Data de publicação: 20 de dezembro de 2023
Colaboradores: Gregg Lindemulder, Amber Forrest
O antivírus de última geração, ou NGAV, é uma tecnologia baseada na nuvem que usa inteligência artificial, aprendizado de máquina e análise comportamental para proteger endpoints de malwares e outros tipos de ameaça cibernética.
Ao contrário dos softwares antivírus tradicionais, que usam detecção baseada em assinatura para identificar ameaças conhecidas anteriormente, o NGAV pode detectar ameaças de malware desconhecidas e comportamentos maliciosos à medida que ocorrem, quase em tempo real. Dessa forma, ele oferece um método mais eficaz para lidar com ameaças modernas, como ransomware, ataques de script, malwares sem arquivo e vulnerabilidades de dia zero.
Obtenha insights para gerenciar melhor o risco de uma violação de dados com o relatório mais recente do custo das violações de dados.
Cadastre-se no X-Force Threat Intelligence Index
As soluções de AV legadas utilizam um banco de dados de assinaturas e heurísticas de malware para detectar vírus em dispositivos de endpoint, como computadores desktop, notebooks, tablets e smartphones. Essas assinaturas são cadeias de caracteres dentro de um arquivo que indicam a possível presença de um vírus.
Essa abordagem deixa os endpoints vulneráveis a possíveis ameaças que ainda precisam ser identificadas e catalogadas no banco de dados de assinatura. Mesmo com atualizações frequentes de assinatura, um arquivo malicioso novo ou desconhecido pode não ser detectado.
Por outro lado, as soluções NGAV usam detecção comportamental para identificar as táticas, técnicas e procedimentos (TTPs) associados aos ataques cibernéticos. Algoritmos de aprendizado de máquina monitoram continuamente eventos, processos, arquivos e aplicações em busca de comportamento malicioso.
Se uma vulnerabilidade desconhecida for visada pela primeira vez em um ataque de dia zero, o NGAV poderá detectar e bloquear a tentativa. O NGAV também pode impedir ataques sem arquivo, como aqueles que exploram o Windows PowerShell e macros de documentos, ou e-mails de phishing que convencem os usuários a clicar em links que executam malware sem arquivo.
Como uma tecnologia baseada em nuvem, a NGAV também é mais rápida, mais fácil e mais econômica de implementar e gerenciar do que suas contrapartes tradicionais. Com sua capacidade de monitorar a atividade do endpoint e fornecer resposta imediata a incidentes, ele pode bloquear muitos dos vetores de ataque que os hackers usam para penetrar nos sistemas.
O NGAV baseado na nuvem pode ser implementado, atualizado e gerenciado com muito mais rapidez, facilidade e menos recursos que o AV tradicional. Não há hardware ou software extra para instalar e configurá-lo, nenhuma atualização de assinatura para administrá-lo continuamente e tem pouco ou nenhum impacto no desempenho do endpoint.
O antivírus legado pode detectar apenas as assinaturas de malware conhecidas que já foram identificadas e inseridas em um banco de dados. O NGAV monitora e analisa comportamentos de endpoints quase em tempo real para detectar e bloquear ameaças conhecidas e desconhecidas, incluindo ataques de dia zero.
O NGAV oferece às equipes de segurança a capacidade de se defenderem proativamente contra ameaças avançadas e em rápida evolução. Com o tempo, os algoritmos de aprendizado de máquina tornam-se mais eficazes na distinção entre comportamentos normais de endpoint daqueles que aumentam o risco de um ataque cibernético.
Embora os recursos sejam diferentes entre os fornecedores, a maioria das soluções NGAV oferece os seguintes recursos:
- Algoritmos de aprendizado de máquina: o NGAV pode examinar milhares de características de arquivos e atividades de endpoints quase em tempo real e identificar anomalias e ações inesperadas que podem ajudar a evitar ameaças conhecidas e desconhecidas.
- Análise comportamental: o NGAV estabelece comportamentos de referência e identifica comportamentos suspeitos que indicam atividade maliciosa ou ataque cibernético por meio da análise de usuários, dispositivos, aplicações e sistemas.
- Inteligência de ameaças: muitas soluções de NGAV podem integrar a mais recente inteligência de ameaças nas fontes, táticas e impactos de ataques de malware específicos, para ajudar a detectá-los e bloqueá-los com mais rapidez e eficácia.
- Análises de dados preditivas: o NGAV pode alimentar a enorme quantidade de dados coletados em modelos preditivos que detectam a provável presença de malware ou um potencial ataque cibernético antes que ocorra e, em seguida, tomar medidas para prevenir ou minimizar danos.
Embora o NGAV seja mais eficaz do que os softwares antivírus tradicionais, ele não é infalível. Ocasionalmente, ele pode gerar um falso positivo ou não conseguir detectar um vírus. Os cibercriminosos e os hackers ainda estão criando e testando novos métodos para burlar as mais novas tecnologias de proteção antivírus.
Caso as defesas do NGAV sejam violadas em um dispositivo de endpoint, as organizações muitas vezes recorrem a outras tecnologias, como detecção e resposta de endpoint (EDR), gerenciamento unificado de endpoints (UEM) ou gerenciamento de informações e eventos de segurança (SIEM). Essas soluções de segurança oferecem uma abordagem mais ampla e sistêmica para a prevenção e mitigação de ameaças cibernéticas em muitos endpoints diferentes.
Implemente sem dificuldades soluções avançadas de defesa contra ameaças móveis (MTD) para proteger todo o seu ambiente móvel contra ameaças cibernéticas e riscos com base no usuário.
Registre, gerencie e proteja todos os dispositivos, corporativos e pessoais, locais e remotos, em um único console.
O UEM permite que as equipes de TI e segurança monitorem, gerenciem e protejam todos os dispositivos do usuário final na rede de maneira consistente, usando uma única ferramenta.
O SIEM ajuda as equipes de segurança a detectar anomalias de comportamento do usuário e usar IA para automatizar processos manuais associados à detecção de ameaças e resposta a incidentes.
A primeira linha de defesa de cibersegurança de uma rede, a segurança de endpoints protege os usuários e dispositivos — desktops, notebooks, dispositivos móveis, servidores — contra ataques cibernéticos.