TREND Micro Deep Discovery Inspector e Advisor – guardiões da rede!

 Não é de hoje que eu tenho conversado com várias empresa de segurança. Por isso mesmo o que já era um interesse pessoal, quase uma curiosidade exacerbada acabou por se tornar um tema recorrente de pesquisa, leitura obrigatória e jamais descarto a oportunidade de me aprofundar em conversas a respeito. Ainda em 2013 tive a oportunidade de visitar a TREND Micro e ter contato com uma tecnologia bastante sofisticada e que me abriu os olhos.

figura 01 – Importância da segurança no fluxo dos dados

É uma imensa ilusão achar que apenas antivírus e um firewall são suficientes para garantir a integridade e segurança dentro de um ambiente de maior responsabilidade como uma empresa. E por isso os fornecedores de soluções de segurança têm apresentado estratégias que guardam semelhanças entre si, mas também se diferenciam com criatividade e inventividade. A solução Deep Discovery da TREND me foi mostrada com bom nível de detalhe e vários aspectos me chamaram a atenção. Este texto abordará de forma mais ampla estas características e espero ter a oportunidade de testar com minhas próprias mãos em outra ocasião. A solução completa consiste de dois módulos, o Inspector e o Advisor que compartilham alguns recursos, mas se complementam fortemente. As características apresentadas neste texto fazem menção à solução integrada.

Vivemos neste momento um tipo de ameaça denominada APT (Advanced Persistent Threats), ou seja, Ameaças Persistentes Avançadas. São ataques direcionados a alvos específicos e que têm o caráter “persistente”. Permanecem tentando de uma forma ou de outra lograr êxito na invasão e roubo de informações específicas e de pessoa ou pessoas específicas. Este tipo de ameaça muitas vezes só é devidamente percebida por análise comportamental do tráfego da rede. Não se baseia na identificação de algum tipo de “assinatura” como as presentes em arquivos maliciosos conhecidos (caso de antivírus). Por isso um grande conjunto de informações e ferramentas certas são necessárias para que os profissionais de segurança das empresas possam analisar e avaliar os riscos reais e tomar ações defensivas (além daquelas já existentes no produto).

O ponto de partida do Deep Discovery Inspector é seu “dashboard”, um tipo de painel de controle a partir do qual muitas informações históricas e também em tempo real podem ser avaliadas. Seguem apenas alguns exemplos de dados coletados:

• Servidores com mais eventos detectados
• Servidores com maior presença de malwares
• Servidores mais atacados ou explorados por ameaças
• Aplicações mais disruptivas em uso na rede
• Conteúdo malicioso mais detectado
• Sites com baixa reputação mais acessados pela rede
• Servidores com comportamento suspeito

 
figura 02 – Dashboard ilustrando servidores com mais eventos (clique para ampliar)

O conjunto de sensores e informações do “dashboard” é personalizável bem como os servidores (endereços IP) , tipos específicos de ameaças a monitorar, frequência, etc. São os chamados “Watchlists”. Da mesma forma os eventos de segurança podem ser representados em um diagrama tempo x espaço que ajuda a compreender como os eventuais ataques são distribuídos e se são concentrados em algum segmento, endereço da rede ou servidor.

figura 03 – Dashboard ilustrando eventos relevantes nos servidores (clique para ampliar)

           figura 04 – Dashboard ilustrando concentração de eventos nos servidores (clique para ampliar)

As análises visuais além de muito interessantes tornam as informações bastante acessíveis e mais rapidamente assimiláveis. Facilmente se identifica o período do dia ou mês que ataques ocorreram, quais foram os tipos de ameaças, se foram disparadas externamente ou mesmo internamente, identificar nomes de arquivos afetados, URLs, etc.

        figura 05 – Dashboard ilustrando distribuição de eventos ao longo do tempo (clique para ampliar)

            figura 06 – Dashboard mostrando dados dos ataques (clique para ampliar)

Mas o que me impressiona, um dos recursos mais interessantes é a capacidade de análises em tempo real em sandbox. Sandbox é um ambiente isolado, geralmente (mas não obrigatoriamente) uma máquina virtual que roda no appliance especializado de segurança frequentemente usado para executar código não testado, ou programas não confiáveis ​​de fornecedores não verificados, usuários não confiáveis ​​e sites não confiáveis. Assim determinado site ou programa malicioso pode ser experimentado neste ambiente controlado e analisado quanto às ações que ele realizar e assim determinar seu grau de malignidade (ou não).

