Descoberta de pesquisador da Trustwave Brasil torna mais simples e automática proteção contra ataques maliciosos
Em uma iniciativa inédita no mundo, um pesquisador brasileiro da Trustwave, empresa multinacional, líder em segurança da informação e soluções de conformidade com padrões de segurança, está investigando a análise de cabeçalhos HTTP (Protocolo de Transferência de Hipertexto) como nova alternativa para a detecção de tráfego malicioso na Internet e na comunicação de máquinas infectadas por sites baseados em servidores C&C (Command and Control Server).
O método é muito mais simples que o convencional e abre, na prática, um novo capítulo na proteção contra o crime cibernético, por ampliar os níveis de automação na detecção das ameaças.
O pesquisador Rodrigo Montoro, que integra o SpiderLabs – grupo de inteligência avançada da Trustwave – é o propositor e responsável pela coordenação do projeto. No momento, Rodrigo trabalha com uma equipe integrada por pesquisadores de várias partes do mundo para aprofundamento e evolução da descoberta.
De acordo com o especialista, a análise dos cabeçalhos abre grandes possibilidades de se cobrir uma importante janela de vulnerabilidade no uso da Internet. “Por ser um dos alicerces da Web, interligando computadores e sites, o protocolo HTTP está presente em toda parte, fazendo com que enormes quantidades de malwares se aproveitem deste tipo de tráfego”, nota ele, lembrando que, a cada segundo, surge um novo malware que é gerado e espalhado na rede global.
“O exame dos cabeçalhos HTTP representa um passo à frente na área de segurança da informação e uma maneira muito mais eficaz e direta de se detectar ameaças que a tradicional análise de tráfego na Web”, afirma ele.
Conforme Montoro, as conexões maliciosas tendem a ocasionar comportamentos diferentes no tráfego HTTP. Elas costumam, por exemplo, reutilizar códigos compartilhados e, freqüentemente, empregam tipos de cabeçalho de características incomuns ou claramente fraudulentas, o que serve de importante indício de tráfego malicioso. Em testes preliminares com tráfegos maliciosos conhecidos, a equipe da Trustwave analisou 6.127 canais de fluxo de dados (“streams”) e o sistema de scoring foi capaz de detectar precisamente 89,1% dos sites que estavam liberando algum tipo de tráfego infectante. O sistema teve uma taxa de falso-positivo de cerca de 9% e o objetivo é reduzir este índice para menos de 2%.
Segundo Jarrett Benavidez, diretor da Trustwave para o Brasil e América Latina, após a fase de testes de prova, os resultados da pesquisa deverão desembocar na oferta de um filtro de conteúdo na Web ou então poderão gerar um novo recurso a ser integrado às soluções WAF (Firewall de Aplicações Web) que são desenvolvidas pela empresa.
“Depois de concluído o projeto, deveremos agregar essa nova técnica de detecção ao portfólio da Trustwave, de sorte a resguardar várias frentes de ameaças e ampliar a proteção dos usuários” comenta Luiz Eduardo dos Santos, diretor do SpiderLabs para o Brasil e América Latina.
Com a apresentação desta descoberta, Rodrigo Montoro vem chamando a atenção da comunidade internacional de segurança, tendo sido um dos destaques da última conferência SecTOR, no Canadá, uma das mais prestigiadas do mundo. A apresentação foi também um dos pontos altos da Silver Bullet Conference Brazil, que reuniu, em novembro, os maiores especialistas do Brasil e de diversas partes do mundo.
Nenhum comentário:
Postar um comentário