WH

ITE PAPER

:SYM

AN

TEC C

YNIC

™

Symantec Advanced Threat Protection

Symantec Cynic™Quem deve ler este artigo

Este white paper destina-se a CIOs, CISOs e profissionais de segurança responsáveis em proteger a sua organização contra ataques direcionados e ameaças avançadas.

Este artigo apresenta uma visão geral da nova tecnologia Symantec Cynic™ introduzida e usada pelo Symantec Advanced Threat Protection.

Symantec™ Cynic™Symantec Advanced Threat Protection

Conteúdo

Visão geral .............................................................................................................................................................................................................. 1

Tecnologia Comprovada ........................................................................................................................................................................................ 1

Detonação e Execução Virtual ............................................................................................................................................................................. 1

Resumo.................................................................................................................................................................................................................... 2

Symantec™ Cynic™Symantec Advanced Threat Protection

1

Visão geral

Atores de ameaças têm acesso fácil a ferramentas de desenvolvimento de malware que tornam mais barato e fácil para desenvolver malware

direcionado e personalizado que não é detectado pelos sistemas de segurança tradicionais. Essas mesmas ferramentas também incluem

recursos que permitem que o malware torne-se indetectável para os produtos sandbox mais populares, de tal forma que ao assinar o

contrato de compra, o seu investimento em detecção de ameaças avançadas torna-se inútil, e os bandidos violam sua rede. A Symantec

foi construída sobre a capacidade de identificar arquivos maliciosos em escala, e nosso objetivo é entregar o poder analítico da Symantec

diretamente para sua organização através do Symantec Advanced Threat Protection.

O Cynic é um dinâmico serviço de análise de malware baseado na nuvem que fornece a capacidade de detectar ameaças avançadas.

Ao contrário da maioria dos produtos de análise sandbox, cujo foco está em oferecer uma variedade de máquinas virtuais ou imagens

específicas do cliente para detonar e detectar malware, o Cynic usa um conjunto de tecnologias de análise, combinado com nossa

inteligência global e dados de análise para detectar com precisão o código malicioso.

Através da realização da análise na nuvem, a Symantec pode oferecer um processamento mais detalhado em escala e com uma velocidade

que não pode ser alcançada com uma implantação on-premise.

Tecnologia Comprovada

Uma das tecnologias incluídas no Cynic é o Symantec Skeptic™. O Skeptic tem sido usado por mais de uma década dentro da plataforma

Symantec™ Email Security.cloud, protegendo contra ameaças que não são detectadas por programas antivírus baseados em assinatura.

A análise estática de código oferecido pelo Skeptic é indetectável pelos autores de malware e não pode ser contornada através de

comportamentos de evasão de máquinas virtuais. Na verdade, devido aos anos de aprendizagem de máquinas acumulada dentro da

tecnologia, quanto mais evasivo um programa se comporta, mais fácil é identificá-lo como um arquivo malicioso.

A segunda tecnologia comprovada empregada pelo Cynic é o SONAR™. O SONAR é um sistema de análise comportamental que monitora

arquivos enquanto são executados, comparando os comportamentos do programa aos comportamentos das bilhões de amostras maliciosas

que a Symantec analisou ao longo dos anos. Ao contrário de assinaturas, o SONAR emprega perfis comportamentais e dados de reputação de

arquivos para identificar com precisão os arquivos como benignos ou maliciosos. O nível de precisão fornecido pelo SONAR permite uma fácil

comparação entre eventos de segurança de rede e endpoints, permitindo que os eventos relacionados de segurança sejam correlacionados e,

quando apropriado, marcados como automaticamente resolvidos.

Detonação e Execução Virtual

A mais nova tecnologia incluída no Cynic é um sistema proprietário de execução virtual, também conhecido como um ambiente sandbox.

