O que nossa ciberpaleontologia pode fazer por sua empresa?

25 fev 2019

Oi pessoal!

Permita-me começar pela paráfrase de um famoso filósofo: “A profissão determina o bem-estar social do homem, ou seu bem-estar social determina sua profissão?”. Aparentemente, essa pergunta (a original, no caso) foi debatida intensamente por mais de 150 anos. Desde a invenção e expansão da internet, essa guerra santa deve se estender por outros 150 anos, pelo menos.

Pessoalmente, não apoio nenhum dos dois lados; entretanto, gostaria de discutir (baseado em experiência pessoal) em favor da dualidade de uma profissão já que se afetam mutuamente – de diversas formas e maneiras contínuas.

Até o fim dos no 80, a virologia computacional surgiu como resposta a proliferação de programas maliciosos. Avance 30 anos, e a virologia se tornou (ou melhor, uniu-se a campos adjacentes) na indústria de cibersegurança. Que agora tende a ditar o desenvolvimento de TI: dada competição inevitável, apenas sobrevive a tecnologia com a melhor proteção.

Em 30 anos, a partir do fim dos anos 80, nós (as empresas de antivírus) fomos chamadas de diversos nomes pouco agradáveis. Entretanto, na minha opinião, o mais acurado nos anos recente é o meme ciberpaleontologistas.

De fato, a indústria aprendeu como lutar contra epidemias em massa: seja proativamente (como protegemos usuários das maiores epidemias recentes – Wannacry e ExPetr), ou reativamente (por meio de análises de dados de ameaças pautados na nuvem e atualizações automáticas) – não faz diferença. Entretanto, quando a assunto são ataques direcionados, a indústria como um todo precisa avançar muito: poucas empresas possuem maturidade técnica e recursos suficientes a fim de lidar com elas, entretanto se a busca é de um compromisso inabalável de expor as ciberameaças – resta uma empresa: KL! (O que me lembra algo dito por Napoleon Hill certa vez: “A estrada para o sucesso nunca está congestionada ao seu fim”. Bem, não é surpresa que estamos sozinhos no fim da caminhada: manter esse comprometimento de expor literalmente qualquer um é mais caro que não o manter. É muito mais oneroso dadas as ocorrências geopolíticas atuais, porém, nossa experiência mostra ser o certo a fazer – e usuários confirmam isso com suas carteiras.
Uma operação de ciberespionagem é um projeto longo, caro, complexo e de alta tecnologia. Claro, os autores de tais operações ficam bastante perturbados quando detectados e muitos cogitam se livrar dos desenvolvedores “indesejados” por meio de métodos de manipulação de mídia.

Mas eu estou desviando do tema…

Agora, essas operações de ciberespionagem podem se manter fora do radar por anos. Os autores tomam conta de seus investimentos kits: atacam apenas alguns alvos selecionados (sem ataques em massa, passíveis de detecção facilitada), testam em produtos de cibersegurança populares, alteram parâmetros caso necessário, assim por diante. Não é exagero pensar que muitos dos ataques direcionados detectados são apenas a ponta do iceberg. A única forma efetiva de encobrir esses ataques é por meio da ciberpaleontologia; isto é, angariar de forma meticulosa dados com o objetivo desconstruir um cenário completo; cooperação com especialistas de outras empresas; detecção e análise de anomalias; desenvolvimento subsequente de tecnologias protetivas.

No campo da ciberpaleontologia há dois subcampos: investigações ad hoc (uma vez que algo é detectado por acaso, persegue-se tal coisa), e investigações operacionais (o processo de análise planejada do ambiente de TI corporativo).

As vantagens óbvias da ciberpaleontologia operacional são altamente valorizadas por grandes empresas (sejam estatais ou privadas), por serem sempre as primeiras a serem alvos de ataques direcionados. Entretanto, nem todas as organizações têm a oportunidade de implementar ciberpaleontologia operacional: especialistas reais (disponíveis) nessa linha de trabalho são poucos e dispersos – além de caros. Nós sabemos bem – temos diversos ao redor do mundo (com experiência fantástica e nomes renomados). Portanto, recentemente, dada nossa força nesse campo e a necessidade de nossos clientes corporativos – em consonância com os princípios de mercado de demanda e oferta – decidimos lançar um novo serviço – o Kaspersky Managed Protection.

