Como você protege a sua própria casa? Normalmente costuma investir em um conjunto de câmeras de segurança, um ruidoso alarme, em detectores de movimento para monitorar os locais mais escuros, ou prefere usar todas essas opções para melhorar a proteção?
Manter segura a rede da sua empresa também exige um questionamento semelhante. Usar um sistema de segurança baseado em um único tipo de tecnologia é um bom começo, mas o que impedirá aos cibercriminosos de roubar informações valiosas quando encontram uma maneira de contornar isso?
para construir defesas fortes deve optar por uma solução que ofereça múltiplas tecnologias complementares
Uma empresa que pretende construir defesas fortes deve optar por uma solução que ofereça múltiplas tecnologias complementares com altas taxas de detecção e um baixo número de falsos positivos. Em outras palavras, aquela que pega ladrões, mas não reage quando o cachorro de um vizinho passeia pelo jardim.
Tanto o código como a atividade maliciosa podem assumir várias formas, mas muitas vezes o que ambos têm em comum é o esforço para permanecer fora do radar das soluções de segurança implementadas. Os criadores de malware se esforçam nisso, e seus métodos evoluem em sintonia com os avanços da cibersegurança.
No entanto, alguns fornecedores que defendem a pós-verdade argumentam que, para combater todas as ameaças, as empresas precisam apenas de uma única camada de proteção que use o algoritmo de machine learning mais recente. Sem atualizações, sem nuvens e sem camadas extras inúteis. Naturalmente, essa solução de camada única é o produto que oferecem.
Apesar dos últimos avanços em inteligência artificial, que foram alcançados principalmente por grandes empresas como o Google, o Facebook e a Microsoft, mesmo os mais recentes algoritmos de cibersegurança não constituem uma "bala de prata" contra todas as ameaças. Na verdade, apenas oferecem um passo adicional que pode melhorar a segurança do endpoint, mas também pode ser facilmente superado pelos adversários quando os sistemas de segurança complementares estão ausentes.
Enquanto que superar uma única camada pode levar a uma infecção, múltiplas barreiras capazes de detectar itens maliciosos, mesmo quando modificados, tornam os ataques mais difíceis e onerosos, forçando aos adversários a mudar o comportamento do código.
Por que mais é melhor?
As redes corporativas são semelhantes aos organismos complexos. Elas consistem em vários nós (órgãos), cada um com um papel, importância e direitos diferentes. Identificar atividades maliciosas em um sistema tão complexo pode ser difícil, especialmente se a solução de segurança está tentando controlar tudo através de um único ponto.
É verdade que um perímetro forte pode melhorar a cibersegurança de uma empresa, liberando endpoints para a varredura constante de cada item em busca de atividades maliciosas. No entanto, se é a única barreira de proteção contra os atacantes é superada, não há mais nada que os detenha.
múltiplas barreiras capazes de detectar itens maliciosos, mesmo quando modificados, tornam os ataques mais difíceis e onerosos
Lembre-se, evitar soluções de segurança é o trabalho diário de um cibercriminoso e, como já foi provado no passado, qualquer sistema ou função pode ser contornada. Com soluções de múltiplas camadas, mesmo se uma delas é ignorada, uma série de outras tecnologias pode te defender contra um ataque em sua seguinte etapa.
Portanto, mesmo que o malware seja o suficientemente cauteloso como para evitar ser detectado em um email, não significa que não será bloqueado ou excluído posteriormente, quando tenta causar estragos na memória do sistema. O mesmo acontece com um código malicioso que depende de um atraso em suas atividades fraudulentas para evitar a detecção, ou de ficar em um sistema durante vários meses enquanto espera por um tipo de arquivo específico para acionar os próximos processos maliciosos.
Mesmo uma máquina inteligente pode ser enganada
Muitos dos fornecedores que defendem a pós-verdade argumentam que suas soluções funcionam de forma diferente. Dizem que seus algoritmos de machine learning são capazes de aprender localmente e descobrir muitas das técnicas usadas por atacantes. No entanto, a verdade é que a maioria dos métodos criminosos evoluem, e podem ser suficientemente sofisticados para enganar as mais novas máquinas “inteligentes”.
os métodos criminosos evoluem, e podem ser suficientemente sofisticados para enganar as mais novas máquinas “inteligentes”
Para citar apenas alguns exemplos, podemos pensar na esteganografia. Os atacantes só precisam inserir o código malicioso em arquivos inofensivos como imagens. Enterrando-o profundamente em um pequeno pixel, a máquina pode ser enganada pelo arquivo, que é quase impossível de distinguir do original não malicioso.
Da mesma forma, a fragmentação também pode levar a um algoritmo de detecção avalie de forma incorreta. Os atacantes dividem o malware em partes e o escondem em vários arquivos separados. Cada um deles está “limpo” por conta própria; e começam a demonstrar comportamento malicioso apenas quando todos convergem em um equipamento ou rede.
Com apenas uma camada de monitoramento, essa atividade pode passar despercebida, pois o algoritmo "inteligente" exige uma óptica mais complexa para ver todo o problema em sua totalidade. O uso de múltiplas tecnologias, combinadas com o contexto global e as atualizações, pode oferecer o panorama completo e bloquear com sucesso até mesmo novas e sofisticadas tentativas de ataques.
Por que não bloquear essas técnicas?
Embora a abordagem acima descrita possa ser usada para fins maliciosos, é perfeitamente legítima em outros contextos. Cada cliente corporativo é diferente e os equipamentos podem ter configurações muito diversas. Algumas empresas, por exemplo, usam software ou arquivos que parecem muito suspeitos, mas são inteiramente legítimos para seus propósitos.
Claro, se você é um pequeno fornecedor do ramo da cibersegurança com uma base de usuários de dezenas de milhares ou talvez centenas de milhares de endpoints, entre em contato com os poucos que possam encontram diante de alguns problemas. No entanto, o que acontece se esse número crescer para dezenas, ou centenas de milhões?
Apenas anos de experiência e testes podem provar a melhor forma de ajustar as soluções para atender a um grupo tão significativo de clientes empresariais. Da mesma forma, é preciso um investimento de anos para conceber as camadas de proteção adequadas para estar um passo à frente dos cibercriminosos e proteger as massas de usuários da Internet.
Os analistas no campo da cibersegurança também têm percebido os problemas associados com o uso de apenas uma única tecnologia de proteção e aconselham ter cautela ao escolher entre os chamados vendedores "da próxima geração" (next-gen) e os estabelecidos, citando o primeiro como complementar, mas não como uma alternativa para o último.
Veja a nossa série completa e os próximos assuntos:
- Editorial: combatendo a “pós-verdade” com realidade no âmbito da cibersegurança
- Não compre o elixir da juventude: machine learning não é uma solução mágica
- Quando a publicidade bate de frente com a realidade: a verdade sobre o machine learning
- A aprendizagem automática e as matemáticas não podem vencer aos cibercriminosos
- Uma única tecnologia de proteção significa apenas uma barreira para os cibercriminosos
- Os falsos positivos podem ser mais caros do que uma infecção por malware
- Como as atualizações tornam a sua solução de segurança mais forte?
- Conhecemos o ML, o usamos há mais de uma década
Texto escrito com a colaboração de Jakub Debski & Peter Kosinar.