Dez sinais de que é hora de rever sua proteção de endpoint

Rob Collins*

A próxima geração de proteção de endpoint (EPP) contra ataques baseados em código já existe há alguns anos, mas muitas organizações ainda executam sua solução tradicional simplesmente porque não conhecem os benefícios das novas soluções. Elas optam pelo caminho mais fácil e apenas renovam a assinatura, ano após ano.

Os empresários pensam que têm proteção suficiente ou que seu trabalho depende de passar o dia todo gerenciando as ferramentas. Então, como você sabe quando é hora de mudar? Aqui estão dez sinais de que é hora de atualizar:

Você ainda está usando um antivírus (AV) baseado em assinaturas.
A tecnologia baseada em assinaturas é muito lenta para acompanhar ataques de dia zero, transformação ou recodificação de malware com empacotadores. Sempre haverá vítimas até que a assinatura seja criada pelo fornecedor, enviada aos clientes, testada e implementada – um processo que pode levar dias a partir da identificação inicial do malware.

Os dispositivos que não são atualizados, mesmo que por apenas um dia, estão vulneráveis aos últimos malwares. As máquinas virtuais inativas, vitais para a continuidade dos negócios no caso de um surto de malware, também são altamente expostas até que possam ser atualizadas com as assinaturas mais recentes. Se uma de suas métricas de segurança cibernética for o número de máquinas com assinaturas atualizadas, é hora de revisar seu EPP.

O outro problema é que os conjuntos de assinaturas não podem ser infinitamente grandes, de modo que os fornecedores de antivírus tradicionais descartam assinaturas de malware que consideram pouco usadas. Muitas vezes, vejo malwares antigos detectados em servidores de AVs da próxima geração e já ouvi falar de infecções de WannaCry ocorridas ao longo de um ano após o surto inicial. As novas soluções são geralmente sem assinatura.

Você acha que o ransomware é “um negócio de rotina”.
O grande número de surtos de ransomware nos últimos anos é uma indicação de que as soluções tradicionais de AV falharam conosco. Como solução alternativa, muitas empresas aprimoraram seus processos de backup, implementaram o software de reversão e a lista aprovada de aplicativos, e se tornaram mais preparados para reagir a ataques de ransomware. Eu falo com empresas nas quais responder ao ransomware tornou-se um processo “business as usual” e considera gerenciável sofrer três ataques por ano.

O bom do ransomware (se é que existe tal coisa) é que ele é “barulhento” e avisa que você foi comprometido. Mas, se o ransomware puder ser executado, os RATs (Remote Access Trojans), keyloggers e APTs (ameaças persistentes avançadas) também têm acesso e podem roubar seus dados silenciosamente. As soluções de próxima geração podem impedir o ransomware e outros malwares avançados, além de ataques de dia zero.

Você ainda faz varreduras regulares.
As varreduras diárias ou semanais são exigidas pelo antivírus tradicional, para que elas tenham a chance de detectar malware nas unidades locais com as novas informações recebidas nas atualizações diárias dos arquivos de dados nas assinaturas.

Os usuários frequentemente adiam as varreduras (às vezes, por vários dias consecutivos), deixam suas máquinas ativadas durante a noite ou definem suas folgas quando essas varreduras acontecem. Por quê? Porque elas deixam o dispositivo lento. O AV da próxima geração não requer verificação em segundo plano.

Você acabou de comprar novas máquinas, mas elas parecem lentas.
O AV tradicional, utilizado junto com as soluções adicionais necessárias para proteger o PC devido às deficiências do próprio AV tradicional, usa uma porcentagem muito maior de recursos do sistema do que o AV da próxima geração.

Você ainda está usando um servidor in loco para gerenciamento de antivírus.
É 2018. Se não conseguir gerir o seu AV a partir da nuvem, é hora de atualizar. Mas tenha cuidado – algumas soluções antivírus de última geração exigem conectividade constante com a Internet para serem eficazes, enquanto outras permanecem eficazes mesmo quando desconectadas.