Primeiro, nosso serviço coleta metadados de atividades de rede e sistema. Agrega-se então aos dados da nossa KSN; a partir desse ponto analisa-se tanto sistemas inteligentes e ciberpaleontologistas especialistas (daí vem a abordagem HuMachine).

Voltemos a coleta de metadados – algo realmente legal é que o Kaspersky Managed Protection não requer instalação de sensores extras para a captação de metadados. O serviço funciona em conjunto com produtos já instalados (em particular, o Kaspersky Endpoint Security e Kaspersky AntiTargeted Attack; e no futuro, potencialmente, produtos de outros desenvolvedores), cuja telemetria é utilizada como base para “exame” > diagnóstico > tratamento.

Mais interessante é o que está por trás na união dos dados do KSN.

O serviço já possui gigabytes de telemetria de sensores diferentes: eventos de sistemas operacionais, comportamento de processadores e suas interações em rede, atividade de serviços e aplicações do sistema, vereditos de produtos de segurança (o que inclui detecção de comportamento anômalo, IDS, sandboxing, verificação de reputação de objetos, regras Yara… (a cabeça já parou de rodar?). Entretanto, se feito de forma apropriada, fora desse caos, é possível surgirem técnicas capazes de auxiliar a descobrir ataques direcionados.

Nesse ponto, de forma a separar o joio do trigo, lançamos mão de tecnologia patenteada de detecção em nuvem, investigação e eliminação de ataques direcionados. Inicialmente, a telemetria recebida é automaticamente marcada pela KSN por popularidade do objeto, por pertencimento a um ou outro grupo, similaridades com ameaças conhecidas, entre outros parâmetros. Em outras palavras, filtramos o que não é útil, o que resta associamos a tags especiais.

Então as tags são processadas automaticamente por um mecanismo de correlação com aprendizado de máquina, que postula hipóteses em cima de ciberataques em potencial. Na língua dos paleontologistas, estudamos os fragmentos desenterrados para encontrar similaridades com dinossauros já descobertos, combinações pouco usuais de fragmentos que poderiam caracterizar dinossauros desconhecidos para a ciência.

O mecanismo de correlação depende de uma multiplicidade de fontes de informações para fundamentar as hipóteses. Ao longo dos 21 anos desde que estabelecemos a KL e acumulamos… dados suficientes (sou modesto:) para formular essas hipóteses, o que inclui: desvios estatísticos suspeitos comparado com as atividades normais; táticas, tecnologias e procedimentos de vários ataques direcionados; as informações que analisamos de investigações dos ciberataques que nossos especialistas periciaram.

Uma vez que as hipóteses são colocadas juntas, é chegada a hora de colocar o cérebro do ciberpaleontologista para trabalhar. Esse especialista faz coisas que inteligência artificial nem sonha: verifica a autenticidade das hipóteses apresentadas, analisa objetos suspeitos e ações, elimina falsos positivos, ensina robôs de aprendizado de máquina e desenvolve regras para encontrar novas ameaças. Eventualmente, tudo feito pelo ciberpaleontologista manualmente será feito automaticamente – trata-se de um processo sem fim de conversão de experiência em investigações, e dessas se tornando serviços automáticos.

Então gradualmente, passo-a-passo, com a ajuda de tecnologias e monitorado por especialistas, dentro de toneladas de terra, rastros de ataques direcionados podem ser encontrados. Quanto mais terra não processada o Kaspersky Managed Protection recebe, e mais investiga o passado, maior a possibilidade de descobrir o encoberto e, de acordo com isso, ataques desconhecidos. O mais importante é que se trata da forma mais efetiva de proteção, já que em nenhum outro lugar que não nas redes de grandes empresas há essa terra não processada contendo fragmentos de dinossauros.

Para fechar, algumas palavras sobre como o Kaspersky Managed Protection complemento nosso Security Operations Center (SOC) – o centro de controle para incidentes de segurança da informação.

Claro, Kaspersky Managed Protection não substituirá o SOC, entretanto (i) poderá impulsionar sua criação, afinal elegantemente resolve uma tarefa (embora muito importante): descobrir ataques de qualquer complexidade; (ii) pode expandir a competência de um SOC existente por meio da adição de ciberpaleontologia; e (iii) embora não menos importante: poderá resultar em negócios adicionais para fornecedores de MSSP por meio da expansão da aplicação do serviço de funções escaláveis de ciberpaleontologia. Penso que esse terceiro fator pode ser o principal vetor no desenvolvimento do Kaspersky Managed Protection.