Real-time, seu melhor aliado contra a fraude online

Publicado por Eva Moya - 19/02/2018

Um dos relatórios de seguimento do setor da segurança cibernética realizado pelo Ponemon Institute foi publicado recentemente. Para elaborar o documento, várias empresas clientes que utilizam o Threat Intelligence foram entrevistadas sobre quais elementos consideram mais relevantes, e se estes lhes são úteis ou não. O estudo compara os anos 2015, 2016 e 2017.

A conclusão não é muito animadora para o setor, já que quase 70% dos clientes destes serviços consideram que os avisos não chegam a tempo, que são incompreensíveis ou não servem para que possam tomar decisões e minimizar o impacto da ameaça.

Um resultado como este deve nos conduzir a uma reflexão profunda. Em outras ocasiões, falamos sobre o dinamismo dos desenvolvimentos da indústria do crime cibernético. No entanto, em nosso setor, costumamos nos concentrar mais na “dureza” ou “inovação” da ameaça.

Este relatório nos recorda que é o momento de voltar a destacar dois dos elementos essenciais do Crime-as-a-Service: a velocidade e a adaptabilidade.

real-time-detection-01.jpg

a) De onde viemos

Numa etapa anterior, os delinquentes cibernéticos não contavam com as habilidades e recursos necessários para criar ameaças complexas e adaptáveis às medidas de segurança. Não era necessário. O mesmo malware dava várias voltas no planeta durante semanas e obtinha sua recompensa. Isto permitia que as empresas de segurança digital realizassem uma aproximação “blackbox”, através da qual dava tempo de identificar a ameaça e fornecer uma solução para cortar sua propagação.

Por outro lado, dentro deste contexto, o Threat Intelligence pode recompilar com certa velocidade uma série de indicadores de compromisso (IOCs), normalmente baseados em informações do dispositivo, IPs, e-mails, etc., além de fornecer informação muito útil para bloquear a ameaça. De fato, neste modelo, a inteligência coletiva tem uma grande contribuição, já que permite a criação de repositórios compartilhados entre diferentes setores e/ou empresas de um setor. Afinal de contas, o que acontece com uma companhia pode servir para deter a ameaça em outra.

No entanto, o comportamento dos delinquentes cibernéticos ao qual estamos acostumados mudou. E, ainda que os velhos modelos continuem existindo, pouco a pouco irão desaparecendo.

real-time-detection-03.jpg

b) Onde estamos

Nesta nova etapa, foram liberados os códigos de diversas ameaças e foram vendidos kits para configurar novas campanhas de malware sem excessivos conhecimentos técnicos. Os novos malware são inteligentes e vão mutando para esquivar todas as medidas de proteção. Na cadeia de valor da delinquência cibernética apareceram novos atores, como as plataformas de pagamento digital criminosas, gestão de “laranjas”, etc. que dão apoio aos grupos de criminosos cibernéticos na elaboração de campanhas muito rápidas e que se adaptam em grande velocidade às medidas de minimização de impacto implementadas pelas empresas.

Graças a esta nova conjuntura e a um florescente mercado negro do crime cibernético, observa-se que as campanhas de phishing ou malware podem durar apenas alguns dias, ou ter um enorme impacto em apenas algumas horas.

Neste novo contexto, os velhos modelos de defesa baseados em analisar aquilo que já é conhecido se afastam cada vez mais do que as empresas precisam. O gap aumenta. Concluindo, o Threat Intelligence é uma ferramenta de apoio de grande valor, porém não pode constituir por si só um pilar central, e é isso que o estudo demonstra.

O desafio atual do setor é evidente: como estar preparado para aquilo que não conhecemos.

E é aqui que entram os novos discursos e argumentos que falam das novas tecnologias baseadas em Inteligência Artificial, como o machine learning ou o deep learning. Ou, por exemplo, o sucesso das soluções baseadas na biometria do comportamento.

real-time-detection-04.jpg

c) Aonde vamos

Embora continuemos prestando muita atenção nas ameaças, a tendência atual é proteger o usuário com todos os tipos de medidas possíveis. Afinal de contas, se o usuário é quem diz ser e não está sendo manipulado, não importará com que ameaça ele foi infectado.

Assim, os desafios lançados nos processos de autenticação são úteis somente no momento em que o usuário inicia a sessão, mas não durante o tempo que se mantém conectado. Ameaças como RAT e ATO permitem manipular o usuário uma vez que este está dentro de sua sessão, para induzi-lo a fazer aquilo que o criminoso queira.

A IA facilita que técnicas como a análise biométrica do comportamento aproveitem toda sua potência na identificação do usuário durante toda a sessão em Real-Time, para confirmar os dois pilares “sagrados” do combate à fraude:



Que o usuário é quem afirma ser.

Que o usuário não está sendo manipulado.

  

Deep Learning for Online Fraud Prevention

Topics: deep learning, real time, threat intelligence


Notícias relacionadas

Malware para criptomoedas: uma mistura explosiva

read more

Top 3 países de cibercriminosos especializados em fraude online

read more

Cibercriminosos do setor financeiro: compreendendo os "malvados" que estão por trás do teclado

read more