Symantec Advanced Threat Protection: Symantec Cynic
O Cynic é um dinâmico serviço de análise de malware baseado na nuvem que fornece a capacidade de detectar ameaças avançadas. Ao contrário da maioria dos produtos de análise sandbox, cujo foco está em oferecer uma variedade de máquinas virtuais ou imagens específicas do cliente para detonar e detectar malware, o Cynic usa um conjunto de tecnologias de análise, combinado com nossa inteligência global e dados de análise para detectar com precisão o código malicioso. Através da realização da análise na nuvem, a Symantec pode oferecer um processamento mais detalhado em escala e com uma velocidade que não pode ser alcançada com uma implantação on-premise.
1. WHITEPAPER:
SYMANTECCYNIC™
Symantec Advanced Threat Protection
Symantec Cynic™
Quem deve ler este artigo
Este white paper destina-se a CIOs, CISOs e profissionais de segurança
responsáveis em proteger a sua organização contra ataques direcionados e
ameaças avançadas.
Este artigo apresenta uma visão geral da nova tecnologia Symantec Cynic™
introduzida e usada pelo Symantec Advanced Threat Protection.
4. Symantec™ Cynic™
Symantec Advanced Threat Protection
1
Visão geral
Atores de ameaças têm acesso fácil a ferramentas de desenvolvimento de malware que tornam mais barato e fácil para desenvolver malware
direcionado e personalizado que não é detectado pelos sistemas de segurança tradicionais. Essas mesmas ferramentas também incluem
recursos que permitem que o malware torne-se indetectável para os produtos sandbox mais populares, de tal forma que ao assinar o
contrato de compra, o seu investimento em detecção de ameaças avançadas torna-se inútil, e os bandidos violam sua rede. A Symantec
foi construída sobre a capacidade de identificar arquivos maliciosos em escala, e nosso objetivo é entregar o poder analítico da Symantec
diretamente para sua organização através do Symantec Advanced Threat Protection.
O Cynic é um dinâmico serviço de análise de malware baseado na nuvem que fornece a capacidade de detectar ameaças avançadas.
Ao contrário da maioria dos produtos de análise sandbox, cujo foco está em oferecer uma variedade de máquinas virtuais ou imagens
específicas do cliente para detonar e detectar malware, o Cynic usa um conjunto de tecnologias de análise, combinado com nossa
inteligência global e dados de análise para detectar com precisão o código malicioso.
Através da realização da análise na nuvem, a Symantec pode oferecer um processamento mais detalhado em escala e com uma velocidade
que não pode ser alcançada com uma implantação on-premise.
Tecnologia Comprovada
Uma das tecnologias incluídas no Cynic é o Symantec Skeptic™. O Skeptic tem sido usado por mais de uma década dentro da plataforma
Symantec™ Email Security.cloud, protegendo contra ameaças que não são detectadas por programas antivírus baseados em assinatura.
A análise estática de código oferecido pelo Skeptic é indetectável pelos autores de malware e não pode ser contornada através de
comportamentos de evasão de máquinas virtuais. Na verdade, devido aos anos de aprendizagem de máquinas acumulada dentro da
tecnologia, quanto mais evasivo um programa se comporta, mais fácil é identificá-lo como um arquivo malicioso.
A segunda tecnologia comprovada empregada pelo Cynic é o SONAR™. O SONAR é um sistema de análise comportamental que monitora
arquivos enquanto são executados, comparando os comportamentos do programa aos comportamentos das bilhões de amostras maliciosas
que a Symantec analisou ao longo dos anos. Ao contrário de assinaturas, o SONAR emprega perfis comportamentais e dados de reputação de
arquivos para identificar com precisão os arquivos como benignos ou maliciosos. O nível de precisão fornecido pelo SONAR permite uma fácil
comparação entre eventos de segurança de rede e endpoints, permitindo que os eventos relacionados de segurança sejam correlacionados e,
quando apropriado, marcados como automaticamente resolvidos.
Detonação e Execução Virtual
A mais nova tecnologia incluída no Cynic é um sistema proprietário de execução virtual, também conhecido como um ambiente sandbox.
Como outros sandboxes, este sistema emprega várias máquinas virtuais que utilizam diferentes sistemas operacionais. Nestas máquinas
virtuais, a Symantec utiliza componentes do Symantec Workspace Virtualization™, desenvolvido pela Altiris Technology, para mudar várias
aplicações nas máquinas virtuais e verificar se as aplicações estão sendo exploradas e se existem ataques direcionados únicos. Para cada
sistema operacional, a Symantec é capaz de mudar rapidamente as versões das aplicações que frequentemente são alvos, tais como Java™,
Adobe Acrobat Reader™ e Microsoft Office™, para rapidamente avaliar arquivos entre plataformas diferentes. O componente de análise
incluído neste sistema se beneficia da Symantec Global Intelligence Network, que permite a execução baseada em telemetria e condenação
de ameaças avançadas. Além disso, a Symantec pode fornecer uma visão única sobre os atores de ameaças, utilizando as trilhões de linhas
de análise e telemetria para associar novas ameaças com aquelas anteriormente ligadas a adversários conhecidos.
5. Symantec™ Cynic™
Symantec Advanced Threat Protection
2
Tal como acontece com todos os outros métodos de detecção baseados em sandbox disponíveis neste espaço, o sistema de execução virtual
Symantec estará sujeito a detecção por código de malware. Entre agosto de 2014 e abril de 2015, a Symantec observou um aumento em
malware que identifica um hypervisor de 18% para 28%1
, mostrando que os autores de malware estão tentando evitar a detecção de
sandbox. Por esta razão, o Cynic inclui uma camada adicional de análise no hardware físico. Esta camada é empregada para exemplos de
malware que tentam verificar se estão sendo analisados em um hipervisor. Quando o malware detecta que está sendo executado em uma
máquina virtual, às vezes ele não fará nada, na esperança de passar despercebido. Ou pior, ele irá se comportar de forma diferente do que
faria em uma máquina física, enganando assim os responsáveis pela resposta a incidentes que podem estar procurando por evidências de
comprometimento.
O Cynic compara os resultados da análise virtual com os resultados da análise física para certificar-se de que os indicadores descobertos são
os mais úteis para a detecção da ameaça.
Resumo
A análise multidimensional da Symantec é um verdadeiro ambiente de execução de próxima geração. O Cynic pega os resultados de todas
essas tecnologias e fornece os resultados de análise e decisão para você, juntamente com informações valiosas de ameaças que a Symantec
tem sobre a amostra, para lhe dar a informação que você precisa para tomada de ações.
Atualmente, o Cynic é capaz de processar todos os tipos de arquivos executáveis do Windows, assim como Java, PDF, documentos do
Microsoft Office e arquivos recipientes, como o ZIP. A detonação e análise ocorrem no Windows XP e Windows 7, em plataformas de 32 e 64
bits. Tipos de arquivos adicionais e cobertura de sistemas operacionais serão adicionados ao longo do tempo.
1 - Symantec Internet Security Threat Report, volume 20