Ameaças zero day cosntumam passam pela proteção antivírus, dando-lhe uma má reputação. No entanto, os antivírus do Windows ainda desempenham papel importante na estratégia de segurança corporativa
O AV-TEST Institute testou recentemente os produtos antivírus mais populares do Windows 10 em três critérios principais: proteção, desempenho e usabilidade. Os produtos que obtiveram as classificações mais altas em todas as três áreas foram o Kaspersky Lab Endpoint Security 10.3, o Symantec Endpoint Protection 14.0, o Endpoint Protection Cloud 22.11 e o Trend Micro Office Scan 12.
Um infográfico da AV-Test Institute resume os resultados, juntamente com os dados de teste anteriores do Windows 7 e do Windows 8.
Por que o melhor software antivírus pode não ser suficiente
O antivírus tradicional baseado em assinaturas é notoriamente ruim para impedir ameaças mais recentes, como malware e ransomware zero day, mas ainda assim tem um lugar nas empresas, dizem os especialistas, como parte de uma estratégia de proteção de segurança de terminais. Os melhores produtos antivírus atuam como a primeira camada de defesa, impedindo a grande maioria dos ataques de malware, deixando o software de proteção de endpoints mais amplo com uma carga menor para lidar.
De acordo com uma pesquisa entre os participantes do Black Hat deste ano, 73% acreditam que o antivírus tradicional é irrelevante ou obsoleto. "A percepção dos recursos de bloqueio ou proteção do antivírus certamente diminuiu", diz Mike Spanbauer, vice-presidente de estratégia e pesquisa da NSS Labs, Inc.
Muitas pesquisas recentes apoiam esse ponto de vista. Em dezembro de 2017, a empresa de segurança WatchGuard Technologies divulgou os resultados de um teste abrangente de antivírus tradicionais. Eles calcularam o desempenho de um produto antivírus tradicional líder em detectar ameaças zero day observando clientes que tinham antivírus tradicionais e produtos de proteção de endpoint de última geração instalados. O antivírus tradicional detectou 9.861.318 variantes de malware, mas perdeu 3.074.534 outras que foram capturadas por uma plataforma de próxima geração que usava uma abordagem baseada em comportamento. Essa é uma taxa de falha de cerca de 24%.
O produto antivírus tradicional era da AVG Technologies, um produto bem revisado. De fato, em um relatório divulgado no final de 2017 pela AV Comparatives, a AVG obteve 99,6% das amostras testadas, tornando-se um dos dez principais produtos no mercado.
O antivírus é particularmente ruim na captura de ransomware, uma das maiores ameaças que as empresas enfrentam. Em uma pesquisa realizada em março de 2017 com 500 organizações, o fornecedor anti-phishing KnowBe4 descobriu que apenas 52% das empresas conseguiram impedir um ataque simulado de ransomware. Para o resto, o ransomware foi capaz de superar as defesas antivírus.
Uma nova ameaça chamada Process Doppelganging aproveita a capacidade do recurso de transações no sistema de arquivos NTFS do Windows. O malware executa operações em arquivos que os tornam invisíveis para o software de segurança. "Do ponto de vista técnico, [nossa] pesquisa mostra que os mecanismos de verificação de arquivos corretos são difíceis de acertar e, especificamente, que o tratamento correto das transações é ainda mais difícil", diz Udi Yavo, pesquisador da enSilo, que descobriu o Process Doppelganging.
"No entanto, acho que a principal conclusão desta pesquisa é que ter uma única linha de defesa não é suficiente, e às vezes até mesmo pequenos truques podem levar a desvios, mesmo em produtos maduros. As empresas devem migrar para soluções que possam bloquear ataques em cenários pré e pós-execução ”, diz Yavo.
O NSS Labs também está executando testes de ferramentas de proteção de terminais tradicionais e de próxima geração. Em suas últimas rodadas de testes, a empresa concentrou-se apenas em fornecedores que possuem recursos avançados de detecção. No ano passado, quando os testes incluíram também fornecedores exclusivos, os produtos tradicionais tiveram um desempenho ruim.
