Proteção da Microsoft para a nuvem

Por msft-mmpc 

 

A Microsoft está usando ?proteção em nuvem para ajudar a manter nossos clientes seguros. Na verdade, qualquer detecção feita pelos produtos de segurança da Microsoft poderia ser o resultado da proteção em nuvem. Os desenvolvedores de software muitas vezes nos perguntam como funciona a  nossa proteção na nuvem e como eles podem melhorar a nossa opinião  sobre seu software na nuvem.

Como  funciona nossa proteção na nuvem

Quando nossos produtos de antimalware encontra qualquer coisa incomum, eles podem enviar um pequeno pacote de informações sobre o evento ou o arquivo para o nosso servidor. Então, o servidor envia de volta uma resposta informando o software antimalware se é para bloqueá-lo ou não. Ele também pode pedir uma amostra para análise mais detalhada.

Há três situações que realçam os benefícios da proteção na nuvem:

  • Se um arquivo é conhecido por ser um malware por nossos servidores, mas não pelo produto local de antimalware, o módulo de proteção em nuvem pode dizer ao produto local para bloqueá-lo ou removê-lo.
  • Se um arquivo é reconhecido por estar limpo pelos nossos servidores, mas o produto local de antimalware detecta o arquivo como malware (uma situação de detecção incorreta), o módulo de proteção em nuvem pode dizer ao antimalware local para detectá-lo, e que a detecção incorreta não afeta o usuário.
  • Se um produto local de antimalware encontra um arquivo sobre  o qual não sabemos, o servidor pode fazer uma determinação com base em probabilidades, e informar ao software local de antimalware para bloqueá-lo, mesmo sem ter visto uma cópia do arquivo.

É o terceiro ponto que gostaríamosa de discutir de uma forma mais aprofundada.

Como melhorar a opinião do seu software para a nuvem

Muitas vezes somos solicitados pelos fornecedores de software se temos alguma maneira de ajudá-los a pré-whitelist seu software  (trata-se de uma lista de e-mails, domínios ou endereços IP, previamente aprovados e que, normalmente, não são submetidos aos filtros anti-spam configurados). No entanto, o nosso processamento de backend realmente funciona melhor se pudermos ver como o seu software é  naturalmente distribuído natural. Vou descrever abaixo alguns métodos para melhorar a opinião do seu software para a nuvem:

  • Assinar digitalmente o software usando um método aceito pela Microsoft. Este é o caminho mais rápido para se obter uma boa reputação na nuvem,  porque a reputação de um bom arquivo pode ser distribuído para todos os arquivos assinados pela mesma chave.
  • Uma vez que você tenha assinado digitalmente o seu software, é necessário ter cuidado para que o malware não seja também assinado por sua chave. Isto irá negar qualquer boa reputação. Você pode ajudar a evitar esta situação da seguinte maneira:
    • Proteger a sua chave, a fim de não ser roubada pelos autores de malware.
    • Assegurar que o seu processo de desenvolvimento impeça um vírus que infecta arquivos e que sejam inadvertidamente e eletronicamente assinado por sua chave.
    • Ler mais sobre as melhores práticas para assinatura de software.
  • Se você não puder  assinar digitalmente o seu software, tenha certeza de que cada pequena versão de mudança no seu produto terá de construir sua reputação desde o início. Isso diz respeito aos fornecedores que oferecem um arquivo diferente para cada download. Isso não significa que você  não pode fazer versões de bug-fix, idiomas diferentes, etc.
  • Certifique-se de que o seu software não vai instalar malware:
      • Tenha cuidado e evite vulnerabilidades de segurança.  Mesmo que você não tente instalar malware, uma vulnerabilidade de segurança pode ser detectada  como sendo o seu produto que está instalando o malware.
      • Se você baixar executáveis fora da internet, faça com que seu software verifique a assinatura digital ou o hash criptográfico, para se certificar de que tem o arquivo correto que é destinado ao download. Vimos um caso em que um famoso instalador tinha alguns URLs de distribuição de malware e tivemos que detectar cada um de seus instaladores em caso ele tenha sido baixado de um dos URLs com malware.
  • Certifique-se de que o seu software não é instalado por malware.
      • Verificar pró-ativamente suas empresas afiliadas que empacotam o seu software.
      • Preencha as informações de metadados, tais como as informações sobre o autor e a empresa com os recursos do arquivo. Se esta e a assinatura digital não é suficiente , considere a possibilidade de adicionar informações de contato, ou um indicador de como encontrar as informações de contato na web. Esta informação de contato deve direcionar para o contato certo para relatar uma vulnerabilidade de segurança, ou trabalhar para corrigir ou evitar a detecção incorreta.

 

  • Se você usar um empacotador runtime ou obfuscator (esconde o significado da comunicação, tornando a comunicação mais difícil de ser interpretada, fazendo-a intencionalmente ambígua e confusa), você precisa estar ciente de que a maioria dos malware são embalados ou dissimulados, e este não afeta a forma como o software é visto no backend.
  • Considere como seu software é visto e se é instalado nas máquinas dos usuários que realmente queremos. Temos honeypots, web crawlers, e teste de software automático. Podemos analisar se os usuários escolheram por continuar o download depois do aviso de que um programa não é normalmente transferido. Podemos também ver se os usuários optaram por ignorar ou remover o software se o nosso antimalware o detecta. Mau comportamento pode arruinar a reputação de um bom software.
  • Existem alguns comportamentos que, embora  não seja o suficiente para justificar uma detecção em si próprio, não atraia a suspeita de seres humanos e sistemas automatizados. Eles poderiam ser usados  por razões legítimas, mas são muitas vezes está diretamente associado ao comportamento do malware. Isso inclui:
    • Instalação fora das pastas de onde são normalmente instalados este tipo de software.
    • Modificando ou adicionando uma chave sensível de registro.
    • Injeção de processos
    • Atividades autônomas na internet.

Se você achar que fizemos  um detecção incorreta no seu produto, você pode preencher o formulário para o desenvolvedor. Fazendo uma pequena alteração e empurrando-o para seu software não necessariamente resolverá qualquer má reputação aplicada à chave de assinatura de código utilizado para o arquivo que foi detectado incorretamente. Nossa proteção em nuvem também pode observar a semelhança entre o arquivo que ele ainda acredita que foi corretamente detectado como malware, e a nova versão.

Microsoft Malware Protection Center (MMPC)

 

Original: http://blogs.technet.com/b/mmpc/archive/2014/09/22/microsoft-cloud-protection.aspx