7 razões pra você mudar para um NGAV

Se nos últimos anos a principal preocupação dos gestores de Segurança da Informação foi garantir que criminosos não conseguissem avançar utilizando brechas na rede, ou vulnerabilidades em aplicações.

Nesse percurso, um aspecto ficou bastante desprotegido: o endpoint.

Durante todo esse período, gestores confiaram nas tradicionais soluções de antivírus para trazer segurança ao usuário final. 

Acontece que o cenário mudou, e muito, quando ameaças complexas entraram no jogo.

As ATPs (Ameaças Persistentes Avançadas) entraram no jogo e tiraram, definitivamente, o sono do gestor de Segurança da Informação.

Isso porque esse tipo de ataque é geralmente direcionado a uma indústria em particular, e por conta disso, há muita engenharia social envolvida.

Por este motivo, inclusive, a porta de entrada é geralmente o usuário final, que é atraído à armadilha e levado a fazer o download de algum potencial código malicioso.

Esse tipo de ataque é desenhado para infectar a rede e comprometer ativos e informações sem ser percebido até que todo o estrago já tenha sido feito. 

A melhor defesa para os ATPs é uma forte proteção no endpoint e a utilização de um antivírus de próxima geração (Next-Generation Antivirus), solução que trabalha com um número variado de técnicas de prevenção, garantindo que nenhuma possibilidade de execução do código malicioso e invasão seja levada adiante.  

.

O que as empresas devem esperar de um antivírus de próxima geração? 

A proteção deve estar no cerne de uma solução para endpoint e as empresas devem procurar por soluções avançadas que auxiliam em todos os estágios de um ataque.

No primeiro estágio, de prevenção, a ferramenta deve conseguir interromper o funcionamento do malware antes que ele seja executado.

O segundo estágio é o de prevenção – a ferramenta deve agir na identificação rápida da ameaça, caso seja executada.

O terceiro estágio é o de resposta, ou seja, a ferramenta precisa agir imediatamente uma vez que a ameaça é detectada. 

Conheça as sete razões pelas quais a sua empresa deve adotar soluções de antivírus de próxima geração: 

.

1. Ajuda o gestor no controle da variável mais difícil: o comportamento do usuário

Gestores de SI sabem que o aspecto mais difícil na gestão da segurança é o controle do comportamento do usuário.

Tecnologias UBA podem auxiliar na identificação do problema, mas fazem pouco quando o assunto é prevenção.

Entre o download do código malicioso e sua identificação –por meio do UBA– pode haver semanas ou até mesmo meses.

Neste sentido, os antivírus de próxima geração são primordiais para prevenir as ameaças antes mesmo de chegarem ao ambiente interno. 

.

2. Auxilia na prevenção efetiva

Uma proteção avançada para endpoint deve conter técnicas que detenham ameaças já bem mapeadas pelo mercado.

Ferramentas que contenham uma camada extra de software que execute ações preventivas contra ameaças conhecidas são capazes de bloquear possíveis invasões.

Para que isso realmente funcione, é preciso contar com um fornecedor que tenha um banco de dados de ameaças realmente atualizado –e mais do que isso, que forneça updates regulares à ferramenta no cliente.   

A prevenção basicamente deve manter focar em evitar a ameaça antes mesmo que ela alcance o usuário, eliminando a possibilidade de contágio.

Isso pode ser feito a partir da prevenção à exposição, evitando páginas web suspeitas de abrigarem código malicioso, e controlando devices que são utilizados no dia a dia, mas que podem originar um ataque, como pendrives.  

.

3. Realiza a detecção dinâmica de vulnerabilidades

Utilizar vulnerabilidades de código como vantagem para invadir é uma técnica sofisticada.

Nesse contexto estão as ameaças de engenharia social que induzem o usuário a baixar arquivos e que são potenciais ameaças para invasões mais elaboradas.

A proteção ao endpoint deve incluir ferramentas anti-exploit, e que evitam ataques que utilizam vulnerabilidades envolvendo aplicações ou recursos de memória.

Isso é possível se a ferramenta trabalhar a partir do método do ataquem e não apenas atuar na prevenção utilizando o escaneamento do código shell.

Essa abordagem, aliás, é muito mais efetiva, já que os métodos de invasão não variam tanto – pelo menos não o seu cerne, ao contrário do código shell, muito fácil de ser modificado. 

.

4. Faz a detecção dinâmica do malware

Detectar e bloquear ataques com alvo fixo ou um exploit de dia zero precisa ser uma das principais funções de uma ferramenta efetiva de proteção do endpoint.

E isso envolve monitoramento em tempo real e análise de comportamento de aplicações e processos, com base nas atividades desempenhadas pelo sistema operacional, incluindo memória, disco, registro, rede entre outros.

Já que vários ataques começam utilizando esses processos de sistema e aplicações para mascarar suas atividades, a habilidade de inspecionar a execução desses processos e compreender seu contexto real de execução é a chave.

Esse método de detecção é mais efetivo quando roda no próprio equipamento – permitindo resguardar o endpoint mesmo quando ele está offline. 

.

5. Mitigação

Detectar ameaças é necessário, mas não é suficiente.

A habilidade de realizar ações de mitigação deve ser também uma parte integral de proteção ao endpoint.

As opções de mitigação de ameaças devem se basear nas políticas da empresa, e serem flexíveis o suficiente para cobrir um número abrangente de casos de uso, como a inclusão de arquivos em quarentena, a interrupção de processos suspeitos, a desconexão de uma máquina infectada da rede, até mesmo seu desligamento completo.

A mitigação deve ser automatizada e periodizada.

A mitigação rápida durante os estágios iniciais do ciclo de vida do malware minimizam os danos e aceleram a remediação.  

.

6. Remediação

Durante sua execução um malware geralmente cria, modifica ou apaga arquivos de sistema e registro, e altera configurações.

Essas alterações, ou o que é deixado para traz, pode causar mau funcionamento do sistema e instabilidade.

A ferramenta de proteção do endpoint deve estar apta a restabelecer o equipamento para seu estado antes do ataque, enquanto faz o log do que foi alterado e do que foi remediado com sucesso.  

.

7. Forensics

Já que nenhuma tecnologia é 100% efetiva, a habilidade de investigar em tempo real as origens do ataque também é uma função importante em uma ferramenta de proteção ao endpoint.

Ter visibilidade da atividade maliciosa no endpoint é essencial para o rápido entendimento do escopo do ataque e para a adoção de medidas apropriadas. 

.

É possível obter tudo isso de uma única solução? 

A partir dessas informações, as organizações precisam escolher entre obter uma solução de antivírus de próxima geração que integre as necessidades de proteção, prevenção, detecção e remediação, ou contar com várias soluções, de fornecedores diferentes, o que vai fatalmente exigir que haja integração manual das soluções.

Mais do que isso: as ferramentas precisarão conversar entre si para correlacionar e priorizar alertas.

O principal desafio, na segunda opção, é que é necessário haver sempre a intervenção manual para analisar os dados das soluções de maneira individual, a fim de se coordenar uma resposta.

Para muitas empresas de médio porte, isso significa dedicar recursos que vão pesar no orçamento e acabar deixando outros projetos a descoberto.  

Ou seja, um antivírus de próxima geração que seja efetivo precisa cobrir todos os pontos de maneira automatizada, e depender o mínimo de qualquer intervenção operacional humana para seu correto funcionamento. 

Gostou do nosso material?

Que tal conferir alguns dos nossos outros eBooks?