Sophos introduz Inteligência Artificial na cibersegurança

A Sophos anunciou o lançamento da solução Intercept X com deteção de malware alimentada por redes neurais de deep learning avançado. Combinada com técnicas de mitigação anti-hackers, bloqueio avançado de aplicação e proteção otimizada contra ransomware, esta nova versão oferece níveis de deteção e prevenção nunca antes vistos.

“Os modelos de machine learning tradicionais dependem do trabalho de analistas especializados em ameaças que selecionam os atributos para os quais devem treinar os modelos, adicionando um elemento humano subjetivo," explica Tony Palmer, senior validation analyst no Enterprise Strategy Group (ESG), consultora especializada em TI. "Estes modelos tornam-se mais complexos à medida que recolhem mais informação, ocupando muitos gigabytes e tornando-se lentos e demorados. Além disso, têm também taxas significativas de falsos-positivos que reduzem a produtividade da equipa de TI, que perde tempo a tentar determinar o que é malware e o que é software legítimo”. 

Por outro lado, explica o analista, a rede neural de deep learning da Intercept X foi desenvolvida para aprender pela experiência, criar correlações entre comportamento observado e o malware. Estas correlações resultam numa elevada taxa de precisão contra malware existentes e de zero-day, e numa taxa inferior de falso-positivo. Uma análise do ESG Lab revela que este modelo de rede neural escala facilmente, e quanto mais dados recolhe mais inteligente se torna. Isto permite uma deteção agressiva sem comprometer o desempenho administrativo e do sistema.

Esta nova versão da Sophos Intercept X também incorpora inovações na proteção anti-ransomware e prevenção contra exploit, e mitigação de técnicas anti-hacking, tais como proteção contra roubo de credenciais.

Com a otimização dos sistemas anti-malware, os ataques de roubo de identidade aumentaram com objetivo de se movimentarem em sistemas e redes como um utilizador legítimo. A Intercept X deteta e previne este comportamento. Implementada através da plataforma de gestão cloud Sophos Central, a solução Intercept X pode ser instalada juntamente com o software de segurança endpoint já existente e de qualquer fornecedor, impulsionando imediatamente a proteção endpoint. Quando utilizado com o Sophos XG Firewall, a Intercept X introduz capacidades de segurança sincronizada para uma proteção única e melhorada.

Dan Schiappa, Vice-Presidente Sénior e Diretor Geral de Produtos na Sophos, afirma: “A proteção preditiva é o futuro da segurança em TI. [...] Sermos capazes de nos protegermos contra o próximo ataque desconhecido em vez de esperamos que o mesmo chegue, vai mudar a forma como as operações de TI das empresas podem proteger os seus utilizadores e os seus bens”.

De acordo com um relatório do ESG Lab Validation Report, todas as empresas devem assumir que estão sempre sob ataque de ciberameaças. Num estudo recente do ESG, quando inquiridos sobre quais as principais razões que dificultam as analíticas e operações de cibersegurança atualmente, mais de um quarto dos inquiridos diz ser a dificuldade de se manter a par das rápidas mudanças no cenário das ameaças.

Desde setembro de 2016, data de lançamento da primeira versão da solução Intercept X, dezenas de milhares de organizações em todo o mundo já comprovaram a sua eficácia. 

A nova versão Intercept X inclui as seguintes características:

• Deteção de malware com Deep Learning
• Modelo deep learning deteta malware conhecido e desconhecido e aplicações potencialmente indesejadas (PUAs) antes de serem executadas, sem se basear em assinaturas.
• O modelo tem menos de 20M e não necessita de atualizações frequentes.
• Mitigação de técnicas contras atacantes
• Proteção contra roubo de credenciais – Impede o roubo de passwords de autenticação e informação armazenadas na memória, registo e armazenamento persistente, que são aproveitadas por aplicações como o Mimikatz.
• Utilização de ‘código cave’ – Deteta a presença de um código implementado em aplicações conhecidas, frequentemente utilizado para ganhar persistência e evitar detecções de antivírus.
• Proteção APC – Deteta o uso de chamadas de execução de processos assíncronos (Asynchronous Procedure Calls - APC) frequentemente utilizadas como parte da técnica de injeção de código AtomBombing e mais recentemente utilizadas como método para espalhar o ‘verme’ WannaCry e o ‘wiper’ NotPetya através de EternalBlue e DoublePulsar (os atacantes abusam destas chamadas para conseguirem que outro processo execute o código malicioso).

Novas técnicas de prevenção de exploits:

• Migração de processos maliciosos – Deteta a injeção remota de uma DLL reflexiva, utilizada pelos atacantes para se movimentarem entre processos a correr no sistema
• Aumento do privilégio do processo – Previne que um processo de baixo privilégio seja escalado para um maior privilégio, uma tática utilizada para ganhar mais acesso ao sistema

Application lockdown otimizado:

• Browser behavior lockdown – O Intercept X previne a utilização maliciosa do PowerShell desde os browsers, como técnica de controlo de comportamento básico
• HTA application lockdown – As aplicações HTML carregados pelo browser sofrerão mitigações dos bloqueios como se fossem um browser