Por décadas, as empresas confiaram em ferramentas de antivírus para proteger suas redes e reduzir os riscos à segurança da informação. E havia uma boa razão para isso: os programas antivírus provaram ser uma barreira eficaz entre agentes maliciosos e sistemas corporativos privados.
No entanto, as técnicas dos hackers evoluíram junto com a tecnologia, trazendo uma nova geração de ataques e ameaças desenhados para roubar dados confidenciais. Isso forçou as organizações a procurarem formas mais avançadas de se proteger, abrindo espaço para o Antivírus Next Generation (NGAV).
Mas o que exatamente é o Antivírus Next Generation e no que ele difere do antivírus tradicional? Abaixo, vamos explicar como as soluções de antivírus evoluíram ao longo dos anos e porque é essencial para o seu negócio considerar a proteção de última geração!
Antivírus tradicional vs. antivírus next-generation
Vírus, ransomware, trojans e outras formas de malware podem ser catastróficas se entrarem na sua rede. Em 2019, segundo um relatório do Sonic Wall foram registrados 9.9 bilhões de ataques de malware, comprometendo dados sigilosos de pessoas e empresas em todo o mundo.
Além disso, a mudança no comportamento do consumidor, que exige cada dia mais transparência das empresas com as quais se relaciona, e a aprovação de regulamentos para o tratamento de dados, como a Lei Geral de Proteção dos Dados, fez com que empresas de todos os tamanhos entrassem na corrida pelas ferramentas mais atualizadas para proteger seus ativos.
Tanto o antivírus tradicional quanto next-generation não possuem uma definição padrão. No entanto, entender as diferenças entre antivírus tradicional e o antivírus next generation é fundamental para garantir a melhor proteção na sua empresa. Veja abaixo como cada tecnologia funciona:
Antivírus tradicional
Para o propósito deste artigo, definiremos o AV tradicional como software antivírus que usa verificação de assinatura e análise heurística.
O que exatamente isso significa? Logo quando foi lançado, o software antivírus dependia muito de verificadores de assinatura que podiam detectar malware fazendo a referência cruzada de arquivos com um banco de dados de ameaças conhecidas. Era um sistema simples, mas adequado para lidar com o malware rudimentar que circulava por aí.
No entanto, à medida que o malware se tornou mais avançado e o volume de novos malwares sendo lançado para o mundo disparou (os dados Sonic Wall registraram 1.200 novas famílias de malware por dia), os verificadores de assinaturas se tornaram cada vez menos eficazes.
Em resposta, muitos fornecedores de antivírus começaram a usar heurística e proteção comportamental para detectar características suspeitas e impedir novas ameaças — mesmo aquelas que nunca haviam sido vistas antes.
Por um tempo, esses dois sistemas combinados permitiram aos fornecedores de antivírus oferecer uma proteção razoavelmente boa contra malware. No entanto, o mundo do malware raramente é estático.
Em uma tentativa de acompanhar a evolução rápida das ameaças de malware, as empresas de antivírus introduziram várias tecnologias novas e inovadoras, projetadas para fornecer uma solução mais holística. Isso deu início à era do NGAV, ou antivírus next-generation.
Antivírus Next-generation
O que exatamente é o antivírus next-generation? Assim como o AV tradicional, não há uma definição clara, mas geralmente é aceito que o NGAV adota uma abordagem mais proativa e centrada no sistema de malware, com o objetivo de fornecer proteção superior contra uma ampla gama de ameaças.
O NGAV foi projetado para ser muito mais autossuficiente. Ele é hábil em reconhecer e lidar com ameaças de segurança por conta própria, em vez de depender de um banco de dados de assinaturas.
Os NGAVs usam ciência de dados avançada e análise comportamental para descobrir padrões usados por hackers que tentam explorar as vulnerabilidades do sistema.
