Entrevista


Qual é a solução de segurança ideal para sua empresa?

Esta entrevista foi visualizada 15674 vezes.

Publicado em 02/10/2012 às 14:31

Versão para impressão Enviar por email



Por Rafael Peregrino da Silva, diretor da Linux Magazine


Linux Magazine » Fale um pouco mais sobre a solução que a Sourcefire está apresentando, como funciona essa tecnologia?


Alfred Huger » Eu venho de uma empresa adquirida pela Sourcefire há pouco mais de um ano, chamada Immunet, que ajudei a fundar. Ela foi criada como uma empresa para análise de grandes volumes de dados, a famosa big data. A razão que nos levou a criar a Immunet foi nossa própria experiência pessoal. Éramos poucos na empresa, e todos já havíamos trabalhado na construção de software para as grandes empresas de segurança, como a Symantec e a McAfee, e começamos a perceber que as soluções em campo hoje possuem alguns problemas-chave que as tornam menos efetivas do que poderiam. A principal delas é a necessidade (algumas vezes forçada) de que esses softwares operem decisões isoladamente, sendo desta forma tão inteligente quanto a última atualização de definições e lógica que recebeu. O problema é que as ameaças hoje movem-se muito mais rápido do que as atualizações oferecidas pelas empresas.


Produtos que dependem de dados recentes estão sofrendo pelo fato de serem lentos demais, e por apenas operarem decisões baseadas em conhecimento próprio. Esta informação que possuem é muito limitada, pois é fornecida com o objetivo de solucionar um problema que não acreditamos ser solucionável. De uma forma geral, pensamos que o problema de malware é, em termos científicos e matemáticos, NP-completo—e isso significa que não é solucionável. Porém, a indústria está focada em tentar solucionar o problema alcançando a marca de 100%, mas sem sucesso.


Contudo, ainda pensamos que a maneira como estão tentando solucionar o problema, apenas de uma perspectiva de detecção, é míope. Concentra-se em técnicas e métodos que já estão ultrapassados há 25 anos, como detecção baseada em assinaturas. Todas estas tecnologias tem um lugar, uma função. Acreditamos que concentrar-se na detecção é olhar para a direção errada, ou seja, não observar tudo o que há no entorno. A detecção é uma parte do problema; a outra parte é que essas soluções irão falhar, e já falham, se procurarmos fazer com que funcionem da forma com que o departamento de marketing afirmou que funcionariam. Números como 100% de detecção baseiam-se em dados falsos.


Sob a perspectiva da detecção, acreditamos que é necessária uma visão mais ampla e um entendimento maior do que esteja ocorrendo, não apenas em uma ponta do processo, mas em todos os computadores de uma rede. Se puder visualizar todo esse comportamento em detalhes, até o nível dos arquivos em cada máquina, por toda minha rede poderei fazer conclusões mais fácil e rapidamente. Um exemplo: se baixo um arquivo para um computador, e a primeira coisa que acontece é o desligamento do antivírus, posso ver esta ação acontecendo daqui e em tempo real, o que me permite concluir que se visse o arquivo novamente deveria tratá-lo como ruim, uma vez que desativará as proteções da minha rede. Ao vermos as coisas isoladamente perdemos essa capacidade de análise.


Queríamos construir um sistema que pudesse receber uma grande quantidade de dados de eventos, em particular eventos atomizados de segurança. Esta era a primeira parte do problema: obter estes dados e armazená-los. A segunda parte era torná-la curável (curable) para sermos capazes de lidar e manipular os dados uma vez que estivessem no servidor, para que pudéssemos chegar às conclusões de segurança que comentei anteriormente. O que o Immunet tinha era uma plataforma construída sobre tecnologias em código aberto, a única que julgamos capaz de conseguir isso, por ser suficientemente grande para lidar com dados de segurança. O primeiro produto que agregamos a esta plataforma foi uma solução de antivírus. Há uma grande variedade de soluções que podíamos ter associado à plataforma, mas utilizamos o antivírus por ser o produto que conhecíamos.


