Tabela de conteúdo
Threats

3 maneiras de prevenir ameaças evasivas

Tabela de conteúdo

Os atacantes estão constantemente reutilizando, modificando ou criando malware totalmente novo, resultando em grandes volumes de malware direcionados às organizações. Isso também permite que os invasores se concentrem no desenvolvimento de ameaças mais altamente evasivas, criadas para detectar ambientes de análise de malware e interromper a atividade mal-intencionada até que não estejam mais sob análise. Enquanto isso, as organizações lutam tanto para acompanhar o grande volume de malware quanto para identificar e impedir ataques sofisticados.

A detecção de ameaças evasivas apresenta vários desafios. As ameaças evasivas procuram indicadores de atividade válida do usuário e tecnologia de virtualização e pausam a atividade mal-intencionada até que não haja mais risco de serem identificadas. Eles exploram vulnerabilidades conhecidas em softwares de código aberto e buscam técnicas de detecção usadas por hipervisores populares. Como resultado, eles estão se tornando altamente comoditizados e, portanto, mais comumente usados.

É essencial repensar as táticas usadas para detectar esse tipo moderno de malware. Abaixo estão três coisas importantes que as ferramentas de segurança devem fazer para ajudar a identificar e, em última análise, prevenir ameaças evasivas.

 

1. Use a análise virtual criada para fins específicos

Para detectar malware altamente evasivo, use um ambiente de análise virtual criado especificamente para incorporar um hipervisor e uma emulação exclusivos que não dependam de software de código aberto ou proprietário. Esse ambiente não deve mostrar características que divulguem ao invasor que ele foi detectado ou que o comportamento do malware está sendo observado.

 

2. Empregar a análise bare metal

O uso de um ambiente virtual para análise de malware é inevitável. No entanto, as amostras que exibem técnicas de evasão em um ambiente virtual também devem ser detonadas em sistemas de hardware reais, também conhecidos como ambientes de análise bare metal. Para evitar levantar suspeitas dos invasores, os arquivos suspeitos devem ser direcionados dinamicamente para o ambiente bare metal sem intervenção humana.

 

3. Incorporar a inteligência de ameaças

Para combater o aumento de ameaças altamente evasivas disponíveis na economia subterrânea, as organizações devem incorporar inteligência de ameaças altamente contextual e acionável em suas defesas de segurança.

A inteligência de ameaças deve vir de várias fontes e ser correlacionada e validada para o contexto necessário. Sem o contexto adequado, a inteligência de ameaças apenas aumenta o ruído com quantidades esmagadoras de indicadores brutos de comprometimento. O resultado é um aumento de falsos positivos e negativos, exigindo uma equipe de segurança para qualquer resposta acionável. Além disso, a integração da inteligência de ameaças com ambientes de análise virtual permite uma prevenção rápida e automatizada, minimizando a necessidade de pessoal especializado adicional.

 

Análise anti-invasão e inteligência contextual de ameaças em uma única plataforma

A Palo Alto Networks Next-Generation Security Platform detecta e previne até mesmo as ameaças mais evasivas automaticamente na rede, na nuvem e no endpoint. Uma parte integrante da plataforma é o WildFire® serviço de análise de ameaças, que incorpora várias técnicas para análise de malware resistente à evasão e prevenção automatizada -análise estática, análise dinâmica por meio de um ambiente de análise virtual personalizado, aprendizado de máquina e um ambiente bare metal para execução completa em hardware real.

Também faz parte da plataforma o serviço de inteligência de ameaças contextual AutoFocus, que fornece as informações necessárias para entender por que, onde e como um ataque afetará uma rede. Ele responde a perguntas como "Quem está atacando?". "Que ferramentas eles estão usando?" e "Como isso afetará a rede?" e prioriza automaticamente os ataques direcionados. O resultado é uma análise mais rápida, uma correlação mais fácil e uma resposta rápida a incidentes, reduzindo, em última análise, a necessidade de recursos adicionais de segurança especializados em TI.

Para saber mais sobre a defesa contra ataques evasivos, leia o white paper Refink Your Strategy to Defeat Evasive Attacks .

Receba as últimas notícias, convites para eventos e alertas de ameaças