Antivírus de próxima geração (NGAV)

O que é antivírus de próxima geração (NGAV)?

O antivírus de próxima geração (NGAV) usa uma combinação de inteligência artificial, detecção comportamental, algoritmos de machine learning e mitigação de exploit para antecipar e evitar ameaças conhecidas e desconhecidas imediatamente. O NGAV é baseado em nuvem, permitindo implementação em horas, e não em meses, e eliminando a carga da manutenção de software, gerenciamento de infraestrutura e atualização de bancos de dados de assinaturas.

O NGAV é o próximo passo na proteção de endpoint, usando uma abordagem sem assinatura para fornecer segurança de endpoint mais completa e eficaz do que é possível com antivírus legado.

Antivírus de última geração vs. antivírus legado

Detecção de ameaças conhecidas/desconhecidas

O antivírus legado usa sequências de caracteres, chamadas de assinaturas, associadas a tipos específicos de malware para detectar e prevenir novos ataques de tipos semelhantes. Essa abordagem está se tornando obsoleta conforme invasores sofisticados encontram maneiras de contornar as defesas do antivírus legado para iniciar o ataque, como utilizar ataques sem arquivos com macros, mecanismos de scripting, ataques na memória, execução, entre outras.

O antivírus legado prende as organizações em um modo reativo, com a capacidade de se defender somente contra malware e vírus conhecidos catalogados no banco de dados do provedor do antivírus. Essa abordagem era a melhor disponível no passado, mas atualmente ela é totalmente inadequada, já que ameaças desconhecidas precisam ser tratadas com o mesmo rigor que ameaças conhecidas. Em uma pesquisa da Ponemon, 80% dos entrevistados que sofreram comprometimentos afirmaram que o ataque foi um ataque de dia zero novo ou desconhecido. Apenas 19% dos entrevistados que sofreram comprometimento responderam que a fonte identificada foi uma ameaça conhecida.

O NGAV elimina essas deficiências, pois a integração de métodos de prevenção mais sofisticados (como machine learning, detecção comportamental e inteligência artificial) elimina a dependência exclusiva de assinaturas para detectar atividades maliciosas. O NGAV protege contra ameaças desconhecidas e conhecidas, o que fica cada vez mais importante conforme os invasores passam a usar mais ataques sem arquivo. O NGAV permite expor os dois tipos de ameaças quase em tempo real e é muito mais eficaz em ajudar a organização a bloquear essas ameaças em uma velocidade muito maior do que no passado.

Tempo para retorno do valor

O antivírus legado também fica para trás em termos de tempo para retorno do valor, com implantação que leva, em média, três meses. Esse prazo é necessário porque o antivírus legado geralmente precisa da instalação de hardware no local físico. Além disso, após a instalação, a maioria das soluções legadas exigem bastante ajuste e configuração para que sejam totalmente funcionais.

No entanto, implementar uma solução NGAV verdadeiramente nativa em nuvem é menos trabalhoso, e a implementação completa pode levar apenas algumas horas. Como o NGAV é baseado na nuvem, não há necessidade de adquirir hardware ou software adicionais, implementar infraestrutura, nem arquitetar uma nova solução, e a dor de cabeça de realizar manutenção contínua e atualização de assinaturas é eliminada.

Impacto no endpoint

Com o antivírus legado instalado e funcionando no endpoint, o impacto pode ser significativo devido à adição ineficiente de capacidades de segurança ao longo do tempo, sobrecarregando os agentes e afetando negativamente o desempenho. Além disso, a dependência de assinaturas significa que os bancos de dados de assinaturas precisam ser atualizados constantemente para incluir as últimas adições. Essas atualizações consomem muitos recursos e tempo e, assim que uma atualização é concluída, ela já está desatualizada.

As soluções de NGAV são projetadas para empregar um único agente leve que seja discreto por natureza e tenha o mínimo de impacto no endpoint.

O que você deve procurar em uma solução de NGAV?

Uma solução de NGAV eficiente usa tecnologias inovadoras para evitar as técnicas, táticas e procedimentos (TTPs) em rápida mudança usadas por adversários para atacar organizações, incluindo malware comum, malware de dia zero e até ataques avançados livres de malware. Estas são as capacidades de prevenção que você deve buscar:

1. Prevenção de malware conhecido e desconhecido

a. Proteção contra malware sem assinatura

A proteção contra malware sem assinatura usa algoritmos de machine learning para determinar a probabilidade de um arquivo ser mal-intencionado. Novas ameaças são interrompidas imediatamente, e o tempo para retorno do valor é reduzido a zero.

b. Machine learning

Machine learning é capaz de detectar e prevenir malware conhecido e desconhecido no endpoint, estejam eles dentro ou fora da rede. Esse recurso permite a descoberta mais rápida e completa de indicadores de ataque, elimina ransomware e preenche as lacunas deixadas pelo antivírus legado.

2. Proteção contra ataques sem malware

a. Indicadores de ataque (IOAs)

Os IOAs correlacionam eventos de endpoint para detectar atividades sigilosas que indicam atividade mal-intencionada. Uma solução que depende de análise offline retrospectiva para encontrar IOAs não será capaz de acompanhar as ameaças emergentes, e o gerenciamento dela exigirá muitos recursos. Algoritmos online que usam machine learning e não exigem um conjunto inteiro de dados para executar uma análise útil são mais rápidos, mais eficientes e mais eficazes.

b. Bloqueio de exploit

O malware nem sempre é entregue em um arquivo. Ataques que usam macros, execução, ataques na memória e outras técnicas sem arquivo estão em ascensão. O bloqueio de exploit detecta e bloqueia exploits conforme eles ocorrem.

3. Integração de inteligência de ameaças

A inteligência integrada de ameaças permite a avaliação imediata das origens, do impacto e da gravidade das ameaças no ambiente, além de fornecer orientação para a melhor resposta e remediação.

4. Nativa em nuvem

A arquitetura de nuvem é o componente crítico na entrega de um antivírus verdadeiramente de última geração. O NGAV baseado em nuvem pode entrar em pleno funcionamento em segundos, sem necessidade de reinicialização, atualizações de assinatura, configuração nem compras de infraestrutura. Os algoritmos processam a atividade de endpoint conforme ela ocorre, expondo arquivos mal-intencionados e comportamento suspeito quase em tempo real, sem impacto no desempenho do endpoint.

Como funciona o NGAV

O NGAV usa novas tecnologias para proteger endpoints de uma forma fundamentalmente diferente do antivírus tradicional. Usando algoritmos de machine learning em uma arquitetura baseada em nuvem, o NGAV é capaz de impedir as ameaças em rápida evolução que são comuns hoje.

Como funciona:

1. Um único agente leve

A arquitetura baseada em nuvem e um único agente leve criam praticamente nenhum impacto no endpoint. Não é preciso prejudicar o desempenho em prol da segurança.

2. Capacidades de prevenção de última geração

Um antivírus verdadeiramente de próxima geração deve usar ferramentas e métodos de prevenção sofisticados que bloqueiem o malware e também impeçam ataques sem malware, independentemente das técnicas, táticas e procedimentos (TTPs) usadas pelos invasores. Alguns desses métodos e ferramentas incluem machine learning, bloqueio de exploit, whitelists e blacklists personalizadas, indicadores comportamentais do ataque (IOAs), atribuição de ataque e bloqueio de adware.

3. Não precisa de atualizações de assinatura

Machine learning ajuda a utilizar algoritmos sofisticados para analisar milhões de características de arquivos em tempo real e determinar se um arquivo é mal-intencionado. A tecnologia sem assinatura habilita soluções de NGAV como CrowdStrike Falcon® para detectar e bloquear malware conhecido e desconhecido, mesmo quando o endpoint não está conectado à nuvem.

4. Prevenção online e offline

O agente inteligente CrowdStrike Falcon® oferece prevenção online ou offline e oferece suporte ao processamento de dados e tomada de decisão no endpoint. Isso não só permite detecção e prevenção altamente precisas, mas também mantém o endpoint protegido em qualquer lugar, online ou offline.

5. Tempo para retorno do valor imediato

As soluções de NGAV são implementadas e entram em operação em horas, sem hardware ou software adicionais nem ajuste ou configuração. Clientes relataram a instalação de até 70 mil agentes em um só dia.

6. Sem carga de gerenciamento

As soluções de NGAV foram projetadas para integração perfeita aos ambientes sem adicionar complexidade. Elas não exigem nenhuma infraestrutura de gerenciamento local.

7. Integração

As soluções de NGAV se integram facilmente aos SIEMs existentes. O sensor Falcon da CrowdStrike atrai eventos coletados de endpoints, e as APIs do Falcon se integram com inteligência de terceiros e indicadores de comprometimento (IOCs) existentes. Assim, as organizações obtêm o máximo de valor de todo o investimento em segurança.

Substitua seu antivírus desatualizado

O CrowdStrike Falcon® Prevent é o novo padrão de prevenção, oferecendo proteção superior contra malware, exploits, invasões livres de malware e ameaças avançadas persistentes. As organizações recebem um nível sem precedentes de visibilidade de tentativas de ataque em uma árvore de processo fácil de ler que fornece os detalhes e o contexto necessários para entender e saber como remediar o que está acontecendo no endpoint de forma eficaz.

O Falcon Prevent praticamente não tem impacto nos endpoints e pode entrar em operação total em dezenas de milhares de endpoints em poucas horas. Após a implementação, o gerenciamento e a manutenção são feitos na nuvem, permitindo fácil integração com SIEMs existentes.