Então construímos um sistema que recebe bilhões de eventos por dia e é capaz de criar algum sentido com tudo isto, aonde o usuário pode consultar por dados consolidados e literalmente fazer perguntas ao sistema; algo como uma grande base de dados em tempo real que nos permitisse chegar a conclusões sobre questões de malware.


Quando fomos comprados pela Sourcefire decidimos levar esta plataforma para o mercado empresarial. Consequentemente decidimos que não desejaríamos criar um antivírus. O problema não residia na forma como são feitos por si, apenas acreditávamos que um antivírus não seria uma solução, pois não haveria um resultado binário para isso. Queríamos construir uma solução mais completa, não destarcando o antivírus, já que ele não pode ser evitado contra ameaças antigas. Já para as novas ameaças, deixo que grupos de avaliação independentes comentem sobre os números, como as austríacas AV-TEST e AV-Comparatives, que estabelecem a taxa média de detecção para novos malwares em 42%. As pessoas que escrevem malware possuem software de antivírus e escrevem estes programas para venda no mercado; ninguém compraria um malware que pode ser detectado, ainda mais os clientes para quem eles vendem. Mesmo com estas considerações, não queríamos abandonar a detecção, pois haviam coisas que gostaríamos de fazer com big data que nos ajudariam muito, com a possibilidade de olhar para o macrocosmo da rede e a capacidade de realmente compreendermos de onde um determinado arquivo malicioso vem; e não digo na Internet, mas sim onde este arquivo foi criado fisicamente. Existem aspectos no sistema que permite que identifiquemos ameaças.


Queríamos construir algo que preenchesse esta lacuna, algo que fosse realista em relação às ameaças por malware, em que temos que assumir que o usuário será infectado. Todas as empresas que possuem programas de antivírus também têm vírus em seus sistemas, mas o que fazer? Criamos um software chamado FireAmp, um cliente baseado em um thin-kernel que vive nas pontas da rede, e recebe toda sua telemetria e diretrizes de tomada de decisão de nossa central de dados, envia e recebe informações, e faz duas coisas que pensamos estar ausentes em softwares para combater malwares. A primeira é oferecer uma maior visibilidade. Hoje nossos clientes empresariais realmente necessitam de visibilidade sobre aplicativos maliciosos, especificamente sobre seu próprio mundo, não de outro lugar qualquer. A outra coisa é controle. Hoje estamos praticamente casados com fornecedores de antivírus, seja esse controle bom, mal ou indiferente. É sempre algo complicado.


No campo da visibilidade, queremos ser capazes de responder questões simples como “se um arquivo foi encontrado, onde mais ele está?” Se um vírus foi descoberto em uma determinada máquina, e em nenhum outro lugar, temos que ser capazes de saber quem mais possui esse arquivo. Porque se seus produtos de segurança convencionais não foram capazes de encontrá-lo individualmente em todas as máquinas, será impossível controlar esta ameaça. Então queremos ser capazes de registrar cada lugar dentro de uma infraestrutura por onde este arquivo tenha passado. O mesmo vale para processos de sistema. Além disso, também queremos ser capazes de determinar de onde veio este arquivo e como ele foi parar em cada sistema em que estiver presente. Isso nos permitirá localizar qual outro software foi responsável por trazer o malware ao ambiente.


O Snort trabalha com a camada de rede muito bem, e é capaz de impedir endereços que estão servindo malwares e tentando explorar vulnerabilidades do sistema. Porém, os locais que servem malwares são efêmeros, têm pouco tempo de vida, e algo que é consistente e sempre presente é o fato de que algo no computador do usuário foi o responsável por trazer este malware para o sistema. Isto também é algo que queremos ser capazes de identificar: a quem pertence, como chegou lá e quando chegou. Outro recurso é também a apresentação de um mapa de cada sistema figurando desde o primeiro a obter este arquivo, explicitando quando e como chegou ao sistema, e com todos os outros pelos quais este software passou, detalhando também “quandos” e “comos”. E já que somos capazes de fazer isso, também podemos explicitar tudo que este arquivo fez aos diferentes sistemas, todos os arquivos que baixou e criou, todos os processos que iniciou, comandos que executou, conexões de rede que negociou. Um ciclo completo de seu comportamento.