Quando esses padrões são descobertos, eles corrigem ativamente quaisquer ataques usando uma série de processos inteligentes projetados para combater os perigos de segurança atuais. Para isso, além das assinaturas de malware e análise heurística, muitos AVs da próxima geração usam tecnologias como:
- Lista de permissões de aplicativos: a lista de permissões de aplicativos é um processo para validar e controlar tudo o que um processo pode fazer no sistema operacional (e impedir que ele seja executado de outra forma). Esse método requer um controle profundo do sistema operacional para funcionar, bem como uma lista bem ajustada de assinaturas de aplicativos (diferentes das assinaturas de vírus), que analisam as chaves de assinatura de fornecedores, tamanho do arquivo, locais de acesso e subprocessos. Em outras palavras, essa técnica impede preventivamente que o sistema operacional faça qualquer coisa além do que o habitual;
- Machine Learning: embora todos os membros da comunidade de marketing estejam muito animados para falar sobre o Machine Learning, é importante observar como ele é aplicado ao seu AV. Por exemplo, lembra-se da detecção de assinatura acima? Bem, para obter essas assinaturas, uma empresa de antivírus precisa criar um laboratório onde possa executar o malware e analisar o que ele faz. Esse processo é chamado Sandboxing. Quando o vírus é considerado malicioso, a empresa de antivírus grava uma assinatura ou hash para o arquivo ou arquivos de que é feito e o distribui através de atualizações no seu dispositivo. O Machine Learning pode ser usado pela sua empresa de antivírus para identificar e aprender (sem supervisão humana) centenas de milhões de variantes e uni-las em assinaturas para você. Essa técnica permite detecção muito precisa e taxas de bloqueio altas. Quanto mais dados, mais eficaz é o sistema.
- Inteligência artificial: o NGAV possui a capacidade de identificar e resolver problemas sem a entrada do usuário. Ele usa a Inteligência Artificial para se adaptar às mudanças no bloqueio ou na detecção, substituindo um profissional de segurança e verificando se há irregularidades no sistema, presença de novos aplicativos ou ações incomuns;
- Forense: essa técnica usa um grande conjunto de dados coletados do terminal, como logs, pacotes e comportamento do processo para entender o que aconteceu após uma infecção (por exemplo, uma infecção por malware). Normalmente, essas informações são coletadas na nuvem de outras empresas (chamadas de Threat Intelligence) para que o NGAV consiga comparar indicadores de comprometimento (IOCs) com malware ou outros ataques conhecidos.
Inteligência artificial: o grande diferencial do antivírus next-generation
O reconhecimento por assinatura, típico do antivírus tradicional, acontece quando um segundo dispositivo se beneficia do conhecimento adquirido por um primeiro dispositivo — por exemplo, porque um vírus foi encontrado no primeiro. Isso por si só já é um tipo de Machine Learning, ou aprendizado de máquina.
Nesse caso, se um vírus for detectado em algum lugar do mundo ele pode ser corrigido por um antivírus tradicional. Uma nova assinatura é então publicada para que os outros sistemas reconheçam o vírus instantaneamente.
Mas e quanto à ameaças nunca antes detectadas? Como o Machine Learning se diferencia no NGAV para detectá-las. É aqui que está o grande diferencial do antivírus next-generation.
O antivírus next-generation vai além do reconhecimento de assinaturas. Ele utiliza Machine Learning para reconhecer um vírus, mesmo que este nunca tenha sido visto anteriormente. Este é um processo complexo e é mais facilmente explicado usando o reconhecimento de imagens a partir do Deep Learning.
O Deep Learning é um subcampo do aprendizado de máquina, preocupado com algoritmos inspirados na estrutura e função do cérebro, denominadas redes neurais artificiais.
No passado, era impossível para um computador ver as diferenças entre as imagens e reconhecer a foto de um cachorro, por exemplo. As tecnologias de Deep Learning juntamente com o grande volume de dados que temos disponível hoje mudaram isso.
O Deep Learning não precisa mais de um exemplo exato para reconhecer uma imagem, mas, utilizando o conhecimento sobre as características de um cachorro, ele pode determinar se sua imagem representa o animal ou não.
Com essa tecnologia, um computador pode determinar por si mesmo que uma imagem em que um focinho, orelhas, uma espécie de pêlo, pernas e cauda podem ser vistos não é um bolo, mas um cachorro. Funciona da mesma maneira para reconhecer um malware.
