Cada aplicativo, incluindo malware, tem um padrão distinto de suas ações, tamanho de arquivo, hashes de arquivo e código compilado. Esse padrão é chamado de assinatura. A detecção de intrusão baseada em assinatura examina o tráfego em uma rede para detectar assinaturas de software maliciosas. Embora seja uma forma mais antiga de detecção de malware, a detecção baseada em assinatura é precisa e ainda viável em cibersegurança e proteção de dados.
O que é detecção de intrusão baseada em assinatura?
A detecção de intrusão baseada em assinatura identifica ameaças comparando a atividade do sistema a um banco de dados de padrões de ataque conhecidos ou assinaturas para detectar comportamento malicioso.
O malware, como qualquer programa, é compilado em linguagem de computador binária. Seu código compilado pode ser hash para criar uma assinatura exclusiva, mas outras características também podem criar uma assinatura. As ações que o malware executa junto com seu código na memória podem determinar sua assinatura exclusiva. Alguns malwares exibem frases de autores armazenadas na memória, enquanto outros armazenam arquivos específicos em locais específicos, o que também alimenta seu padrão específico.
O malware moderno frequentemente se comunica com um local de comando e controle (C2). O malware tem endereços IP ou nomes de domínio codificados para se comunicar com o autor. A comunicação permite que o invasor saiba que uma máquina direcionada está executando o malware e seu ataque foi bem-sucedido. Firewalls e sistemas de detecção de intrusão podem detectar solicitações para comunicação nesses endereços IP e domínios para alertar os administradores sobre atividades suspeitas.
Como funciona a detecção de intrusão baseada em assinatura
Para trabalhar com detecção de intrusão baseada em assinatura, primeiro você precisa armazenar assinaturas de malware. As assinaturas são armazenadas em um banco de dados, geralmente fornecido pelo provedor de detecção de intrusão. A assinatura escolhida para ser um indicador é decidida por pesquisadores de segurança que frequentemente compartilham suas descobertas em locais de código aberto. Por exemplo, a popular ferramenta YARA pode ser usada para classificar e criar assinaturas de malware.
Os sistemas de detecção de invasão monitoram continuamente o tráfego de rede em busca de assinaturas de malware. Eles comparam o tráfego de rede com as assinaturas armazenadas no banco de dados do sistema de detecção de intrusão. Quando uma assinatura é detectada no tráfego, a detecção de intrusão toma medidas, como alertar os administradores.
Vantagens da detecção de intrusão baseada em assinatura
Como as assinaturas são criadas a partir de malware, é um sistema muito mais preciso do que outra detecção baseada em anomalias. As assinaturas são estáticas, desde que o autor do malware não faça alterações e introduza uma variante, portanto, a detecção de intrusão com um banco de dados atualizado tem muito poucos falsos positivos. Falsos positivos acontecem quando a detecção de intrusão sinaliza um aplicativo incorretamente.
Outra vantagem da detecção baseada em assinatura é que ela é rápida e não requer dados de referência. As assinaturas podem ser rapidamente identificadas sem primeiro coletar dados para determinar se a atividade não corresponde aos parâmetros de referência. Por exemplo, a detecção baseada em anomalias precisa de um benchmark de atividade nos arquivos antes que possa determinar se muitas solicitações de acesso podem ser malware ou atividade de rede comum.
Limitações da detecção de intrusão baseada em assinatura
Para ter assinaturas de malware, a ameaça deve ser conhecida. Ameaças de dia zero são aquelas invisíveis na natureza, por isso não têm assinatura para detectar. A falta de assinaturas em ameaças de dia zero significa que a detecção de intrusão dependente de assinaturas não pode detectá-las. Sem cobertura total, esse tipo de detecção de intrusão pode dar aos administradores uma falsa sensação de segurança.
A detecção de intrusão baseada em assinatura também precisa de mais recursos do que outras formas de detecção de intrusão. O tráfego é constantemente comparado a uma lista de assinaturas em um banco de dados, e seu banco de dados de assinaturas pode ter milhões de itens armazenados. Para ter detecção de intrusão usando assinaturas, você também deve garantir que o banco de dados seja atualizado de maneira consistente. Os provedores de nuvem geralmente fornecem atualizações, mas o armazenamento local pode exigir ações manuais dos administradores de rede.
Casos de uso e aplicativos
Qualquer setor com dados locais e na nuvem pode aproveitar a detecção de intrusão baseada em assinatura, mas é frequentemente usada como um único componente na proteção de dados. A detecção de intrusão baseada em assinatura é excelente para identificar ameaças conhecidas imediatamente com poucos falsos positivos. Por exemplo, um profissional de saúde pode usar esse tipo de detecção de intrusão para se proteger contra ataques ransomware conhecidos. Ransomware tem como alvo agências de saúde, hospitais e seguradoras, pois muitas vezes eles têm software legado desatualizado. A proteção baseada em assinatura pode impedir essas ameaças instantaneamente, especialmente quando combinada com sistemas de prevenção de invasões.
As organizações de atendimento ao cliente são outro alvo comum porque recebem anexos de clientes para análise. Se um anexo contiver malware, a assinatura do malware poderá ser detectada. A detecção de intrusão é valiosa em segmentos de rede onde anexos de e-mail de terceiros são baixados e armazenados.
Conclusão
A cibersegurança de nível corporativo requer várias camadas de proteção. A detecção de intrusão baseada em assinatura é uma camada, mas você precisará de vários outros para proteger totalmente seu ambiente. Com segurança baseada em assinatura, você pode proteger seu ambiente contra ameaças conhecidas, que são um grande fator em violações de dados.
O armazenamento de assinaturas e outras análises de segurança requer sistemas de armazenamento robustos. A Pure Storage tem a velocidade e a capacidade para ambientes grandes com detecção de intrusão complexa. A Pure Storage fez uma parceria com a Elasticsearch para pesquisas mais rápidas e arquitetura resiliente para expansão.