Você gasta muito tempo gerenciando o AV.
O gerenciamento de AV não agrega nenhum valor ao seu negócio. AVs de próxima geração requerem menos sobrecarga de gerenciamento – políticas simples, sem alarmes falsos, sem rastreamento de atualizações diárias, sem varreduras em segundo plano e sem servidor de gerenciamento para manter. Você pode reutilizar a equipe para atividades que agreguem valor ou para tarefas proativas (e mais interessantes) de segurança cibernética, como a caça às ameaças.

Você gasta muito tempo respondendo a alertas que não são nada.
Embora as assinaturas funcionem bem na interrupção de malwares conhecidos e tendam a não ter muitos falsos positivos, os recursos extras que foram adicionados para impedir novos malwares podem resultar em muitos alarmes falsos. Heurística, identificação baseada em comportamento, sandboxing, prevenção de invasões baseada em host, filtragem de URL e reputação adicionam o potencial de ruído e falsos positivos.

Você não tem fé no seu EPP.
Você está olhando para a lista de permissões de aplicativos, IPS baseado em host, filtragem de reputação, sandbox, prevenção de perda de dados, detecção de malware baseada em comportamento ou firewalls baseados em host? Se você seguir o dinheiro, há pouco incentivo para os fornecedores de antivírus tradicionais consertarem seu produto principal. Eles prefeririam vender-lhe qualquer número de tecnologias de reforço e empurrar a abordagem de “defesa em profundidade” (ou seria “despesa em profundidade”?).

Você está olhando para o EDR porque você não tem fé no seu EPP.
O Endpoint Detect Response (EDR) é a novo queridinho de uma indústria que procura maneiras de extrair mais dinheiro do seu negócio. Existem duas escolas de pensamento sobre EDR: uma considera que é mais uma camada de defesa profunda que as organizações podem usar em paralelo com sua solução falida de AV tradicional, para que possam identificar e reverter qualquer dano causado por malware.

A outra acredita que o EDR pode ser preventivo e fornecer mais inteligência sobre como um malware chegou a um endpoint, identificar e prevenir invasores off the land, fornecer recursos de pesquisa poderosos para indicar comprometimento e detectar/prevenir códigos de ataque como modificação de arquivos, uso mal-intencionado do PowerShell ou exclusão de log, entre outros.

De qualquer forma, se você deseja complementar seu EPP porque não acredita nele, por que não começar analisando o que a próxima geração de antivírus pode oferecer?

Você precisa atualizar seus sistemas operacionais porque seu AV não suporta versões mais antigas.
Sabemos que os hospitais e o varejo são notórios por executar sistemas operacionais mais antigos, preferindo direcionar seu orçamento para salvar vidas ou contratar mais funcionários do que pagar para atualizar algo que não é considerado quebrado.

Os ambientes de tecnologia operacional são frequentemente bloqueados para usar os sistemas operacionais implantados inicialmente e não podem ser atualizados. A boa notícia é que a natureza leve de alguns produtos antivírus da próxima geração os torna adequados para máquinas antigas que executam sistemas operacionais mais antigos, portanto não há necessidade de deixá-los desprotegidos.

Conclusão
O tempo para revisar sua proteção de endpoint é agora. Não continue tendo noites inquietas preocupando-se com o próximo surto sem se torne notícia na primeira página por causa de uma violação. Não continue sobrecarregando sua equipe de TI com o gerenciamento de servidores, monitorando atualizações/verificações e correndo atrás de detecções falsas, quando ela pode estar fazendo coisas mais produtivas e proativas.

Não continue comprando camadas adicionais de segurança, pois isso aumenta o controle do atrito, desacelera as máquinas e leva a um aumento de shadow IT. A próxima geração de produtos AV proporcionará aos usuários um retorno de desempenho, uma proteção melhor e liberarão a equipe de segurança para mais atividades de agregação de valor.

Sobre o autor
Rob Collins é o Diretor de Engenharia de Sistemas e Pré-Vendas da região APAC na Cylance. Iniciou sua carreira em segurança cibernética 15 anos atrás, com passagens pela Blue Coat, Trend Micro, WatchGuard e FireMon, entre outras empresas. Rob tem um mestrado em Administração de Empresas sobre gerenciamento de tecnologia e trabalhou com vários tipos de organizações para ajudá-los a proteger melhor suas informações.