Até pouco tempo, todo o tipo de ataque realizado por vírus ou até mesmo ferramentas prontas para a invasão de sistemas eram reconhecidas por suas assinaturas. Essas assinaturas são geradas como se fossem uma “impressão digital” de uma parte do vírus ou de sua totalidade e até mesmo dos rastros que esses binários maliciosos geravam.

Com o ataque hacker através de ferramentas e exploits prontos acontecia basicamente a mesma coisa. Esse ataque gerava um tipo de log específico ou um determinado comportamento no ambiente, que fazia com que acabasse sendo identificado. Essas características ainda permanecem, mas outras estratégias muito mais inteligentes – ainda que sejam má intencionadas – foram desenvolvidas. É o que chamamos de ataques avançados.

O que ultimamente tem acontecido é que os próprios vírus e os próprios ataques hackers agem de uma forma que foge do padrão. Então, se eu coloco apenas um antivírus padrão para monitorar um sistema sem nenhum tipo de interferência e análise comportamental, ele só vai me trazer um certo padrão. E hoje os ataques e os vírus exigem muito mais do que isso para serem identificados, prevenidos e causarem o menor dano possível.

Uma nova proteção chamada “análise comportamental”

O que foi desenvolvido em paralelo para identificar esses ataques? Chamamos de “análise comportamental”. Para terem uma ideia mais clara, vou exemplificar.

Começo a monitorar a Bárbara, uma das minhas colaboradoras. Identifico que todos os dias as 9:00 ela faz logon na máquina dela. As 9:30, ela acessa a ferramenta de CRM; e durante todo esse período realiza troca de arquivos/dados com o servidor de Sharepoint, as 12:00 ela faz o logoff para almoçar e, depois, ela acessa de novo somente as 14:00. Ela faz isso numa rotina considerável. Se algum dia, então, a Bárbara tentar acessar as 7:00 da manhã o computador, as 8:00 tentar acessar o sistema de ERP do financeiro e a troca de dados/arquivos com o servidor de Sharepoint é feita tentando utilizar outra pasta, conseguimos identificar uma anormalidade.

É a mesma coisa com o vírus hoje.

Quando um vírus infecta a máquina, a primeira coisa que ele faz é ficar low profile. Geralmente esse vírus ainda não é considerado um arquivo malicioso e sim apenas um hospedeiro. Assim, ele identifica quando o usuário fica inativo na máquina, em um bloqueio de tela por exemplo, e tenta fazer a infecção realizando o download do código malicioso sem gerar nenhum tipo de alarde na máquina. Um exemplo simples é o próprio ataque de variantes do Ransomware que por meio de phishing ou outros tipos e ataque, infecta máquinas. Assim que a máquina é infectada, geralmente é utilizado algum programa válido para realizar a criptografia (exemplo: aescrypt.exe) e alguns antivírus não o identificam como um arquivo malicioso, já que tudo é feito utilizando uma simples extensão “.bat”.

E então, quando percebe que você ficou inativo e deixou a máquina ligada, ele começa a criptografar os seus dados e atacar outros dados da rede, esperando que você não veja – diferente de outros vírus que deixam “vestígios”. Logo, é algo que foge da sua normalidade, e é por isso então que a melhor forma de identificar esse tipo de vírus ou tipos de ataque hacker é analisando o comportamento daquela máquina, daquela pessoa ou daquele ambiente.

De forma bem resumida, isso é o que chamamos de análise comportamental, ou seja, qualquer tipo de comportamento que foge da sua normalidade.

E ela tem diferentes tipos!

Existem diversas formas de fazer essa análise.

– Pelo usuário: avaliar aquele determinado usuário do setor financeiro, comercial, RH, etc. Por exemplo, ele nunca tenta acessar uma máquina de um servidor, e passou a tentar. Nunca tentaria acessar os dados do CEO, mas dessa vez tentou. Essa é uma análise comportamental de usuário.

– Pela máquina: quando o próprio equipamento nunca tentou fazer nada de diferente, nunca tentou acessar também nenhum sistema diferente, nunca “pingou” outra máquina, nunca fez nada de diferente e, de repente, faz.

– Pelo servidor:  neste caso, além das mesmas análises que em máquinas e usuários, estamos falando também de logs e tentativas de acesso.

Em qualquer uma dessas situações as origens podem ser vírus, ataques hackers ou até mesmo um funcionário mal-intencionado.

A solução

Como todos sabemos é preciso estar de olho no bem-estar do seu negócio e escolher prevenir a remediar, já que é impossível premeditar quando uma empresa será atacada e qual será o real impacto. Na teoria isso é fácil dizer, mas qual solução usar? Como eu faço para identificar uma rotina e uma anormalidade entre milhões de linhas de códigos?

Neste post vou falar do Advanced Threat Analytics, mais conhecido como “ATA” da Microsoft. Esta é uma solução de segurança que tem como objetivo monitorar e identificar ataques internos a redes que estão (ou já foram) comprometidas. Ele tem duas principais “engine”, a de análise comportamental e a de ataques conhecidos via lista de assinatura, mas vou focar na análise comportamental.

A ferramenta como premissa tem um aprendizado inicial – como chamamos – de basicamente 30 dias. O que isso significa? Que assim que o ATA é instalado na rede, ele passa a estudar e aprender sobre os horários de usuários, os padrões de serviços que rodam dentro daquele ambiente, servidores, níveis de acesso e privilégios. E a partir desse período em que consolidou toda essa base de conhecimento, ele passa a exibir e notificar comportamentos fora da normalidade. Todas essas informações são exibidas através de uma console de gerenciamento única onde são exibidos os ataques e anormalidades identificadas.

Mas se é uma ferramenta de “aprendizado”, se ela for instalada em um ambiente já comprometido, irá aprender de forma errada? – Não! A ferramenta tem a inteligência de identificar ações estranhas mesmo durante o período inicial. Ela solicita ao administrador a informação se aquele padrão é algo normal para o ambiente. Depois cadastra o comportamento como algo comum ou algo estranho, direcionando o aprendizado.

Para ter um funcionamento efetivo e em sintonia, o ideal é um acompanhamento de perto com monitoramento através de um Security Operation Center (SOC), por exemplo. Normalmente o monitoramento em tempo real, no regime que for necessário (8×5 ou 24×7), monitora ferramentas como essa e, de forma ágil, responde às informações geradas. No caso do ATA, o objetivo é apenas identificar e alertar os ataques identificados e não reagir, dessa forma a diferença está na agilidade da resposta ao incidente.

Se o core business da sua empresa não é TI, sugiro contratar um parceiro especializado em segurança da informação – especialmente para cuidar de responsabilidades como essa.