Esta publicação do blogue é a quinta de uma série de formação contínua sobre cibersegurança patrocinada pela OPSWAT Academy, que analisa as tecnologias e os processos necessários para conceber, implementar e gerir um programa de proteção de infra-estruturas críticas.
O malware é perigoso, mas não é óbvio. Se o malware fosse fácil de detetar, então todos os sistemas de correio eletrónico, de rede ou de partilha teriam proteção total. À medida que as ferramentas de cibersegurança evoluem, o mesmo acontece com a facilidade com que todos os tipos de conteúdos maliciosos são travados. No entanto, em 2020, o Centro de Estudos Estratégicos e Internacionais da McAfee comunicou um prejuízo global recorde de pouco menos de 1 bilião de dólares. Então, porque é que o malware continua a ser tão eficaz na era moderna da cibersegurança?
Concebido para se assimilar às nossas expectativas naturais, algum software malicioso escapa habilmente às auditorias e ferramentas de análise. Um e-mail, um sítio Web ou ferramentas online gratuitas aparentemente normais constituem portas de entrada para que os malfeitores injectem código, programas ou processos maliciosos para facilitar os seus objectivos.
A intenção maliciosa disfarçada para tirar partido da melhor natureza de um indivíduo sempre foi uma estratégia eficaz. Como analogia, as zonas de conflito armado utilizam minas terrestres para disfarçar uma estrada inocente numa armadilha perigosa. Podemos pensar no Malware evasivo da mesma forma.
Se olharmos para a estrada e virmos um pedaço de terra perturbado ou um detetor de metais a apitar, podemos determinar o que encontrámos, tornando o caminho seguro para a viagem. Mas, por vezes, não sabemos. As minas terrestres podem estar cuidadosamente enterradas ou ser feitas de componentes não metálicos, dificultando efetivamente as nossas tentativas de descoberta.
A maneira mais segura de passar é detonar o nosso caminho com antecedência.
Já na Segunda Guerra Mundial, enormes manguais rotativos eram acoplados a grandes veículos blindados para bater no solo e detonar minas, de modo a abrir um caminho seguro através dos campos de minas. Ainda hoje são utilizados veículos de conceção semelhante. Este método é violento e dispendioso, mas controlado, calculado e extremamente eficaz.
As ferramentas modernas de cibersegurança, como a análise Sandbox , permitem-nos detonar o Malware praticamente da mesma forma. As amostras de programas e ficheiros são carregadas em ambientes virtuais isolados e seguros, onde o Malware pode ser executado, mas sem prejudicar qualquer sistema externo. A amostra de Malware é a nossa mina terrestre, e o Sandbox o nosso mangual fortemente blindado.
Com a detonação do código, podemos analisar todos os aspectos do conteúdo e verificar a sua intenção. O ficheiro pode ser seguro, ou pode tentar contactar fontes externas não verificadas, alterar chaves de registo ou analisar o sistema de ficheiros local. A execução de malware num ambiente isolado para analisar o seu comportamento é conhecida como Análise Dinâmica.
Ao contrário da nossa estrada, que tem a condição binária de seguro ou não seguro, temos de considerar a complexidade da intenção de um ficheiro. Muitos programas legítimos executam acções que se enquadram em actividades potencialmente maliciosas. Nem todos os Sandbox são iguais, e o que faz um bom produto são os métodos e cálculos utilizados para fornecer a maior certeza possível ao analisar a atividade de um ficheiro.
OPSWAT MetaDefender Cloud, uma ferramenta que qualquer pessoa pode experimentar gratuitamente, oferece uma poderosa opção de Sandbox que pode ser utilizada para classificar os ficheiros carregados de acordo com um sistema de ponderação robusto. A capacidade de detonar um ficheiro com segurança fornece informações que, de outra forma, poderiam contornar as técnicas tradicionais de Análise Estática. As Sandboxes oferecem uma excelente defesa contra ataques de dia zero, em que as definições de ficheiros ainda não foram adicionadas às bases de dados das empresas de AV. De facto, muitas empresas de AV utilizam as Sandboxes como base para saber que ficheiros devem ser adicionados às suas assinaturas de Malware.
O Sandboxing não é, no entanto, uma solução definitiva para o Malware. Para não contaminar os resultados, cada ficheiro deve ser analisado individualmente. É necessária uma quantidade significativa de tempo e recursos de hardware para processar até mesmo um único pdf, instalador, executável, etc., o que pode estrangular os sistemas de segurança quando se lida com grandes quantidades de ficheiros. Saber quando e em que circunstâncias utilizar um Sandbox, é fundamental para fazer desta uma tecnologia verdadeiramente eficaz.
Quer saber mais? OPSWAT A Academy oferece vários cursos de treinamento em segurança cibernética que se aprofundam no Sandboxing e em outras tecnologias de segurança que o OPSWAT tem a oferecer. Visiteopswatacademy.com e inscreva-se gratuitamente hoje mesmo!
