This post is also available in: Português
Para entender o que são e como funcionam os antivírus da nova geração, é preciso focar na sua principal diferença em relação aos antivírus convencionais. Essas soluções que conhecemos há décadas não são “inteligentes”; tudo o que fazem é varrer o sistema em busca de ameaças conhecidas, que constam em listas atualizadas várias vezes ao dia. O problema é que o tempo entre uma atualização e outra é suficiente para milhares de ataques agirem com sucesso. São ineficazes também contra Vulnerabilidades de Dia Zero, nos quais a falha é descoberta e explorada no mesmo dia em que foi identificada sua existência.
Como atuam então os Antivírus de Última Geração (NGAV)? Eles vão além de assinaturas de malware conhecidas. Os NGAVs usam análises preditivas, conduzidas por aprendizado de máquina e inteligência artificial, combinando com inteligência de ameaças para detectar e prevenir ataques de malware.
Podem também identificar comportamentos maliciosos e TTPs de fontes desconhecidas, bem como coletar e analisar dados de endpoints para determinar as causas raiz de uma vulnerabilidade. Assim, são capazes de responder a ameaças novas e emergentes que anteriormente não eram detectadas. Em suma, um NGAV age com base no comportamento do usuário, verificando em tempo real se cada atividade sua representa – ou não – um risco. E faz isso com análises constantes sobre tudo que é feito no dispositivo, usando inteligência artificial e aprendizado de máquina, para determinar o que é seguro ou não.
Essa evolução tornou-se necessária por conta da competência dos cibercriminosos. Eles sabem exatamente onde encontrar lacunas e pontos fracos na segurança do perímetro da rede de uma empresa, penetrando nelas e ultrapassando também as barreiras de segurança end-point, tais como os antivírus tradicionais. Esses invasores usam ferramentas altamente desenvolvidas para atacar vulnerabilidades que exploram ataques baseados em memória, linguagem de script PowerShell, logins remotos e ataques baseados em macros, por exemplo.
Como as defesas convencionais se concentram apenas em arquivos de assinatura ou ameaças baseadas em definição, não conseguem detectar nenhuma dessas ameaças modernas que não introduzem novos arquivos no sistema.
Contudo, um NGAV foca em eventos e atividades. Isso inclui arquivos, processos, aplicativos e conexões de rede, para ver como as ações, ou fluxos de eventos, em cada uma dessas áreas estão relacionadas. Tal análise pode ajudar a identificar intenções, comportamentos e atividades maliciosas. Assim que forem identificadas, pode-se bloquear os invasores ou um usuário com comportamento relapso – um funcionário sem a intenção de atacar, por exemplo, mas que usa o dispositivo ou aplicativos de maneira displicente.
Esse tipo de abordagem está se tornando cada vez mais comum porque as empresas estão descobrindo que os cibercriminosos começaram a visar especificamente suas redes. São ataques que acontecem em vários estágios, de modo personalizado, apresentando riscos significativamente maiores conforme o tempo passa, criando-se um contexto no qual as soluções antivírus convencionais não têm chance de impedi-los.
O EDR e o NGAV
O conceito de Detecção e Resposta de Endpoint (EDR – clique aqui para saber mais) está intimamente ligado com as formas de ação dos Antivírus de Nova Geração. Quando ambas as soluções são combinadas, as empresas podem identificar com mais precisão as atividades suspeitas e não autorizadas, evitando muitos comportamentos de risco – e permitindo que se responda e corrija ameaças maliciosas avançadas de maneira mais rápida e melhor.
Para ajudar as soluções NGAV a identificar ameaças que superam o alcance dos antivírus convencionais, o EDR oferece uma abordagem holística para a coleta de dados, que potencializa o aprendizado de máquina. Isso envolve análises preditivas e monitoramento de comportamento com uma imagem completa do ambiente. Juntas, essas tecnologias ajudam as empresas a monitorar eventos e identificar padrões que podem ser suspeitos, transformando-os em visualizações de ataques que podem ser combatidas com relativa facilidade.
Nesse contexto, o EDR pode ajudar a descobrir até mesmo as alterações mais minuciosas em arquivos, registros e redes que ajudam a descobrir atividades maliciosas ocultas. A partir daí, o EDR auxilia na contenção de ameaças identificadas, bloqueando ataques nunca vistos antes, que de outra forma poderiam escapar do NGAV.
União com a nuvem
Com o intuito de explorar totalmente as soluções NGAV e EDR, é necessário explorar as vantagens do cloud computing – como seu poder de processamento, escalabilidade e gerenciamento. Assim, levar a segurança do endpoint para a nuvem garante uma abordagem pró-ativa que substitui ações reativas, com a possibilidade de combinar análises para ajudar a superar os ataques mais recentes e ameaçadores.
Exemplo: a nuvem permite a análise de streaming, onde a atividade normal e anormal do dispositivo pode ser monitorada e comparada a quaisquer dados históricos do mesmo. Ao analisar esses fluxos de eventos e compará-los com o que foi determinado como normal, a nuvem cria um sistema global de monitoramento de ameaças que não apenas detecta ataques, mas prevê falhas inéditas. Mais um quesito no qual os antivírus convencionais não chegam a atuar.
Utilizar o NGAV na nuvem também permite uma comunicação bidirecional com os dispositivos, de forma que todos os dados não filtrados destes possam ser monitorados e transformados em análises preditivas – que protegem proativamente as empresas de ataques sofisticados.
Além disso, a nuvem oferece os benefícios de infraestrutura que a maioria das empresas já experimenta com outros softwares corporativos, incluindo operações simplificadas e menos dispendiosas, implantação mais rápida e a tecnologia mais recente e inovadora.
Ficou com alguma dúvida sobre NGAV? Converse com nossos especialistas.
This post is also available in: Português