A SonicWall, parceira confiável de segurança que protege mais de 1 milhão de redes em todo o mundo, revelou que um novo mecanismo do Capture Cloud descobriu centenas de novas variantes de malware que não foram vistas anteriormente pela tecnologia sandboxing. Através do uso de tecnologia de patente pendente não anunciada anteriormente, os pesquisadores de segurança da SonicWall Capture Labs criaram um método avançado para identificar e mitigar as ameaças através da inspeção profunda de memória – tudo em tempo real.
“Os atores maliciosos estiveram tão à frente do jogo que conseguiram criar malwares altamente evasivos, sem nem mesmo a grande indústria ficar sabendo”, disse Bill Conner, presidente e CEO da SonicWall. “Esta nova tecnologia de inspeção profunda de memória em tempo real, juntamente com mais de uma década de experiência em aprendizagem em máquina, ajudará a nivelar o campo de jogo e eliminar alguns dos vetores de ataque mais desafiadores. O novo mecanismo é a mais recente adição à nossa plataforma Capture Cloud que reforça nossa posição de liderança “.
A nova tecnologia e mecanismo de inspeção profunda de memória em tempo real da SonicWall Capture Cloud (Real-Time Deep Memory Inspection Technology, ou RTDMI ™) está em operação há meses e está descobrindo centenas de linhas de malware não detectadas pela tecnologia sandboxing.
“Esta é uma revolução em engenharia, execução e inovação”, disse o General Michael Hayden, diretor do Chertoff Group, uma empresa de consultoria global focada em segurança e gerenciamento de riscos. “Introduzir esta tecnologia nos estágios relativamente iniciais desses ataques avançados é uma grande vitória para o setor de segurança, bem como para os setores público e privado”.
A SonicWall está apresentando esta nova tecnologia para fortalecer a plataforma automatizada de detecção e prevenção de brechas em tempo real da empresa. O SonicWall RTDMI é uma tecnologia de patente pendente e processo utilizado pela SonicWall Capture Cloud para identificar e mitigar até mesmo as ameaças modernas mais traiçoeiras, incluindo futuros agentes espiões (exploits). A nova tecnologia RTDMI:
- Detecta e bloqueia proativamente malwares desconhecidos do grande mercado através de inspeção profunda de memória em tempo real
- Detecta e bloqueia malwares que não exibem nenhum comportamento malicioso, e oculta seu armamento através de criptografia personalizada
- Força o malware a “revelar” o seu armamento na memória
- Identifica e mitiga ataques sofisticados onde o armamento é exposto em menos de 100 nanosegundos
Mitigando o Meltdown
Em 3 de janeiro, uma nova vulnerabilidade do processador, conhecida como Meltdown, foi publicada pela equipe de segurança do Google Project Zero. Abordamos esta vulnerabilidade aqui nosso blog, em um outro artigo.
Os pesquisadores de ameaça da SonicWall Capture Labs validaram que a tecnologia SonicWall RTDMI também é eficaz contra futuras explorações construídas com a vulnerabilidade Meltdown, através da análise em tempo real do mecanismo de instruções e uso de memória.
Como funciona a inspeção profunda de memória em tempo real da SonicWall
A SonicWall implantou o mecanismo RTDMI na plataforma SonicWall Capture Cloud e está alavancando a tecnologia para suportar a plataforma de segurança em camadas da SonicWall, que inclui firewalls de próxima geração, segurança de rede sem fio, segurança de e-mail, ofertas seguras de acesso móvel e remoto, bem como nuvem e soluções IoT (Internet das coisas).
A tecnologia RTDMI da SonicWall detecta e bloqueia malware que não exibe nenhum comportamento malicioso e oculta seu armamento através de criptografia. Ao forçar o malware a revelar suas armas na memória, o mecanismo RTDMI detecta e bloqueia proativamente ameaças de mercado de massa, ameaças de dia zero e malware desconhecido.
Os mecanismos da sandbox executam arquivos em um ambiente virtual, registram a atividade resultante e, após a execução, buscam e tentam correlacionar o comportamento malicioso. A correlação e a pontuação dessas atividades e comportamentos são propensas a falsos positivos e falsos negativos.
Os modernos criadores de malware implementam técnicas avançadas, incluindo criptografia personalizada, ofuscação e “empacotamento”, além de agirem de maneira benigna dentro dos ambientes sandbox, para permitir que o comportamento malicioso permaneça oculto. Essas técnicas muitas vezes escondem o armamento mais sofisticado, que é apenas exposto quando executado dinamicamente e, na maioria dos casos, é impossível ser analisado em tempo real usando técnicas de detecção estática.
Os pesquisadores da SonicWall Capture Labs alavancaram uma variedade de técnicas de aprendizado profundo para analisar blocos de código de centenas de terabytes de malware e metadados de alta qualidade relacionados de recursos extraídos, e essas idéias combinadas resultaram na solução RTDMI.
“As técnicas sandbox muitas vezes são ineficazes ao analisar o malware mais moderno. A tecnologia RTDMI da SonicWall é muito rápida e precisa e pode mitigar ataques sofisticados onde o armamento mais protegido do malware é exposto em menos de 100 nanosegundos “, disse John Gmuender, Diretor Técnico de Tecnologia da SonicWall.
A evolução do DPI (Inspeção Profunda de Pacotes)
Em 2004, os pesquisadores da SonicWall Capture Labs foram pioneiros no uso da aprendizagem de máquinas para análise de ameaças, e esses insights e inovações levaram à tecnologia patenteada de Inspeção Profunda de Pacotes, sem necessidade de remontagem – com bloqueio em tempo real – resultando em uma solução com baixa latência, alto desempenho e sem restrições de memória. Hoje, a tecnologia de aprendizagem em máquina da SonicWall impulsiona a proteção fornecida pela plataforma Capture Cloud.
“Mais de uma década atrás, fomos pioneiros no uso de inspeção completa e profunda de pacotes para o setor de segurança, que mudou a velocidade e a eficácia para inspecionar e mitigar ameaças cibernéticas avançadas em tempo real”, disse Gmuender. “Juntamente com a nossa profunda experiência em aprendizagem de máquinas e inteligência artificial, nossos avanços na tecnologia de nuvem nos permitem expandir este valor rapidamente para nossos parceiros e clientes. E continuaremos a fazê-lo com a inovação futura na detecção e prevenção de ameaças. Combinando nossa profunda experiência em domínio de segurança com nossa experiência e inovação em Inteligência Artificial, continuamos a tomar a ofensiva na corrida de armas cibernéticas “.