SlideShare uma empresa Scribd logo

Symantec Advanced Threat Protection: Symantec Cynic

Symantec Brasil
Symantec Brasil

Symantec Advanced Threat Protection: Symantec Cynic O Cynic é um dinâmico serviço de análise de malware baseado na nuvem que fornece a capacidade de detectar ameaças avançadas. Ao contrário da maioria dos produtos de análise sandbox, cujo foco está em oferecer uma variedade de máquinas virtuais ou imagens específicas do cliente para detonar e detectar malware, o Cynic usa um conjunto de tecnologias de análise, combinado com nossa inteligência global e dados de análise para detectar com precisão o código malicioso. Através da realização da análise na nuvem, a Symantec pode oferecer um processamento mais detalhado em escala e com uma velocidade que não pode ser alcançada com uma implantação on-premise.

Apresentações relacionadas

Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"
Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"
Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"
 
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
 
Desafios Futuros e Oportunidades
Desafios Futuros e OportunidadesDesafios Futuros e Oportunidades
Desafios Futuros e Oportunidades
 
1 de 7
Baixar para ler offline
WHITEPAPER: SYMANTECCYNIC™ Symantec Advanced Threat Protection Symantec Cynic™ Quem deve ler este artigo Este white paper destina-se a CIOs, CISOs e profissionais de segurança responsáveis em proteger a sua organização contra ataques direcionados e ameaças avançadas. Este artigo apresenta uma visão geral da nova tecnologia Symantec Cynic™ introduzida e usada pelo Symantec Advanced Threat Protection.
Symantec Advanced Threat Protection: Symantec Cynic
Symantec™ Cynic™ Symantec Advanced Threat Protection Conteúdo Visão geral............................................................................................................................................................................................................... 1 Tecnologia Comprovada......................................................................................................................................................................................... 1 Detonação e Execução Virtual .............................................................................................................................................................................. 1 Resumo.................................................................................................................................................................................................................... 2
Symantec™ Cynic™ Symantec Advanced Threat Protection 1 Visão geral Atores de ameaças têm acesso fácil a ferramentas de desenvolvimento de malware que tornam mais barato e fácil para desenvolver malware direcionado e personalizado que não é detectado pelos sistemas de segurança tradicionais. Essas mesmas ferramentas também incluem recursos que permitem que o malware torne-se indetectável para os produtos sandbox mais populares, de tal forma que ao assinar o contrato de compra, o seu investimento em detecção de ameaças avançadas torna-se inútil, e os bandidos violam sua rede. A Symantec foi construída sobre a capacidade de identificar arquivos maliciosos em escala, e nosso objetivo é entregar o poder analítico da Symantec diretamente para sua organização através do Symantec Advanced Threat Protection. O Cynic é um dinâmico serviço de análise de malware baseado na nuvem que fornece a capacidade de detectar ameaças avançadas. Ao contrário da maioria dos produtos de análise sandbox, cujo foco está em oferecer uma variedade de máquinas virtuais ou imagens específicas do cliente para detonar e detectar malware, o Cynic usa um conjunto de tecnologias de análise, combinado com nossa inteligência global e dados de análise para detectar com precisão o código malicioso. Através da realização da análise na nuvem, a Symantec pode oferecer um processamento mais detalhado em escala e com uma velocidade que não pode ser alcançada com uma implantação on-premise. Tecnologia Comprovada Uma das tecnologias incluídas no Cynic é o Symantec Skeptic™. O Skeptic tem sido usado por mais de uma década dentro da plataforma Symantec™ Email Security.cloud, protegendo contra ameaças que não são detectadas por programas antivírus baseados em assinatura. A análise estática de código oferecido pelo Skeptic é indetectável pelos autores de malware e não pode ser contornada através de comportamentos de evasão de máquinas virtuais. Na verdade, devido aos anos de aprendizagem de máquinas acumulada dentro da tecnologia, quanto mais evasivo um programa se comporta, mais fácil é identificá-lo como um arquivo malicioso. A segunda tecnologia comprovada empregada pelo Cynic é o SONAR™. O SONAR é um sistema de análise comportamental que monitora arquivos enquanto são executados, comparando os comportamentos do programa aos comportamentos das bilhões de amostras maliciosas que a Symantec analisou ao longo dos anos. Ao contrário de assinaturas, o