propagação de riscos (contexto em torno de nós clusterizados) de maneira automatizada.

Na maioria das recentes invasões de alto perfil (Target, Sony, etc.), vimos que, em retrospectiva, descobriu-se que todos os indicadores estavam muito presentes no ambiente por longos períodos de tempo, incrustados na imensa quantidade de dados de registros de vários dispositivos de segurança. Se esses indicadores tivessem, de alguma maneira, sido priorizados em tempo hábil, os estragos poderiam ter sido brecados ou as violações descobertas antes que viessem à tona, limitando assim o potencial de danos e graves perdas financeiras.

Em um nível alto de abstração, a descoberta da Galáxia de Ameaças é ativada através da clusterização em uma definição ampla e versátil de indicadores que generaliza essa abordagem em todos os canais de ameaças (como e-mail, web, arquivos, reputação, etc.), enquanto é capaz de modelar comportamentos dinamicamente ao longo do tempo para observar as mudanças e tendências.

É evidente pela comparação das duas imagens acima que apresentam o mesmo conjunto de cluster antes e depois da propagação do risco, com uma quantidade significativamente maior classificada como maliciosa ou suspeita. Este cluster abriga especificamente ameaças como Zeus C&C, Phishing/Fraudkit, Malicious Injection, Alina PoS C&C, Phishing/FakeBank e FakeEmailPortal. O grupo cobre os estágios de Lure (Iscas), Dropper, Kit de exploração e Call Home da cadeia de ameaças.

Conforme demonstrado acima, essa abordagem permitiu a identificação automatizada de nós adicionais (indicadores de comprometimento) pertencentes às ameaças no cluster. Em termos de quantidades, descobrimos 31% mais nós que poderiam ser classificados como perigosos de maneira automatizada, o que aumentaria, portanto, a proteção contra as ameaças.

Resumo

Como ataques cada vez mais avançados e sofisticados, combinando engenharia de big data e aprendizado de máquinas não supervisionadas, informações críticas sobre ameaças globais e conhecimentos especializados de segurança cibernética são necessários para enfrentar as ameaças em tempo hábil, de maneira automatizada e eficiente. Porém, essa é uma combinação rara e o Websense Security Labs está mapeando a galáxia não explorada das ameaças para encontrar, de maneira proativa, indicadores adicionais de comprometimento (IoC) para a detecção precoce e a prevenção de invasões.

Para mais informações, visite o blog do Websense Security Labs: http://community.websense.com/blogs/securitylabs/archive/2015/04/27/Charting-the-Unexplored-Threat-Galaxy.aspx

Sobre a Websense, Inc.

Websense, Inc. é líder global na proteção das organizações contra os ataques cibernéticos mais recentes e o roubo de dados. Websense TRITON APX fornece segurança cibernética avançada e adaptável que protege os dados críticos em qualquer lugar, com inteligência acionável em todo o ciclo de vida das ameaças. Nossas soluções abrangentes unificam a segurança da web, de e-mail, dos dados e da mobilidade, e do endpoint para impedir o roubo de dados. Mais de 21.000 empresas em 155 países contam com a Websense para bloquear as ameaças persistentes avançadas, ataques direionados e malware em evolução. Websense impede violações de dados, roubo de propriedade intelectual e estabelece a conformidade de segurança e de melhores práticas. Uma rede global de parceiros de canal distribui, implementa e apoia nossas soluções.

Para acessar as últimas análises de segurança da Websense e conectar-se através das redes sociais, visite www.websense.com/smc. Para obter mais informações, visite www.websense.com e www.websense.com/triton.