Entendo perfeitamente bem que para 95% de vocês esse post não terá nenhuma aplicação prática. Mas para os outros 5%, ele tem o potencial de simplificar muito a semana de trabalho (e vários fins de semana também). Em outras palavras, temos grandes notícias para os profissionais de cibersegurança – Equipes de SOC (Centros de Operação de Segurança), pesquisadores independentes e técnicos curiosos: as ferramentas que nossos pica-paus e o pessoal do GReAT usam no dia a dia para seguir criando a melhor pesquisa contra ciberameaças do mundo estão agora disponíveis para todos vocês gratuitamente na versão Lite do nosso Threat Intelligence Portal. Também carinhosamente chamado de TIP, adicioná-lo agora aos seus favoritos é obrigatório!
O Threat Intelligence Portal resolve dois problemas principais para os sobrecarregados especialistas de cibersegurança. Primeiro: “Qual dessas centenas de arquivos suspeitos devo escolher primeiro?”; Segundo: “Ok, meu antivírus diz que esse arquivo está seguro – e agora?”
Ao contrário dos clássicos – segurança para endpoint – produtos de qualidade que apontam diretamente se um arquivo é perigoso ou seguro, as ferramentas de análises construídas dentro do Threat Intelligence Portal dão informações detalhadas sobre o caráter suspeito de um arquivo e em quais aspectos específicos. E não apenas arquivos: hashes, endereços de IP e URLs podem ser analisados. Todos esses itens são verificados rapidamente por nossa nuvem e os resultados são entregues de bandeja: o que há de errado nos arquivos (se houver), quão rara é a ameaça, quais outros perigos são semelhantes, ainda que remotamente, quais ferramentas foram usadas para criá-la, e por aí vai. Além disso, arquivos executáveis são rodados em nossa patenteada sandbox, com os resultados em alguns minutos.
Já posso ouvir os 5% gritando “É apenas o VirusTotal”.
Sim – e não.
Por um lado, o objetivo é o mesmo: dar aos especialistas ferramentas adicionais para analisar concretamente um incidente e tomar uma decisão embasada. Por outro, nossa estratégia é completamente diferente
O VirusTotal foi concebido como um simples multiscanner que agrega vários motores de antivírus e o alimenta com arquivos disponibilizados pelos usuários. Por essa razão, a acusação “não detectou um arquivo x” muitas vezes recai em todos os fornecedores, incluindo a gente. No entanto, é mais assertivo dizer que nós não detectamos X com um scanner tradicional de arquivos. Como se verifica mais tarde, nós detectamos com sucesso utilizando outras ferramentas. Mas no VirusTotal você simplesmente não vê isso. Claro, ferramentas adicionais foram incluídas ao VirusTotal, mas o foco geral permanece em uma ampla cobertura de motores utilizando uma tecnologia bastante conservadora, que foi criada há mais de 30 anos.
Além disso, pode valer a pena escanear os arquivos com o VirusTotal também – uma segunda, terceira ou quarta opinião nunca é algo ruim. Mas é fundamental saber dar o peso devido a essas opiniões. Aliás se um dia decidirmos expandir o Threat Intelligence Portal com informações de outros fornecedores parceiros, nosso cuidado será ainda maior.
Outra diferença entre o Threat Intelligence Portal e o VirusTotal é… – como podemos dizer… – a distribuição limitada de informação. Arquivos upados no VirusTotal estão disponíveis para uma enorme quantidade de assinantes, enquanto no nosso TIP não existe acesso público aos arquivos das pessoas.
Falando em assinaturas:
Existe uma versão paga do Threat Intelligence Portal, muito mais completa – em parte porque os relatórios detalhados das ciberameaças detectadas são escritos pelos nossos melhores analistas. E se um arquivo enviado se assemelhar, digamos, a um conhecido malware financeiro, as informações mais recentes e detalhadas sobre como os cibercriminosos atacam suas vítimas, quais ferramentas eles usam e muito mais estarão disponíveis na versão completa do serviço.
O Threat Intelligence Portal resolve dois problemas principais para os sobrecarregados especialistas de cibersegurança. Primeiro: “Qual dessas centenas de arquivos suspeitos devo escolher primeiro?”; Segundo: “Ok, meu antivírus diz que esse arquivo está seguro – e agora?”
Ao contrário dos clássicos – segurança para endpoint – produtos de qualidade que apontam diretamente se um arquivo é perigoso ou seguro, as ferramentas de análises construídas dentro do Threat Intelligence Portal dão informações detalhadas sobre o caráter suspeito de um arquivo e em quais aspectos específicos. E não apenas arquivos: hashes, endereços de IP e URLs podem ser analisados. Todos esses itens são verificados rapidamente por nossa nuvem e os resultados são entregues de bandeja: o que há de errado nos arquivos (se houver), quão rara é a ameaça, quais outros perigos são semelhantes, ainda que remotamente, quais ferramentas foram usadas para criá-la, e por aí vai. Além disso, arquivos executáveis são rodados em nossa patenteada sandbox, com os resultados em alguns minutos.
Já posso ouvir os 5% gritando “É apenas o VirusTotal”.
Sim – e não.
Por um lado, o objetivo é o mesmo: dar aos especialistas ferramentas adicionais para analisar concretamente um incidente e tomar uma decisão embasada. Por outro, nossa estratégia é completamente diferente
O VirusTotal foi concebido como um simples multiscanner que agrega vários motores de antivírus e o alimenta com arquivos disponibilizados pelos usuários. Por essa razão, a acusação “não detectou um arquivo x” muitas vezes recai em todos os fornecedores, incluindo a gente. No entanto, é mais assertivo dizer que nós não detectamos X com um scanner tradicional de arquivos. Como se verifica mais tarde, nós detectamos com sucesso utilizando outras ferramentas. Mas no VirusTotal você simplesmente não vê isso. Claro, ferramentas adicionais foram incluídas ao VirusTotal, mas o foco geral permanece em uma ampla cobertura de motores utilizando uma tecnologia bastante conservadora, que foi criada há mais de 30 anos.
Além disso, pode valer a pena escanear os arquivos com o VirusTotal também – uma segunda, terceira ou quarta opinião nunca é algo ruim. Mas é fundamental saber dar o peso devido a essas opiniões. Aliás se um dia decidirmos expandir o Threat Intelligence Portal com informações de outros fornecedores parceiros, nosso cuidado será ainda maior.
Outra diferença entre o Threat Intelligence Portal e o VirusTotal é… – como podemos dizer… – a distribuição limitada de informação. Arquivos upados no VirusTotal estão disponíveis para uma enorme quantidade de assinantes, enquanto no nosso TIP não existe acesso público aos arquivos das pessoas.
Falando em assinaturas:
Existe uma versão paga do Threat Intelligence Portal, muito mais completa – em parte porque os relatórios detalhados das ciberameaças detectadas são escritos pelos nossos melhores analistas. E se um arquivo enviado se assemelhar, digamos, a um conhecido malware financeiro, as informações mais recentes e detalhadas sobre como os cibercriminosos atacam suas vítimas, quais ferramentas eles usam e muito mais estarão disponíveis na versão completa do serviço.
Nenhum comentário:
Postar um comentário