SONAR emprega perfis comportamentais e dados de reputação de arquivos para identificar com precisão os arquivos como benignos ou maliciosos. O nível de precisão fornecido pelo SONAR permite uma fácil comparação entre eventos de segurança de rede e endpoints, permitindo que os eventos relacionados de segurança sejam correlacionados e, quando apropriado, marcados como automaticamente resolvidos. Detonação e Execução Virtual A mais nova tecnologia incluída no Cynic é um sistema proprietário de execução virtual, também conhecido como um ambiente sandbox. Como outros sandboxes, este sistema emprega várias máquinas virtuais que utilizam diferentes sistemas operacionais. Nestas máquinas virtuais, a Symantec utiliza componentes do Symantec Workspace Virtualization™, desenvolvido pela Altiris Technology, para mudar várias aplicações nas máquinas virtuais e verificar se as aplicações estão sendo exploradas e se existem ataques direcionados únicos. Para cada sistema operacional, a Symantec é capaz de mudar rapidamente as versões das aplicações que frequentemente são alvos, tais como Java™, Adobe Acrobat Reader™ e Microsoft Office™, para rapidamente avaliar arquivos entre plataformas diferentes. O componente de análise incluído neste sistema se beneficia da Symantec Global Intelligence Network, que permite a execução baseada em telemetria e condenação de ameaças avançadas. Além disso, a Symantec pode fornecer uma visão única sobre os atores de ameaças, utilizando as trilhões de linhas de análise e telemetria para associar novas ameaças com aquelas anteriormente ligadas a adversários conhecidos.
Symantec™ Cynic™ Symantec Advanced Threat Protection 2 Tal como acontece com todos os outros métodos de detecção baseados em sandbox disponíveis neste espaço, o sistema de execução virtual Symantec estará sujeito a detecção por código de malware. Entre agosto de 2014 e abril de 2015, a Symantec observou um aumento em malware que identifica um hypervisor de 18% para 28%1 , mostrando que os autores de malware estão tentando evitar a detecção de sandbox. Por esta razão, o Cynic inclui uma camada adicional de análise no hardware físico. Esta camada é empregada para exemplos de malware que tentam verificar se estão sendo analisados em um hipervisor. Quando o malware detecta que está sendo executado em uma máquina virtual, às vezes ele não fará nada, na esperança de passar despercebido. Ou pior, ele irá se comportar de forma diferente do que faria em uma máquina física, enganando assim os responsáveis pela resposta a incidentes que podem estar procurando por evidências de comprometimento. O Cynic compara os resultados da análise virtual com os resultados da análise física para certificar-se de que os indicadores descobertos são os mais úteis para a detecção da ameaça. Resumo A análise multidimensional da Symantec é um verdadeiro ambiente de execução de próxima geração. O Cynic pega os resultados de todas essas tecnologias e fornece os resultados de análise e decisão para você, juntamente com informações valiosas de ameaças que a Symantec tem sobre a amostra, para lhe dar a informação que você precisa para tomada de ações. Atualmente, o Cynic é capaz de processar todos os tipos de arquivos executáveis do Windows, assim como Java, PDF, documentos do Microsoft Office e arquivos recipientes, como o ZIP. A detonação e análise ocorrem no Windows XP e Windows 7, em plataformas de 32 e 64 bits. Tipos de arquivos adicionais e cobertura de sistemas operacionais serão adicionados ao longo do tempo. 1 - Symantec Internet Security Threat Report, volume 20
Symantec Advanced Threat Protection: Symantec Cynic
Symantec™ Cynic™ Symantec Advanced Threat Protection Sobre a Symantec A Symantec Corporation (Nasdaq: SYMC) é líder em proteção das informações e ajuda as pessoas, empresas e governos que buscam a liberdade para desbloquear as oportunidades que a tecnologia traz - a qualquer hora e em qualquer lugar. Fundada em abril de 1982, a Symantec, uma empresa da Fortune 500, opera uma das maiores redes de inteligência de dados globais e proporciona segurança, backup e soluções de disponibilidade para onde a informação vital é armazenada, acessada e compartilhada. A empresa possui mais de 20.000 colaboradores em mais de 50 países. Noventa e nove por cento das empresas da Fortune 500 são clientes da Symantec. No ano fiscal de 2014, a empresa registrou uma receita de $6.7 bilhões. Para saber mais acesse www.symantec. com ou conecte-se com a Symantec no site: go.symantec.com/socialmedia. Para escritórios regionais e números de contato específicos, por favor visite nosso website. Sede Mundial da Symantec 350 Ellis St. Mountain View, CA 94043 USA +1 (650) 527 8000 1 (800) 721 3934 www.symantec.com Copyright © 2014 Symantec Corporation. Todos os direitos reservados. A Symantec, o logo da Symantec e o logo da Checkmark são marcas registradas ou marcas comerciais registradas da Symantec Corporation ou de suas afiliadas nos EUA e em outros países. Outros nomes podem ser marcas registradas de seus respectivos proprietários. 05/2015

Mais conteúdo relacionado

Symantec Advanced Threat Protection: Symantec Cynic

  • 1. WHITEPAPER: SYMANTECCYNIC™ Symantec Advanced Threat Protection Symantec Cynic™ Quem deve ler este artigo Este white paper destina-se a CIOs, CISOs e profissionais de segurança responsáveis em proteger a sua organização contra ataques direcionados e ameaças avançadas. Este artigo apresenta uma visão geral da nova tecnologia Symantec Cynic™ introduzida e usada pelo Symantec Advanced Threat Protection.
  • 3. Symantec™ Cynic™ Symantec Advanced Threat Protection Conteúdo Visão geral............................................................................................................................................................................................................... 1 Tecnologia Comprovada......................................................................................................................................................................................... 1 Detonação e Execução Virtual .............................................................................................................................................................................. 1 Resumo.................................................................................................................................................................................................................... 2
  • 4. Symantec™ Cynic™ Symantec Advanced Threat Protection 1 Visão geral Atores de ameaças têm acesso fácil a ferramentas de desenvolvimento de malware que tornam mais barato e fácil para desenvolver malware direcionado e personalizado que não é detectado pelos sistemas de segurança tradicionais. Essas mesmas ferramentas também incluem recursos que permitem que o malware torne-se indetectável para os produtos sandbox mais populares, de tal forma que ao assinar o contrato de compra, o seu investimento em detecção de ameaças avançadas torna-se inútil, e os bandidos violam sua rede. A Symantec foi construída sobre a capacidade de identificar arquivos maliciosos em escala, e nosso objetivo é entregar o poder analítico da Symantec diretamente para sua organização através do Symantec Advanced Threat Protection. O Cynic é um dinâmico serviço de análise de malware baseado na nuvem que fornece a capacidade de detectar ameaças avançadas. Ao contrário da maioria dos produtos de análise sandbox, cujo foco está em oferecer uma variedade de máquinas virtuais ou imagens específicas do cliente para detonar e detectar malware, o Cynic usa um conjunto de tecnologias de análise, combinado com nossa inteligência global e dados de análise para detectar com precisão o código malicioso. Através da realização da análise na nuvem, a Symantec pode oferecer um processamento mais detalhado em escala e com uma velocidade que não pode ser alcançada com uma implantação on-premise. Tecnologia Comprovada Uma das tecnologias incluídas no Cynic é o Symantec Skeptic™. O Skeptic tem sido usado por mais de uma década dentro da plataforma Symantec™ Email Security.cloud, protegendo contra ameaças que não são detectadas por programas antivírus baseados em assinatura. A análise estática de código oferecido pelo Skeptic é indetectável pelos autores de malware e não pode ser contornada através de comportamentos de evasão de máquinas virtuais. Na verdade, devido aos anos de aprendizagem de máquinas acumulada dentro da tecnologia, quanto mais evasivo um programa se comporta, mais fácil é identificá-lo como um arquivo malicioso. A segunda tecnologia comprovada empregada pelo Cynic é o SONAR™. O SONAR é um sistema de análise comportamental que monitora arquivos enquanto são executados, comparando os comportamentos do programa aos comportamentos das bilhões de amostras maliciosas que a Symantec analisou ao longo dos anos. Ao contrário de assinaturas, o SONAR emprega perfis comportamentais e dados de reputação de arquivos para identificar com precisão os arquivos como benignos ou maliciosos. O nível de precisão fornecido pelo SONAR permite uma fácil comparação entre eventos de segurança de rede e endpoints, permitindo que os eventos relacionados de segurança sejam correlacionados e, quando apropriado, marcados como automaticamente resolvidos. Detonação e Execução Virtual A mais nova tecnologia incluída no Cynic é um sistema proprietário de execução virtual, também conhecido como um ambiente sandbox. Como outros sandboxes, este