O problema é agravado se as novas ameaças forem projetadas para se espalhar rapidamente em uma empresa e causar o máximo de danos o mais rápido possível, e agravadas novamente se as empresas atrasarem o lançamento de atualizações de antivírus. Além disso, a quantidade de malware está crescendo exponencialmente, de acordo com o AV-TEST, portanto, mesmo que um determinado produto tenha uma alta taxa de detecção, mais e mais malwares, em termos absolutos, passarão despercebidos. Além disso, se os invasores perceberem que um determinado tipo de malware está sendo processado, eles poderão duplicá-lo.
Esses quatro fatores combinados ajudaram a impulsionar o recente ransomware WannaCry para mais de 400 mil dispositivos infectados e o potencial impacto financeiro total de até US$ 8 bilhões. Isso não significa que o antivírus tradicional seja completamente obsoleto. Ele ainda tem um lugar na empresa, dizem os especialistas, porque é muito eficaz em identificar e bloquear ameaças conhecidas de maneira rápida, eficiente e com mínima intervenção humana. Além disso, o antivírus tradicional é uma exigência de conformidade em alguns setores.
O caso do antivírus tradicional
Uma empresa que não tem escolha sobre o uso de antivírus tradicionais é a National Mortgage Insurance Corp, sediada em Emeryville, na Califórnia. “Nossos clientes são bancos e muitos exigem um antivírus tradicional baseado em assinaturas como parte da defesa que oferecemos", diz Bob Vail, diretor de segurança da informação da empresa.
A Sophos, fornecedora de antivírus da empresa, tem um bom histórico de detecção e é muito leve, diz ele. Isso faz com que seja uma boa primeira rodada de defesa, mas Vail diz que sabe que não é suficiente.
A empresa também possui um segundo nível de proteção para proteger contra o malware que passa, um sistema baseado em comportamento da enSilo. Os dois produtos funcionam bem juntos, diz Vail. "Se um vírus conhecido cair, a Sophos colocará o arquivo em quarentena antes que ele tenha a chance de ser executado", diz ele. "Mas as coisas que passam, o enSilo vai processá-las, então é uma defesa clássica em profundidade."
O antivírus tradicional é um bom complemento às tecnologias mais recentes, como as que envolvem análise de comportamento, sandbox e Machine Learning. As ferramentas mais avançadas podem exigir mais capacidade de processamento, o que pode reduzir a velocidade dos computadores. Se o produto executar testes comportamentais ou outros em ameaças potenciais antes de permitir o acesso do usuário, isso poderá afetar a produtividade. Se o produto permite que as ameaças passem, para realizar testes separadamente, o malware tem uma janela de oportunidade para obter acesso aos sistemas corporativos.
Finalmente, quando uma nova ameaça é detectada, um trabalho adicional é necessário para mitigar a ameaça e gerar assinaturas para proteger contra a ameaça no futuro. "O primeiro nível de defesa será sempre algum tipo de defesa baseada em assinaturas", diz Raja Patel, VP de produtos corporativos da McAfee LLC.
Sem essa seleção inicial baseada em assinaturas, as empresas terão que gastar muito mais tempo, esforço e dinheiro para lidar com todas as ameaças que surgem, diz ele. "Você pode imaginar quanto uma equipe de segurança teria que suportar". Se uma ameaça pode ser capturada e interrompida imediatamente, é a opção mais barata. "O antivírus baseado em assinatura economiza o esforço humano e reduz os falsos positivos e os atrasos de tempo", diz ele. "É uma primeira camada fantástica e será por muito tempo".