O Deep Discovery Advisor dispõe deste recurso chamado Threat Analyzer. Durante a apresentação algumas URLs e programas maliciosos foram testados. O sandbox pode ser configurado para reproduzir o ambiente necessário. Por exemplo, algumas ameaças obtém sucesso ao se instalarem e tomarem conta de uma plataforma Windows XP, mas não obterem sucesso no Windows 7 ou Windows 8. E por mais incrível que possa parecer o inverso também pode acontecer, uma ameaça se instalar com sucesso no Windows 8 e não no XP. Assim o administrador de segurança pode preparar várias instâncias de sandbox que reflita os diferentes sistemas operacionais da empresa. Uma vez que a potencial ameaça tenha sido executada dentro destes ambientes uma análise “forense” pode ser feita :

• Qual ou quais arquivos a ameaça gravou
• Que acessos externos realizou e para quais endereços
• Que operações realizou
• Quais chaves de registro criou ou alterou
• Sequência exata (passo a passo) dos eventos desencadeados no ambiente
• A simulação e análise de ameaças detalhadas para classificar e analisar profundamente os arquivos enviados

           figura 07 – Análise do Sandbox mostrando as ações do malware no ambiente  - Registry (clique para ampliar)

Estas informações ajudam a entender como as ameaças atacaram a rede ou alvos específicos e saber quais ações podem ser realizadas para prevenir outros ataques semelhantes no futuro.

Mas a detecção de ameaças e malware não deve se limitar a análises de sandbox. O Deep Discovery Inspector também alerta para comunicações maliciosas e suspeitas da rede para servidores externos que podem estar na liderança destes ataques.

Um exemplo muito interessante que me foi apresentado, o uso de smartphone conectado à rede WiFi da empresa, portanto objeto de análise de seu tráfego pelo Deep Discovery. Propositalmente alguns aplicativos maliciosos, baixados do Google Play, aplicativos que parecem legítimos, ao serem instalados imediatamente começavam a fazer disparar alarmes diversos nas telas do Deep Discovery por conta de suas ações. Todo cuidado é pouco! O fato de estar no Google Play ou App Store da Apple não é garantia de aplicativo íntegro. Deveria ser, mas não é. O aplicativo em questão era um jogo que até funciona, mas nos bastidores gera um tráfego imenso e captura dados do telefone e de seu dono.

A cada momento durante a análise de um evento ou ataque pode ser acessado o Threat Connect que traz toda a inteligência e recomendações da TREND Micro Smart Protection Network e dos pesquisadores do TREND Lab ajudando a entender a responder a um ataque com maior rapidez. Os pesquisadores acumulam conhecimentos estudando nas sandboxes as ameaças e todas as suas variações. Isso também permite alimentar uma base de dados de URLs e endereços IP com histórico de atividades suspeitas que são fornecidos para o software rodando no cliente e assim ter ainda mais agilidade na filtragem de acessos perigosos. Também identificar cada tipo de ameaça relacionando-as com grupos de atacantes conhecidos, sua origem, localização e até mesmo de quais cidades ele está sendo efetuado.

   figura 08 – análise da origem de ataques  (clique para ampliar)

O Deep Discovery Inspector é compatível com soluções de gerenciamento de eventos de segurança (SIEM) de vários fabricante como HP, IBM e outras que usem formatos CEF ou LEEF. Quanto ao nível de informações relatórios podem ser gerados em diversos níveis. Desde resumos executivos dos eventos de segurança e seus impactos nos negócios bem como relatórios detalhados de cada ameaça e suas características técnicas, meios de ação e ocorrências.

O mundo está mais complicado, isso é fato. Segurança não pode ser delegada a um processo único, uma única tecnologia. São muitas brechas exploradas pelos malfeitores virtuais para tentarem subtrair bens, roubo de identidade, furto de informações sensíveis... A proteção só será de fato obtida pela adoção de várias camadas que restringem e dificultam o acesso, bem como de forma especializada impedindo acesso e fornecendo as informações necessárias para combater inclusive ameaças novas e desconhecidas. A dupla Deep Discovery Inspector e Advisor mostraram grande valor nesta apresentação conceitual que tive o privilégio de assistir. Manifesto minha intenção de me aprofundar no tema e retornar daqui a algum tempo com uma visão ainda mais detalhada após ter provado com minhas próprias mãos esta valorosa ferramenta.