E isso é necessário em uma empresa, em que podemos ter dezenas de milhares de computadores operando em rede, e o número de problemas é certamente muito maior do que o de mãos para resolvê-los, o que pressupõe que nem tudo será consertado ao mesmo tempo. Então é preciso compreender o exato nível de exposição que existe quando se tenta resolver este problema. Nossa meta é ajudar com as conclusões; se conseguimos fazer isso também podemos oferecer controle sobre qual será a reação dos nossos aplicativos de segurança e pela rede. Se aquele arquivo é inofensivo, ótimo. Se não, ele deve ser tratado como um vírus. Se estiver em um meio termo, desligue-o. Oferecemos tratamento instrumental sobre cada tipo de arquivo.


Hoje, se encontramos um arquivo em uma infraestrutura que conseguiu iludir todas as camadas de segurança, devemos enviá-lo para o fornecedor (ou fornecedores) de aplicativos de segurança, questioná-los sobre sua natureza e pedir por proteção. Isto dá início a um ciclo que pode levar semanas ou mesmo tempo indeterminado, tudo depende se o usuário estiver pagando pelo contrato de suporte mais caro que é oferecido.


LM » Quando falamos sobre malware, falamos essencialmente sobre vírus? Ou estamos incluindo também outras ameaças, como //rootkits, exploração de vulnerabilidades e outras ameaças?//


AH » Refiro-me a qualquer arquivo executável que os administradores de sistema não desejam na rede.


LM » Qual é a abrangência das plataformas suportadas por esta solução? É possível executá-la em Linux, Unix e ambientes virtualizados?


AH » Estamos distribuindo o produto para todas as plataformas Windows, com a exceção do Windows CE, e também estamos preparando uma versão beta para o servidor ESX da VMware, que vai suportar vdi e instalações de servidores no ESX através do vCenter, e ao longo do ano também esperamos expandir nossa oferta para outras plataformas. Em última instância tudo que lida com arquivos poderá ser conectado à nossa solução.


LM » Existe hoje uma tendência em exploração de vulnerabilidades para escalamento de privilégios que tentam sair de dentro dos ambientes virtualizados para o hypervisor. Existe uma previsão para oferecer proteção contra este comportamento?


AH » Claro, posso até oferecer um exemplo neste caso: provavelmente, 60% de todo os malwares já executam rotinas para determinar se estão sendo executados em um ambiente virtualizado. Se a resposta for positiva, ele se comportará de forma distinta. Estamos sim acompanhando este processo, já que estamos em um momento do mercado em que existe uma migração em massa para ambientes virtualizados, e pessoas que escrevem malwares sabem disso.


Da perspectiva destes desenvolvedores de aplicativos maliciosos, eles necessariamente não se preocupam se é um ambiente virtualizado ou não, desde que consigam por as mãos no que desejam. E muitas vezes eles não conseguem, já que ambientes virtualizados têm vida muito curta e dificilmente os desenvolvedores possuem qualquer informação crítica neles. Mas tentam modificar o software para tirar vantagem disso. Então temos acompanhado esta mudança para tentativas de quebrar os limites de ambientes virtualizados e chegar à camada do hypervisor e penso que isso é apenas o começo, veremos ainda muitos malwares tentando fazer isso. Já faz aproximadamente seis meses que conversei com quatro ou cinco clientes que possuem mais de cem mil sistemas operando de forma virtualizada.


LM » Você comentou sobre seu produto funcionar com a plataforma da VMware, vocês pensam em oferecer algum suporte para produtos da Citrix?


