As soluções de antivírus de próxima geração evitam todos os tipos de ataques, conhecidos e desconhecidos, monitorando e respondendo às táticas, técnicas e procedimentos (TTPs, pela sigla em inglês) do invasor.

Vamos definir o antivírus de próxima geração

O antivírus de próxima geração leva o software antivírus tradicional a um nível avançado de segurança de endpoints. Ele vai além das assinaturas de malware com base em arquivos conhecidos e da heurística porque é um enfoque com base em nuvem e centrado no sistema. Ele usa técnicas de análise preditivas orientadas por aprendizado de máquina e inteligência artificial e é associado à inteligência de detecção de ameaças para:

• Detectar e impedir ataques com e sem programas maliciosos (fileless)
• Identificar comportamentos maliciosos e TTPs de fontes desconhecidas
• Coletar e analisar dados abrangentes de endpoints para determinar as causas principais
• Responder a ameaças novas e emergentes que não eram detectadas anteriormente.
  

Os invasores atuais sabem exatamente onde encontrar as lacunas e os pontos fracos da segurança de perímetro de rede de uma organização e conseguem penetrá-los de modo a contornar facilmente o software antivírus tradicional. Esses invasores usam ferramentas altamente desenvolvidas para atacar vulnerabilidades que aproveitam:

• Ataques baseados em memória
• Linguagem de script do PowerShell
• Logins remotos
• Ataques baseados em macros

E como o antivírus tradicional se concentra apenas em ameaças baseadas em arquivo de assinatura ou definição, ele não pode detectar nenhum desses ambientes de ameaças modernas que não introduzem novos arquivos no sistema.

No entanto, o antivírus de próxima geração se concentra em eventos (arquivos, processos, aplicativos e conexões de rede) para ver como as ações ou os fluxos de eventos em cada uma dessas áreas estão relacionados. A análise de fluxos de eventos pode ajudar a identificar intenções, comportamentos e atividades maliciosos e, uma vez identificados, os invasores podem ser bloqueados.

Esse tipo de enfoque está se tornando cada vez mais importante hoje, pois organizações como a Major League Baseball, a National Hockey League e outras grandes organizações esportivas estão descobrindo cada vez mais que os invasores têm como alvo específico suas redes individuais. Os ataques são personalizados, têm vários estágios e apresentam um risco significativamente maior, e as soluções antivírus não têm a menor chance de detê-los.

De acordo com o 2017 Market Guide for Endpoint Detection and Response Solutions, o Gartner agora considera o Endpoint Detection and Response (EDR) um recurso de segurança fundamental. Quando combinado com o antivírus de última geração, as empresas podem identificar com mais precisão atividades suspeitas e não autorizadas, evitando muitos desses comportamentos e permitindo que os recursos respondam e corrijam ameaças maliciosas avançadas de maneira mais rápida e melhor do que nunca.

Para ajudar as soluções antivírus de última geração a identificar ameaças que saem do controle do antivírus tradicional, o EDR oferece um enfoque holístico de coleta de dados, que, por sua vez, potencializa o aprendizado de máquina, as técnicas de análise preditivas e o monitoramento de comportamento com um panorama completo do ambiente. Juntas, essas tecnologias ajudam as empresas a monitorar eventos e identificar padrões que podem ser suspeitos, transformando-os em visualizações de ataques que podem ser facilmente consumidas por administradores e respondentes.

O EDR pode ajudar a descobrir até as alterações mais minuciosas em arquivos, registros e redes, ajudando assim as equipes de segurança a identificar atividades maliciosas ocultas. A partir daí, o EDR ajuda as equipes de resposta a conter as ameaças identificadas e bloquear ataques emergentes e inéditos que, de outra forma, poderiam sair do controle da maioria das soluções antivírus de última geração.
A taxa mensal de crescimento de ataques cibernéticos foi de 328% em 2017

De acordo com o relatório The State of Endpoint Security do Ponemon Institute:

As empresas de software antivírus não só competem com os fornecedores que oferecem produtos semelhantes, mas também competem diretamente com os invasores mal-intencionados. Nessa disputa acirrada, os invasores têm a vantagem.

O relatório também observa que, das organizações que sofreram um ataque a endpoint que comprometeu a empresa, 77% afirmaram que foram vítimas de um ataque fileless (sem arquivo) ou exploit.

Claramente, o software antivírus está perdendo essa disputa.