Notícias

21.05.2012 | admin

TechBiz Forense Digital se une à Damballa no combate às botnets

Especializada em detectar e eliminar botnets e redes comando-e-controle C&C), a Damballa tem soluções para o mundo corporativo, especialmente para Telecoms e ISPs; parceria é inédita no Brasil.

Extração automática de credenciais, distribuição organizada de spams, ataques de negação de serviço, infecções generalizadas. A ação das botnets tem crescido nos últimos anos, causando prejuízos de bilhões de dólares à economia mundial e colocando em risco a segurança de vários países. Estônia (2007), Georgia (2008) e Irã (2009) foram algumas nações vítimas. E ainda hoje a rede zumbi Zeus gera dores de cabeça para as empresas de segurança. Para lidar com esse problema crítico, a TechBiz Forense Digital se aliou à Damballa, empresa norte-americana fundada em 2006 a partir de pesquisas feitas por dois PhDs da Georgia Tech.

“Damballa é um Deus Voodoo’ que protege os humanos dos zumbis. O nome não podia ser mais apropriado para denominar uma empresa que é especializada em detectar e eliminar botnets e redes Comando-e-Controle (C&C) criadas por malware”, conta Renato Maia, diretor de tecnologia da TechBiz Forense Digital.

A comunicação C&C é utilizada para endereçar instruções ao malware, roubar dados e credenciais e atualizar/alterar o código maliciosos para burlar a detecção ou realizar uma tarefa direcionada. Pesquisas apontam que, em geral, as brechas nas redes das corporações passam despercebidas durante mais de 140 dias antes de serem descobertas.

Segundo Maia, a parceria é fundamental para complementar a oferta da TechBiz Forense Digital com um produto inovador. “Queremos ajudar os nossos clientes a lidar com um problema sério que são as botnets”, enfatiza.

Solução

Os clientes da Forense vão contar com dois produtos com uma mesma tecnologia base: o Damballa CSP, que foca apenas em tráfego DNS e é voltado para ISPs e empresas de Telecomunicações. E outro, o Damballa FailSafe, para o público corporativo em geral, para analisar todo tipo de tráfego de rede.

“Um dos principais clientes da Damballa nos Estados Unidos é a Comcast, o maior provedor de internet a cabo do país. Ela utiliza o Damballa CSP para analisar clientes que possam estar infectados. A diferença para o FailSafe está mais na escala. Como o CSP tem que lidar com um volume muito grande de informações, ele foca no serviço específico de DNS. No ambiente Corporativo, onde o volume é menor, todo o tráfego da rede é analisado”, explica Maia.

Após identificar rapidamente a infraestrutura de Comando e Controle utilizada pelo criminoso para roubar dados de máquinas infectadas por malwares, a solução

Damballa isola o C&C, identifica a severidade e a intenção do ataques, mesmo que não haja o reconhecimento do malware. A solução sem assinatura garante a segurança dentro e fora do perímetro da rede e evita que se perca ameaças a outras tecnologias.

APLICAÇÕES DAMBALLA

Para redes enterprise

Damballa Failsafe é a solução líder para detectar e eliminar ameaças persistentes e ataques direcionados nas redes empresariais. A solução vai à caça de infecções escondidas e ameaças não detectadas ao monitorar e analisar saídas (egress), proxy e tráfego DNS, e detectar e analisar arquivos de download suspeitos. Ao correlacionar a atividade suspeita da rede, a Damballa Failsafe pode apontar ativos infectados enquanto traça um perfil da severidade da ameaça e oferece análise forense completa sobre a atividade ameaçadora e os criminoso responsável.

Para provedores de rede

A Damballa CSP tem protegido algumas das maiores empresas de redes a cabo e wireless ISP do mundo ao monitorar a atividade DNS para detectar assinantes infectados. É um uma solução “peso leve”, altamente escalável e poderosa para identificar abusos no uso da rede e assinantes infectados.

Inteligência para Ameaças Avançadas

Damballa FirstAlert é o sistema que potencializa o Damballa Failsafe e o Damballa CSP para lidar com as ameaças avançadas. O Damballa FirstAlert detecta ameaças emergentes e analisa os malwares relacionados.

SOBRE AS BOTNETS

  • Uma característica que define os bots (abreviação de robots ou robôs) é a sua capacidade, após comprometer o sistema Host, de se conectar em um servidor central e infectar outras máquinas formando uma rede, a chamada botnet.
  • A parte mais importante de uma botnet é a famosa infraestrutura de Comando e Controle (C&C). Ela é constituída por bots e por uma entidade controladora, que pode ser tanto centralizada quanto distribuída. Um ou mais protocolos de comunicação são usados pelos botmasters para comandar os computadores das vítimas e coordenar as ações.
  • A rede centralizada é comparável ao classico modelo de rede cliente-servidor. Nessas botnets, os bots agem como clientes e se conectam a um ou mais servidor(es) central(is), pelos quais recebem os seus comandos.
  • O modelo de C&C descentralizado geralmente requer que os bots ajam pelo menos em parte de forma autônoma. Os bots mantêm a conexão com outros bots e endereçam requisições para novos comandos à botnet.
Fonte: Relatório ENISA (European Network and Information Security Agency) – “Botnets: Detection, Measurement, Disinfection & Defence”

Share:

| More

Press agent

Roberta Maia - roberta.maia@techbiz.com.br
(21) 3736-7058/ (21) 98290-4653