AH » Não temos nenhum plano divulgado ainda neste sentido. A VMware atualmente expõe suas APIs para nós, que permite que tenhamos acesso à entrada e saída de arquivos no hypervisor, que torna possível que nosso aplicativo faça seu trabalho. A solução trabalha nos níveis superiores do sistema, é estabelecida no kernel Windows e assiste todas as entradas e saídas de arquivos. O aplicativo realiza um cache de toda a entrada e saída em um sistema que é bem similar ao memcache, então criamos um sistema de cache com três diferentes camadas, usamos LRU e ele deduz quais destas coisas presentes no cache devem ser enviadas para nossa nuvem. A solução é rápida e detalhada, mas para que o produto funcione precisa deste acesso; para que funcione muito bem, precisamos que tenham acesso de baixo nível, o que a VMware nos dá. Claro, a solução da Citrix, Xen, está em código aberto, e também o KVM, então imagino que pode ser conectado à nossa plataforma facilmente.


LM » O Brasil é mundialmente conhecido como uma das origens mais comuns de ataques. Quais são suas impressões sobre o mercado e o estado da segurança digital no Brasil e na América Latina?


AH » Minha perspectiva de trabalho está relacionada a softwares maliciosos (malware) e vírus e, sob este ângulo, o Brasil hoje está no palco principal; é um local bem movimentado. Alguns dos malwares mais avançados com que nos deparamos vêm do Brasil. Existem duas fontes de malwares de ponta no mundo, a Europa Oriental e o Brasil. E como o Brasil possui uma grande e forte adoção de tecnologias que envolvem o uso da rede, como o Internet Banking, do que o resto do Ocidente, existe uma tendência para encontrarmos linhagens mais avançadas de softwares destinados para roubar informações. O Brasil é um inovador de tecnologia nesta área.


De uma perspectiva da indústria, grande parte da inovação que vemos hoje está nos pontos finais de comunicação, em especial no que diz respeito ao sistema operacional Windows. De uma perspectiva de desenvolvedores de antimalware, boa parte do nosso foco é tentar trabalhar com tecnologias que vêm do Brasil, no sentido negativo da palavra, como contra keylogging e ataques man-in-the-middle. Coisas como estas são bem específicas para capturar dados de transações bancárias realizadas pela rede. O software que construímos trabalha neste espaço de ação.


Comentários

lançamento!

LM 119 | Backup e Restauração




Impressa esgotada
Comprar Digital  R$ 10,90 Digital

  1. Baixe o curso de shell script do Julio Cezar Neves

    Publicado em 07/04/2008 às 19:41 | 433275 leituras

  1. Soluti Certificação Digital em busca de especialista Linux

    Publicado em 19/04/2017 às 17:18 | 308031 leituras

  1. Seminário sobre gestão de privilégios do Linux dá direito a certificado CPE

    Publicado em 23/05/2017 às 10:35 | 223283 leituras

  1. Resultado do concurso "Por que eu mereço ganhar um netbook?"

    Publicado em 30/09/2009 às 3:00 | 184914 leituras

  1. Software público brasileiro na Linux Magazine Especial

    Publicado em 29/07/2011 às 15:07 | 163275 leituras

  1. Fazer cópias de arquivos digitais sem autorização não é crime

    Publicado em 27/05/2014 às 13:04 | 6011 leituras

  1. Red Hat Enterprise Virtualization 3.1 não é mais dependente do Windows

    Publicado em 06/12/2012 às 14:14 | 10968 leituras

  1. Primeiro candidato de versão do Samba 4

    Publicado em 14/09/2012 às 12:06 | 11418 leituras

  1. Google Earth ganha nova versão para Android

    Publicado em 24/08/2010 às 14:48 | 7913 leituras

  1. Cisco anunciou sua própria distribuição OpenStack

    Publicado em 18/10/2012 às 15:29 | 10677 leituras

whitepapers

mais whitepapers