sistema emprega várias máquinas virtuais que utilizam diferentes sistemas operacionais. Nestas máquinas virtuais, a Symantec utiliza componentes do Symantec Workspace Virtualization™, desenvolvido pela Altiris Technology, para mudar várias aplicações nas máquinas virtuais e verificar se as aplicações estão sendo exploradas e se existem ataques direcionados únicos. Para cada sistema operacional, a Symantec é capaz de mudar rapidamente as versões das aplicações que frequentemente são alvos, tais como Java™, Adobe Acrobat Reader™ e Microsoft Office™, para rapidamente avaliar arquivos entre plataformas diferentes. O componente de análise incluído neste sistema se beneficia da Symantec Global Intelligence Network, que permite a execução baseada em telemetria e condenação de ameaças avançadas. Além disso, a Symantec pode fornecer uma visão única sobre os atores de ameaças, utilizando as trilhões de linhas de análise e telemetria para associar novas ameaças com aquelas anteriormente ligadas a adversários conhecidos.
  • 5. Symantec™ Cynic™ Symantec Advanced Threat Protection 2 Tal como acontece com todos os outros métodos de detecção baseados em sandbox disponíveis neste espaço, o sistema de execução virtual Symantec estará sujeito a detecção por código de malware. Entre agosto de 2014 e abril de 2015, a Symantec observou um aumento em malware que identifica um hypervisor de 18% para 28%1 , mostrando que os autores de malware estão tentando evitar a detecção de sandbox. Por esta razão, o Cynic inclui uma camada adicional de análise no hardware físico. Esta camada é empregada para exemplos de malware que tentam verificar se estão sendo analisados em um hipervisor. Quando o malware detecta que está sendo executado em uma máquina virtual, às vezes ele não fará nada, na esperança de passar despercebido. Ou pior, ele irá se comportar de forma diferente do que faria em uma máquina física, enganando assim os responsáveis pela resposta a incidentes que podem estar procurando por evidências de comprometimento. O Cynic compara os resultados da análise virtual com os resultados da análise física para certificar-se de que os indicadores descobertos são os mais úteis para a detecção da ameaça. Resumo A análise multidimensional da Symantec é um verdadeiro ambiente de execução de próxima geração. O Cynic pega os resultados de todas essas tecnologias e fornece os resultados de análise e decisão para você, juntamente com informações valiosas de ameaças que a Symantec tem sobre a amostra, para lhe dar a informação que você precisa para tomada de ações. Atualmente, o Cynic é capaz de processar todos os tipos de arquivos executáveis do Windows, assim como Java, PDF, documentos do Microsoft Office e arquivos recipientes, como o ZIP. A detonação e análise ocorrem no Windows XP e Windows 7, em plataformas de 32 e 64 bits. Tipos de arquivos adicionais e cobertura de sistemas operacionais serão adicionados ao longo do tempo. 1 - Symantec Internet Security Threat Report, volume 20
  • 7. Symantec™ Cynic™ Symantec Advanced Threat Protection Sobre a Symantec A Symantec Corporation (Nasdaq: SYMC) é líder em proteção das informações e ajuda as pessoas, empresas e governos que buscam a liberdade para desbloquear as oportunidades que a tecnologia traz - a qualquer hora e em qualquer lugar. Fundada em abril de 1982, a Symantec, uma empresa da Fortune 500, opera uma das maiores redes de inteligência de dados globais e proporciona segurança, backup e soluções de disponibilidade para onde a informação vital é armazenada, acessada e compartilhada. A empresa possui mais de 20.000 colaboradores em mais de 50 países. Noventa e nove por cento das empresas da Fortune 500 são clientes da Symantec. No ano fiscal de 2014, a empresa registrou uma receita de $6.7 bilhões. Para saber mais acesse www.symantec. com ou conecte-se com a Symantec no site: go.symantec.com/socialmedia. Para escritórios regionais e números de contato específicos, por favor visite nosso website. Sede Mundial da Symantec 350 Ellis St. Mountain View, CA 94043 USA +1 (650) 527 8000 1 (800) 721 3934 www.symantec.com Copyright © 2014 Symantec Corporation. Todos os direitos reservados. A Symantec, o logo da Symantec e o logo da Checkmark são marcas registradas ou marcas comerciais registradas da Symantec Corporation ou de suas afiliadas nos EUA e em outros países. Outros nomes podem ser marcas registradas de seus respectivos proprietários. 05/2015