Encontrando a agulha no palheiro. Apresentando: Astraea.

Em algum lugar no escritório há um pequeno-grande livro preto cuidadosamente guardado, contendo uma coleção de fatos e números atualizados da KL, que usamos em apresentações públicas. Você sabe, coisas como quantos empregados temos, quantos escritórios e onde, rotatividade etc. Um dos números desse livro usado com mais frequência é o número diário de novos programas mal-intencionados – também conhecidos como malwares. E talvez esse número diário seja tão popular devido ao modo como cresce tão rápido. De fato, seu crescimento surpreendeu até a mim: há um ano, eram 70.000 amostras de malware – lembre-se – por dia; em maio de 2012, foram 125.000 por dia; e agora já são 200.000 por dia!

Eu não estou brincando, amigos: a cada dia detectamos, analisamos e desenvolvemos proteção contra esse número enorme de programas mal-intencionados!

Como fazemos isso?

De forma simples, tudo está relacionado ao nosso conhecimento especializado e às tecnologias decorrentes dele – sobre as quais outro grande livro preto poderia ser compilado a partir das entradas aqui neste blog (p. ex., consulte a tag características). Ao divulgarmos nossa tecnologia, alguns poderão perguntar se não temos medo de que nossas postagens sejam lidas pelos criminosos cibernéticos. Isso causa certa preocupação, porém, o mais importante para nós é que os usuários entendam melhor como a proteção deles (nossa) funciona, o que motiva os fraudadores cibernéticos e quais truques eles usam em suas falcatruas.

De qualquer forma, hoje faremos outras adições a esse tomo técnico – sobre a tecnologia Astraea. Esse é um dos principais elementos de nosso sistema na nuvem KSN (vídeo, detalhes), que analisa automaticamente as notificações de computadores protegidos e ajuda a revelar ameaças desconhecidas até então. De fato, o Astraea tem uma série de outras vantagens – tantas que, por algum tempo, nossos analistas de segurança simplesmente não conseguiam imaginar seu dia de trabalho sem elas. Portanto, de acordo com minha tradição de postagem de blog tecnológico, deixe-me fazer uma análise passo a passo de tudo isso para você…

Vamos começar com outra estatística chave de BBB: 60 milhões (mais de). Esse é o número de pessoas que usam o KSN hoje. E quando eu digo usam, quero dizer constantemente trocam informações na nuvem sobre arquivos suspeitos, sites, eventos de sistema, detecções e muito mais, tudo sob o título “o ambiente epidemiológico na Internet”!

Analisar esse enorme fluxo de KSN manualmente no tempo necessário é, como você pode imaginar, praticamente impossível. É como procurar uma agulha no palheiro. No entanto, ao mesmo tempo em que essa agulha (e ela é bastante valiosa) está de fato dentro (fora?) disso, procurá-la é válido e resolver essa tarefa é basicamente uma questão de excelência de engenharia de software.

Está provado que, com a abordagem certa ao processamento desse fluxo, é possível matar três coelhos numa cajadada só: (i) detectar malware de forma rápida, eficaz e com um mínimo de esforço; (ii) acumular uma base estatística altamente valiosa para acompanhar as tendências no campo de criação de vírus e (iii) criar um sistema especializado automático de desenvolvimento constante capaz de lançar “tratamentos” automaticamente – com o número de falsos positivos mantido em níveis mínimos.

Então, aí está! Agora você sabe os princípios básicos do Astraea – um sistema para o processamento de volumes colossais de dados –, capaz de extrair resultados específicos, conhecidos como dados grandes, também chamado de pesquisa automática da agulha no palheiro.

E agora – para terminar completamente – outros números para você! Mais de 150 milhões de notificações do KSN são executadas por meio do Astraea todos os dias, e dessas, 10 milhões de objetos (arquivos e sites) recebem classificações!

Como isso funciona?

No primeiro estágio, seguindo os princípios do manual de como fazer crowdsourcing, o Astraea recebe notificações sobre arquivos e sites suspeitos dos participantes do KSN. Todos os eventos são analisados automaticamente e classificados a partir da perspectiva da significância (prevalência e popularidade dos objetos) e do perigo. O nível de perigo é calculado com base na alteração dinâmica de pesos, o que significa que, entre as notificações e o sistema especializado, sempre há feedback. A lista de pesos hoje é preenchida por centenas de critérios, que são ajustados e reajustados regularmente por nossos analistas; desse modo, a própria lista é atualizada. Basicamente, a lista representa uma grande parte do conhecimento de um analista de segurança qualificado – um conjunto de regras sob o qual o malware tem uma boa chance de ser detectado.

No último estágio, o Astraea retorna sua classificação calculada para o KSN, onde ela se torna acessível a todos os usuários de nossos produtos e, dessa forma, a cadeia se fecha. Além do mais, quanto maior a base de estatísticas, maior a probabilidade de revelação e supressão de novos surtos de malware.