Como outros sandboxes, este sistema emprega várias máquinas virtuais que utilizam diferentes sistemas operacionais. Nestas máquinas

virtuais, a Symantec utiliza componentes do Symantec Workspace Virtualization™, desenvolvido pela Altiris Technology, para mudar várias

aplicações nas máquinas virtuais e verificar se as aplicações estão sendo exploradas e se existem ataques direcionados únicos. Para cada

sistema operacional, a Symantec é capaz de mudar rapidamente as versões das aplicações que frequentemente são alvos, tais como Java™,

Adobe Acrobat Reader™ e Microsoft Office™, para rapidamente avaliar arquivos entre plataformas diferentes. O componente de análise

incluído neste sistema se beneficia da Symantec Global Intelligence Network, que permite a execução baseada em telemetria e condenação

de ameaças avançadas. Além disso, a Symantec pode fornecer uma visão única sobre os atores de ameaças, utilizando as trilhões de linhas

de análise e telemetria para associar novas ameaças com aquelas anteriormente ligadas a adversários conhecidos.

Symantec™ Cynic™Symantec Advanced Threat Protection

2

Tal como acontece com todos os outros métodos de detecção baseados em sandbox disponíveis neste espaço, o sistema de execução virtual

Symantec estará sujeito a detecção por código de malware. Entre agosto de 2014 e abril de 2015, a Symantec observou um aumento em

malware que identifica um hypervisor de 18% para 28%1, mostrando que os autores de malware estão tentando evitar a detecção de

sandbox. Por esta razão, o Cynic inclui uma camada adicional de análise no hardware físico. Esta camada é empregada para exemplos de

malware que tentam verificar se estão sendo analisados em um hipervisor. Quando o malware detecta que está sendo executado em uma

máquina virtual, às vezes ele não fará nada, na esperança de passar despercebido. Ou pior, ele irá se comportar de forma diferente do que

faria em uma máquina física, enganando assim os responsáveis pela resposta a incidentes que podem estar procurando por evidências de

comprometimento.

O Cynic compara os resultados da análise virtual com os resultados da análise física para certificar-se de que os indicadores descobertos são

os mais úteis para a detecção da ameaça.

Resumo

A análise multidimensional da Symantec é um verdadeiro ambiente de execução de próxima geração. O Cynic pega os resultados de todas

essas tecnologias e fornece os resultados de análise e decisão para você, juntamente com informações valiosas de ameaças que a Symantec

tem sobre a amostra, para lhe dar a informação que você precisa para tomada de ações.

Atualmente, o Cynic é capaz de processar todos os tipos de arquivos executáveis do Windows, assim como Java, PDF, documentos do

Microsoft Office e arquivos recipientes, como o ZIP. A detonação e análise ocorrem no Windows XP e Windows 7, em plataformas de 32 e 64

bits. Tipos de arquivos adicionais e cobertura de sistemas operacionais serão adicionados ao longo do tempo.

1 - Symantec Internet Security Threat Report, volume 20

Symantec™ Cynic™Symantec Advanced Threat Protection

Sobre a Symantec

A Symantec Corporation (Nasdaq: SYMC) é líder

em proteção das informações e ajuda as pessoas,

empresas e governos que buscam a liberdade para

desbloquear as oportunidades que a tecnologia traz

- a qualquer hora e em qualquer lugar. Fundada

em abril de 1982, a Symantec, uma empresa

da Fortune 500, opera uma das maiores redes

de inteligência de dados globais e proporciona

segurança, backup e soluções de disponibilidade

para onde a informação vital é armazenada,

acessada e compartilhada. A empresa possui mais

de 20.000 colaboradores em mais de 50 países.

Noventa e nove por cento das empresas da Fortune

500 são clientes da Symantec. No ano fiscal de

2014, a empresa registrou uma receita de $6.7

bilhões. Para saber mais acesse www.symantec.

com ou conecte-se com a Symantec no site:

go.symantec.com/socialmedia.

Para escritórios regionais

e números de contato

específicos, por favor visite

nosso website.

Sede Mundial da Symantec

350 Ellis St.

Mountain View, CA 94043 USA

+1 (650) 527 8000

1 (800) 721 3934

www.symantec.com

Copyright © 2014 Symantec Corporation. Todos os direitos reservados. A Symantec, o logo da Symantec e o logo da Checkmark são marcas registradas ou marcas comerciais registradas da Symantec Corporation ou de suas afiliadas nos EUA e em outros países. Outros nomes podem ser marcas registradas de seus respectivos proprietários.05/2015