Ao combinar uma enorme quantidade de dados e conhecimento sobre as características do malware com uma enorme quantidade de dados e conhecimento sobre as características do que não é um malware, é criado um agente que é capaz de reconhecer ameaças e posteriormente tomar decisões sobre ele.
O aprendizado profundo pode parecer simples, mas é uma tecnologia muito complexa. Essa tecnologia é altamente dependente de uma grande base de dados.
Agentes de aprendizado profundo que não foram treinados de forma suficiente fornecerão muitos falsos positivos porque o agente não foi capaz de fazer as escolhas certas. Isso torna o aprendizado profundo tão poderoso quanto o conhecimento oculto por trás dele.
Por que usar o antivírus next-generation?
À medida que o número, o tipo e a sofisticação das ameaças evoluem, as organizações exigem mais inteligência e percepção do que a segurança tradicional de terminais. Mais atores de ameaças estão mudando seu objetivo para fragilidades criadas pelo comportamento do usuário, falta de higiene da segurança cibernética e shadow IT.
O aumento dramático nos tipos de endpoints — incluindo smartphones, tablets, dispositivos portáteis e muito mais — trouxe desafios ao antivírus tradicional. Em vez de ter alguns dispositivos com conexões aos dados importantes da empresa, pode haver centenas de dispositivos em uso — e todos precisam ser monitorados pela TI.
Existem muitos pontos de ataque em potencial para hackers e, o pior de tudo, muitas soluções antivírus tradicionais podem não identificar uma violação até bem depois que ela ocorre. Corrigir um problema depois que ele surgiu não é uma opção quando se trata de segurança da informação; quando você for violado, pode ser tarde demais.
Em vez disso, as empresas precisam de soluções proativas que possam crescer e mudar conforme suas necessidades mudam. Esse é o benefício principal do antivírus next-generation.
Empresas de todos os tamanhos podem aliviar o estresse e a responsabilidade de gerenciar atualizações, verificações e gerenciamento de software antivírus ao migrar para uma solução de última geração projetada para realizar todo o trabalho pesado usando tecnologia avançada.’
Depender de processos de software separados para lidar com a segurança e o gerenciamento de endpoints pode resultar em possíveis desconexões. E manter e atualizar listas negras de códigos maliciosos para os antivírus tradicionais requer mais e mais recursos.
As tecnologias automatizadas de última geração que examinam todos os processos em todos os dispositivos para combater possíveis ataques tornaram-se necessárias para bloquear melhor a segurança dos endpoints.
O antivírus next-generation, usando inteligência artificial (IA) e aprendizado de máquina, pode oferecer as seguintes proteções que a proteção tradicional não pode:
- Detecção de comportamentos não autorizados de usuários, aplicativos ou serviços de rede;
- Bloqueio de ações suspeitas antes da execução;
- Processamento de dados através de ML e AI para identificar arquivos ou processos maliciosos;
- Interrupção da movimentação de dados não autorizada;
- Análise de dados suspeitos de aplicativos em “sandboxes” isoladas;
- Reversão de terminais e dados para um estado anterior no caso de um ataque de ransomware;
- Isolamento de terminais e processos suspeitos;
- Fornecimento de detecção e resposta de endpoints, podendo monitorar continuamente sistemas e redes para mitigar ameaças avançadas.
Conclusão
O cenário de ameaças mudou. Mais uma vez, o endpoint está se tornando cada vez mais importante. Atualmente, os hackers usam uma cadeia de ataques atualizada para ter sucesso. As ferramentas utilizadas por eles foram claramente desenvolvidas para contornar as medidas de segurança existentes e incluem explorações, malware de dia zero, scripts e conexões SSL.
A combinação dessas novas técnicas requer uma nova abordagem na estratégia de segurança. É importante que as novas ferramentas, em particular, sejam reconhecidas. A segurança de next-generation não é um slogan de marketing vazio — ela definitivamente adiciona valor às novas abordagens de segurança.
No entanto, ainda existe uma diferença significativa na qualidade das várias soluções de última geração disponíveis. As maiores diferenças estão nos menores detalhes. Uma avaliação da qualidade é extremamente importante ao escolher a sua.
Para te ajudar a garantir a melhor proteção na sua empresa, entre em contato com a BHS e converse com um dos nossos consultores!