Graças às estatísticas que temos sobre o comportamento de malware nos computadores dos usuários, o Astraea sabe tudo sobre características de malware – como a ausência de assinaturas digitais, presença na inicialização automática, uso de certos compactadores etc. E quando o Astraea começa a receber notificações indicando que novos arquivos têm características de malware, ele reduz a classificação de “autorização” desses arquivos de acordo com os dados acumulados. Em virtude disso, quando a classificação de arquivos atinge um limite crítico, o sistema os marca como mal-intencionados, produz as assinaturas necessárias e transfere essas assinaturas aos usuários via KSN. E tudo isso é completamente automático!

De modo semelhante, o sistema realiza uma pesquisa preventiva de sites mal-intencionados e detecta características semelhantes a hosts mal-intencionados revelados antes ou sites que fingem ser legítimos. Aqui também há muitos critérios; por exemplo, concorrência de endereços de e-mail ou o nome do proprietário, a data de registro da característica, a presença de arquivos não confiáveis no host etc.

O importante aqui é que o sistema não calcula simplesmente as classificações de arquivos e sites; ele as correlaciona para obter vereditos mais precisos. Assim, é lógico assumir que um arquivo baixado de um site que foi indicado antes na distribuição de malware receberá uma classificação mais baixa que um arquivo baixado de um site “limpo”.

Isso sem falar que o Astraea salva todo o histórico de interação com o KSN, o que nos ajuda a reagir a um surto no momento em que ele começa a localizar sua fonte primária, além de rastrear seu desenvolvimento – no tempo e na região geográfica (em quais países). Além disso, esses dados podem ser usados (i) para criar relatórios específicos e analisar tendências de praticamente qualquer nível de personalização – “tops” diferentes por países, hosts, arquivos, famílias de malware etc. (além de relatórios de referência cruzada); (ii) para prever o desenvolvimento da atividade de crimes cibernéticos no perfil de ataques em setores diferentes e (iii) para previsões de tempo de crescimento de produtos mal-intencionados em seus respectivos perfis de comportamento e plataformas de ataque.

Mas há mais!

Astraea também é um sistema de detecção proativa. Ou seja, ele pode detectar não só ameaças já conhecidas, como também ameaças planejadas que ainda aparecem apenas nas cabeças dos autores de vírus! De posse de um enorme banco de dados sobre como o malware se comporta no mundo real, podemos elaborar modelos de comportamento e adicioná-los ao KSN também. O tempo de reação a novas ameaças atualmente é de 40 segundos; mas com a abordagem proativa ele será igual a zero!

Outra vantagem do Astraea: minimização de falsos positivos.

Por outro lado, o sistema funciona com uma base estatística gigantesca e um modelo matemático altamente afiado, que juntos permitem reduzir a quantidade de detecções falsas a um nível mínimo. Desde 2010, quando o Astraea entrou no campo de batalha, nossos especialistas não conseguem se lembrar de um único incidente mais ou menos significativo.

Ainda assim, um mecanismo de controle do fator humano foi incorporado ao sistema. Ele verifica automaticamente “on the fly” cada tentativa de um analista de segurança de adicionar uma nova entrada à lista negra ou à lista de permissões.

Alguns exemplos simples:

O arquivo “ABC” está na lista de arquivos limpos (lista de permissões), mas de repente o Astraea recebe uma notificação informando que nosso produto encontrou um cavalo de Troia nele. O sistema encontra uma assinatura falsa, sinaliza-a como falso positivo e inicia o processo de testar e corrigir a detecção.

Ou: um analista de segurança apressado (ou de ressaca) adiciona o arquivo “XYZ” à lista negra. No entanto, o arquivo já está na lista de permissões. O sistema diz ao analista que ele provavelmente esteve trabalhando demais (ou bebeu demais na noite passada) e não permite a adição da nova entrada até o conflito ser resolvido.

Na verdade, o Astraea como um todo é um sistema que está se expandindo o tempo todo e há simplesmente muitos exemplos disso para descrever aqui.

Com o Astraea, o que fazemos é “cavar” ativa e profundamente. Nós modernizamos o modelo matemático de análise de dados, adicionamos critérios novos e reavaliamos os existentes, introduzimos novas tecnologias para elevar a velocidade e a qualidade da localização de ameaças e colocamos em operação sistemas adjacentes para criar correlações complexas. Em geral, nossos planos, como usual, são ambiciosos e abrangentes, mas isso não pode ser uma coisa ruim. E como estamos em um pico de trolagem de patente, patenteamos regularmente esses fragmentos interessantes. Além dos já patenteados, temos a minimização de falsos positivos, avisos sobre surtos de vírus e detecção de ameaças antes desconhecidas.

No comments yet... Be the first to leave a reply!

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: