17

abr 2020

A entrada dos antivírus no mercado

A história do antivírus foi essencial para a cibersegurança, pois a ferramenta automatizou o processo de remover malwares e ainda garantiu que a máquina poderia retornar ao que era, sem a necessidade de formatação e reinstalação de sistemas.

Se antes o departamento de TI passava horas tentando eliminar uma infecção que podia se espalhar por toda a rede e depois tinha de começar tudo “do zero”, com os antivírus, isso mudou.

Bastava abrir um arquivo, checar se havia indícios de que ele estava infectado e, se necessário, checar a base de dados de assinatura.

Uma assinatura era formada de algum texto ou outra parte do malware para identificar o que havia sido detectado, junto do tamanho, em que o número exibido era o tamanho em bytes do fim do arquivo que continha o vírus em questão.

A transição para a internet

Se já era difícil lidar com vírus e ataques maliciosos em um sistema fechado, quando a internet entrou em ação, nos anos 1990, os malwares se tornaram uma preocupação ainda maior para os PCs corporativos.

A habilidade de enviar e-mails, baixar programas e rodas scripts codificados deu aos hackers a possibilidade de infectar e roubar dados de qualquer lugar do mundo.

Em 1991, por exemplo, centenas de vírus estrangeiros de diversas partes do mundo passaram a preocupar os departamentos de TI.

Michelangelo foi criado para infectar sistemas DOS, o worm ILOVEYOU infectou milhões de máquinas e o SQL Slammer atacou o Microsoft SQL e o MSDE, “quebrando a internet”.

Com a mudança no cenário de ameaças, os softwares de antivírus começaram a fazer avanços em suas capacidades de detecção e ganharam a habilidade de se atualizar online, melhorando consideravelmente sua efetividade.

Os avanços apareceram em diversas áreas, incluindo detecção com base em assinaturas, detecção de rootkit e proteção em tempo real.

A introdução da web também permitiu a expansão dos antivírus baseados na nuvem, dos firewalls, das ferramentas de varredura e das ferramentas desenvolvidas para remoção de arquivos e problemas específicos do computador e da rede.

Funcionamento dos antivírus

Hoje os antivírus são parte essencial de qualquer estratégia de segurança, mesmo que sua empresa conte com múltiplas camadas de softwares modernos de proteção.

Os antivírus atuam checando cada arquivo aberto na máquina.

Toda vez que abrimos um arquivo executável, o antivírus faz uma checagem para compará-lo com vírus, worms e outros tipos de malware conhecidos.

Ele também é capaz de chegar programas em busca de comportamentos prejudiciais que indiquem algum vírus desconhecido.

O antivírus checa vários tipos de arquivos e, apesar de o usuário também poder escolher por desativá-lo, essa pode ser uma péssima ideia.

O antivírus atua bloqueando a entrada de malwares.

Depois que um vírus se instala na máquina, pode ser muito difícil removê-lo.

Os antivírus dependem de assinaturas para detectar malwares.

Eles são capazes de baixar automaticamente novas assinaturas em diversas frequências.

Quando um antivírus analisa um arquivo e nota que alguma de suas partes bate com um trecho de algum malware, o programa para a execução do arquivo e o coloca em “quarentena” – em que o usuário pode escolher deletar a potencial ameaça ou escolher executá-la mesmo assim.

Next-generation antivírus: a evolução da proteção do endpoint

Nos últimos anos, com o aumento no nível de sofisticação das ameaças, empresas reconhecidas pela qualidade de soluções “tradicionais” de segurança do endpoint, como antivírus e firewalls, passaram a apostar em uma nova abordagem capaz de responder a ameaças avançadas, que são soluções de próxima geração.

Apesar de ainda serem importantes, os antivírus acabaram se tornando soluções de segurança “limitadas”, pois buscam apenas pedaços de códigos encontrados em outros tipos de ataques já documentados.

O número de códigos maliciosos e sua velocidade de criação são enormes, e só vão aumentando, tornando o método de assinaturas ineficaz contra ameaças avançadas e ataques de zero-day, em que o código nunca foi visto antes.

O next-generation antivírus (NGAV) vai além das assinaturas, e consegue detectar a presença de código malicioso pelo seu comportamento.

Os NGAVs são feitos com base em aprendizado de máquina e inteligência artificial e, por isso, conseguem aprender o comportamento normal da máquina para identificar quando um programa está infectado.

Como conseguem identificar comportamentos anormais nos sistemas, os NGAVs se mostram eficientes até contra ransomwares.

As soluções tradicionais de antivírus são ineficientes contra o ransomware, pois todos os dias surgem novos códigos maliciosos e variantes desse tipo de ameaça.

As soluções de next-generation antivírus da Cylance endereçam ameaças como ransomware e zero-day de maneira mais efetiva, atuando na prevenção do problema.

Se quiser entender um pouco mais a respeito sobre o cenário de ameaças avançadas, confira o IN|SECU.RE, nossa curadoria de relatórios de segurança da informação!

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *