Como o antivírus de próximas gerações usa o Machine Learning para aumentar a segurança?

 

| Artigos | Segurança

O antivírus já foi a principal maneira de proteger os endpoints. Este software foi projetado para detectar programas maliciosos, impedi-los de serem executados e oferecer aos profissionais de segurança da informação uma maneira de removê-los.

Mas os ataques se tornaram mais avançados e o malware não é mais o único vetor de ameaças usado pelos hackers, diminuindo significativamente a eficácia do antivírus na proteção dos dados corporativos.

Hoje, os invasores podem usar malware fileless, exploração de dia zero e ameaças persistentes avançadas em uma campanha de ataque. Essas novas ameaças não usam assinaturas para que os programas antivírus tradicionais não consigam detectá-las e interrompê-las.

Com o antivírus tradicional perdendo sua vantagem, o antivírus de próximas gerações (NGAV) foi nomeado como o seu sucessor. Mas o que isso significa e como essa nova solução funciona? Quer saber mais? Continue lendo!

Como funcionavam os antivírus tradicionais?

Os softwares antivírus tradicionais foram projetados para detectar programas maliciosos, impedi-los de serem executados e removê-los.

Um produto antivírus inclui uma biblioteca de características conhecidas e estáticas de malware que precisa ser continuamente atualizada para manter-se a frente dos milhares novos malwares criados diariamente.

O antivírus examina arquivos e diretórios, comparando-os com essa biblioteca e rotula os programas maliciosos quando as correspondências são encontradas.

Ele impedirá que esses programas sejam executados e os removerá automaticamente, ou oferecerá ao usuário uma opção para remoção.

Contanto que a versão do antivírus seja atualizada pelo usuário e o fornecedor mantenha continuamente sua biblioteca atualizada, o usuário estará provavelmente protegido.

Mas, novamente, eles são protegidos apenas contra malwares mais antigos e conhecidos que podem ser detectados e bloqueados.

É aí que entra o antivírus de próximas gerações.

O que é o antivírus de próximas gerações?

O antivírus de próximas gerações (NGAV, da sigla em inglês Next Generation Antivirus) é uma nova geração de software criada para preencher a lacuna deixada pelo antivírus tradicional.

O que exatamente constitui o NGAV no setor de segurança cibernética ainda não está claro, já que não há uma definição amplamente aceita para o termo.

No mínimo, os produtos antivírus de próximas gerações precisam ir além da detecção baseada em assinatura e, ao mesmo tempo, incorporar algum tipo de tecnologia avançada. Um bom exemplo de solução é a Cylance Protect que já traz respostas rápidas.

 

A maioria das NGAV vai além do uso de indicadores de comprometimento (IOCs) e metadados, como assinaturas de vírus, endereços IP, hashes de arquivos e URLs.

Utilizando tecnologias como ciência avançada de dados, Machine Learning, inteligência artificial e análise de dados, as soluções antivírus de próximas gerações procuram padrões de comportamento usados por invasores para descobrir táticas, técnicas e procedimentos (TTPs).

Como o Machine Learning entra na segurança da informação?

O Machine Learning é um tipo de inteligência artificial que dá aos programas de computador a capacidade de aprender e se adaptar quando expostos a dados.

Especificamente, o antivírus de próximas gerações usa algoritmos de Machine Learning centrados na segurança para descobrir ameaças novas e desconhecidas. Ele constrói modelos a partir de entradas de exemplo e os usa para fazer previsões ou decisões, em vez de seguir instruções de programa estáticas.

O NGAV detecta padrões em dados, especificamente ameaças e malware online, para melhorar sua própria compreensão de como as ameaças atuais se comportam e aprender como serão as novas ameaças.

Em essência, quanto mais eles aprendem sobre ameaças, mais precisos eles se tornam em prever novas. Em um mundo onde novas ameaças ocorrem diariamente, uma resposta rápida é fundamental. 

O que buscar em um antivírus de próxima gerações?

Existem muitos critérios que podem ser usados ​​ao avaliar uma solução NGAV. À luz do atual cenário de ataques cibernéticos, acreditamos que algumas características específicas devem ser priorizadas durante qualquer avaliação. Veja quais são abaixo:

  • Nível de falsos positivos: o software NGAV tenta identificar o malware nunca visto antes e protegê-lo. Esta é uma tarefa mais difícil, menos definitiva, que tende a gerar um alto volume de falsos positivos. Ao testar o NGAV, vá além do malware previsto pelo fornecedor e verifique a configuração para avaliar a taxa de falsos positivos na vida real do produto;
  • Proteção contra o novo malware: um NGAV eficaz utiliza aprendizado de máquina avançado, análise de dados e inteligência artificial para identificar novas metodologias de ataque, defini-las como maliciosas e protegê-las. Quando possível, é altamente recomendável testar as habilidades da ferramenta considerada contra um conjunto de ameaças avançadas;
  • Proteção contra o novo ramsoware: é fundamental que uma solução NGAV use mecanismos eficazes para proteger contra novas ameaças de ransomware, incluindo aquelas que criptografam o registro mestre de inicialização, como o NotPetya.

Usar o antivírus de próximas gerações aliado ao Machine Learning permite aumentar a segurança e a automatização dos processos de segurança da informação

E, diferentemente do manual, um processo automatizado implica em um constante estado de melhoria na identificação, definição e detecção de malware em um ritmo muito mais rápido e preciso.

Gostou do nosso post? Que tal continuar aprendendo mais sobre como otimizar sua infraestrutura de TI? Faça o download gratuito do nosso e-book sobre Hiperconvergência e aprenda tudo sobre o assunto!

 

Copyright © 2012-2014 Integratto Tecnologia. Todos os direitos reservados. By Nébadon.