Como não bloquear apps em excesso na sua empresa

18 abr 2019

Como cibercriminosos atacam estações de trabalho? Geralmente exploram vulnerabilidade em programas usados com frequência ou funcionalidades potencialmente perigosas em softwares legítimos. Há outras formas, é claro, mas essas são as mais comuns. Portanto, pode parecer lógico restringir o uso desses softwares. Mas como você pode fazer isso sem prejudicar seus processos corporativos? Bloquear softwares sem critérios pode causar diversos danos a sua empresa; você tem que levar em conta as diferenças nas funções de cada colaborador. Nossa estratégia é baseada na redução da superfície de ataque por meio de controle adaptativo de anomalias com uso de técnicas de aprendizado de máquina.
Por muitos anos, o MS Office possuía a distinção dúbia de ser um dos maiores em número de vulnerabilidades exploradas. Isso não significa que o software é ruim. Falhas estão em todos os lugares. Trata-se apenas do fato de que os cibercriminosos têm como foco o Office, em vez dos concorrentes, por ser mais utilizado. Mesmo se sua empresa esteja preparada para gastar no treinamento de colaboradores para usarem outra solução, logo que essa outra ganhar popularidade, tirará Office do topo em quantidade de vulnerabilidades.

Alguns produtos possuem funcionalidades claramente perigosas. Por exemplo, macros no Office podem ser usadas para executar códigos maliciosos. Entretanto, uma proibição total não seria prática; analistas financeiros e contadores precisam dessas ferramentas nas operações diárias.

A tarefa é de alguma forma manter vigilância rígida sobre esses programas e intervir apenas quando atividades anormais forem detectadas. Mas há um problema.

Como reconhecer atividades anormais?

A essência da atividade é parecer completamente legítima aos olhos dos sistemas de segurança. Como sistemas de cibersegurança determinam se uma mensagem enviada a um colaborador contém um documento importante com uma macro ou um Trojan? A pessoa mandou um arquivo .js para propósitos de trabalho, ou tem arquivo de vírus escondido?

Seria possível, pelo menos em teoria, analisar manualmente o trabalho de cada colaborador, acertar quais ferramentas precisam e quais não, e, no que tange informação, construir um modelo de ameaças e bloquear cirurgicamente certas funções de programas.

No entanto, diversas complicações aparecem nesse momento. Primeiro, quanto maior a empresa, mais difícil é construir um modelo adaptado para cada colaborador. Segundo, mesmo negócios pequenos, configuração manual requer bastante tempo e esforço por parte dos administradores. E terceiro, o processo provavelmente terá de ser repetido quando a infraestrutura corporativa ou ferramentas mudarem.

Para preservar a sanidade dos administradores e colaboradores de segurança de TI, a única opção é automatizar processos para configurar restrições.

Controle adaptativo

Implementamos os processos de automação da seguinte forma: primeiro, sistemas construídos em princípios de aprendizado de máquina pautado em nossa base de dados de ameaças e gerando padrões de atividade potencialmente maliciosa. Implementamos bloqueio específico desses padrões em cada estação de trabalho específica.

Segundo, criamos um modo de adaptação automática (chamado Smart) para analisar a atividade do usuário e determinar quais regras podem ser aplicadas e qual interferiria na operação normal. Funciona da seguinte forma: o sistema primeiro compila estatísticas quanto a ativação de regras de controle por um período de tempo determinado no modo de aprendizagem, e então, cria um modelo da operação normal do usuário ou do grupo (cenário legítimo). Depois disso, o modo de aprendizado é desabilitado, e são ativadas apenas as normas de controle que bloqueiam as ações anormais.

No caso do modelo de trabalho do usuário ser modificado, o sistema pode voltar para o modulo de aprendizado e adaptado ao novo cenário. Além disso, existe uma opção muito mais concreta em caso de ser necessário adicionar exclusões.

Não é uma panaceia absoluta, mas reduz consideravelmente a superfície de possíveis ataques.

O módulo Adaptative Anomaly Control (AAC) forma parte da solução atualizada do Kaspersky Endpoint Security for Business Advanced, que foi recentemente revelado ao público geral. Clique no banner abaixo para fazer o download de uma versão de teste do produto de segurança com a nova tecnologia implementada.