A realidade atual da indústria de cibersegurança é dura. Assim que um meio de defesa para a rede é desenvolvido, logo os agentes maliciosos encontram uma maneira de contorná-lo. Com o número de ciberataques crescendo a cada dia, o tempo é cada vez mais curto entre a implantação de uma proteção e a descoberta de um novo caminho para burlá-la.
Alguns ambientes tradicionais de análise de malware contém brechas que permitem que as ameaças permaneçam adormecidas ou evitem ser detectadas. Felizmente, a indústria da cibersegurança desenvolve diferentes métodos para essas análises, cada um com seu próprio conjunto de pontos fortes e fracos. Isso significa que, embora o uso de apenas um método possa deixar uma rede exposta, a implementação de múltiplas metodologias na ordem certa pode aumentar a probabilidade de impedir que o malware penetre na rede, mesmo os desconhecidos. Por esse motivo, vamos analisar os tipos de análise de malware disponíveis atualmente e ver como, quando implementados em série, permitem que as equipes de segurança realizem a avaliação de forma automatizada, liberando recursos para investir na busca de ameaças mais avançadas.
Mas antes, uma rápida observação: todas essas técnicas dependem de um fluxo de dados para treinar os algoritmos e modelos, para que o desempenho melhore de acordo com o acesso a mais dados de alta fidelidade. Com uma entrada constante de informações sobre novos vetores de ameaças, famílias de malware e campanhas de ataques, é possível tomar decisões melhores em relação à defesa de redes. Sem acesso a uma massa consistente de informações de inteligência de ameaças, a cibersegurança deixa de ser um modelo operacional confiável para se tornar um jogo de adivinhação.
Análise Estática
Destinada a ser a primeira linha de defesa em um ambiente de análise de malware, a análise estática envolve a quebra de um arquivo desconhecido para examinar seus componentes sem detoná-lo. Dessa forma, o sistema pode determinar se o arquivo possui marcadores ou padrões que caracterizam um malware (por exemplo, scripts executáveis e conexões a um servidor desconhecido ou suspeito). Essa é uma maneira incrivelmente rápida e precisa de detectar malware e variantes conhecidos, que compõem a maior parte dos ataques normalmente lançados contra organizações.
Análise de Aprendizado de Máquina (Machine Learning)
Alguns sistemas de análise levaram a análise estática para um nível superior, acrescentando suporte ao aprendizado de máquinas, que envolve criar e automatizar um sistema para classificar o comportamento malicioso em grupos (ou famílias). Esses grupos podem ser usados para identificar futuros conteúdos maliciosos sem a necessidade de construir manualmente combinações padronizadas. Se as semelhanças do conteúdo suspeito forem significativas o suficiente, o sistema pode criar automaticamente uma assinatura de malware e empurrá-lo para pontos de reforço em toda a rede. À medida que mais amostras de malware são examinadas e catalogadas, aumenta ao longo do tempo a habilidade do sistema em mediar ataques sozinho. No cenário atual de ciberataques, onde mesmo cibercriminosos inexperientes conseguem conduzir campanhas de ataque, a análise de aprendizado de máquina é um dos melhores métodos que as equipes de segurança possuem para suportar os milhares de alertas da ameaça que as redes recebem diariamente.
Análise Dinâmica
Se um arquivo suspeito não puder ser manipulado por meio de uma análise estática, é necessário examiná-lo de forma mais detalhada, detonando-o e observando o comportamento do host e da rede. A análise dinâmica consiste em encaminhar uma amostra suspeita para um ambiente baseado em VM e, em seguida, ativá-lo em um ambiente altamente controlado – conhecido como "sandboxing". Dessa forma, seu comportamento pode ser observado e a inteligência extraída. Este tipo de análise é ideal para localizar exploits de dia zero em malware.
Uma vez que as análises estática e de aprendizado de máquina requerem algum grau de familiaridade prévia com o malware que está sendo analisado, é difícil identificar uma nova atividade maliciosa. O desafio com a análise dinâmica é a escalabilidade – requer computação, automação e armazenamento robustos para funcionar corretamente. Ou seja, se as análises estática e de aprendizagem da máquina já tiverem ocorrido, provavelmente já identificaram e mediaram a maior parte do malware a ser encontrado. A implementação da análise dinâmica só deve ser feita quando necessário e como parte de um sistema automatizado baseado na nuvem, que elimina efetivamente os encargos da escala e do esforço manual.
É fundamental compartilhar essas informações com a equipe de TI, já que a partir dessas três técnicas é possível aplicar as análises de malware para intensificar a proteção em toda a organização.
Daniel Bortolazo, systems engineer manager na Palo Alto Networks.