Ferramentas tradicionais de última geração estão convergindo
À medida que a indústria amadurece, as empresas poderão obter o pacote completo de ferramentas de proteção contra malware de um único fornecedor, se ainda não o fizerem. Os fornecedores de antivírus tradicionais estão adicionando recursos de próxima geração, enquanto os fornecedores de próxima geração estão incluindo proteções baseadas em assinatura em suas suítes.
A startup de segurança Endpoint CrowdStrike, por exemplo, lançou sua plataforma Falcon tudo-em-um há três anos, permitindo que clientes como o Centro de Estudos Estratégicos e Internacionais, um think tank de Washington, DC, conseguissem tudo em um só lugar. "Nós já tínhamos o CrowdStrike e confiamos nele como parte da segurança de endpoint", diz Ian Gottesman, CIO da organização. "Estender essa solução para incluir antivírus foi vantajoso para o CSIS. Eu recomendaria que qualquer outra organização fizesse o mesmo."
De acordo com uma pesquisa divulgada em 2017 pelo SANS Institute, cerca de 95% dos entrevistados esperam ver a proteção antivírus incluída em sua solução de endpoint de próxima geração. Os fornecedores de antivírus tradicionais também não estão à margem.
Em vez disso, muitos estão comprando ou construindo as ferramentas da próxima geração que podem ajudar a capturar os ataques que recebem defesas baseadas em assinaturas. "O antivírus será extinto nos próximos anos, a menos que seja capaz de evoluir", afirma Luis Corrons, diretor técnico do PandaLabs na Panda Security, um fornecedor tradicional de antivírus. "Nós da Panda temos plena consciência disso."
A empresa tem invstido na detecção de malware baseada em comportamento há vários anos, mas mesmo isso não é suficiente. Muitas violações de segurança bem sucedidas não envolvem nenhum software malicioso, diz ele. "Para deixar bem claro, um antivírus tradicional é inútil contra esses ataques, já que não há malware envolvido", diz ele. Por exemplo, os invasores podem aproveitar o software não malicioso existente.
A empresa lançou recentemente novas ferramentas para monitorar o comportamento de todos os aplicativos ativos em uma empresa. "Isso nos permite ter total visibilidade do que está acontecendo em nossa rede", diz ele.
A McAfee também acrescentou novas camadas de proteção, diz Patel. "As defesas baseadas em assinaturas irão protegê-lo depois que você souber sobre as ameaças, mas elas não protegerão o paciente zero e o período de tempo após a infecção", diz ele. "Adicionamos dois novos recursos de proteção no ano passado - Machine Learning e contenção dinâmica de aplicativos".
Mas algumas empresas ainda confiam apenas no antivírus tradicional
As taxas de infecção por ransomware mostram que muitas empresas ainda não possuem proteção adequada de endpoint. De acordo com uma pesquisa da IBM , quase metade de todas as empresas foram vítimas de ransomware em 2016, com 70% delas decidindo pagar o resgate.
As pequenas empresas também são atingidas. Uma pesquisa de 2017, realizada peloInstituto Ponemon mostrou que 51% das pequenas e médias empresas sofreram um ataque de ransomware, mas, apesar disso, 57% disseram que eram "muito pequenas" para serem alvos de ransomware.
De acordo com um relatório de maio de 2017, da VIPRE Security, 48% dos gerentes de TI e pequenas e médias empresas dizem que uma empresa de seu porte não precisa de segurança de endpoint com recursos avançados de defesa contra malware.
Isso é um erro, diz Spanbauer, da NSS Labs. Há tantas boas opções disponíveis no mercado hoje, e preços muito competitivos, que nenhuma empresa deveria estar usando antivírus baseado em assinatura, diz ele. "Não há um argumento de preço ou proteção que possa ser feito para tornar o antivírus tradicional a primeira escolha ou a recomendação preferida para qualquer ambiente específico." Uma proteção mais abrangente é mais fácil de encontrar do que nunca, com até mesmo produtos básicos oferecendo controles avançados, acrescenta. "É difícil encontrar um produto antivírus estritamente exclusivo para assinatura atualmente."