Estará o antivírus, tal com o conhecemos, morto? Não colocando em causa as capacidades avançadas de deteção e resposta a incidentes que o EDR (Endpoint Detection and Response) proporciona, esta não é a solução ideal para todas as organizações. Em que momento é o EDR preferível a um Antivírus?

 

É importante saber identificar a diferença entre estas duas soluções para que se possa saber em que circunstância utilizar uma ou outra, ou até mesmo as duas! Mesmo que pareça óbvio para todos que a eficácia do EDR é superior à do antivírus, no momento em que pergunta “Porquê?”, a resposta é muitas vezes confusa.

 

1. ANTIVÍRUS

MODOS DE DETEÇÃO: ASSINATURA E ANÁLISE HEURÍSTICA

 

Assinatura

A funcionalidade básica de um antivírus é a deteção com base na assinatura.

 

O que é uma assinatura?  

Uma assinatura digital é uma característica específica de um ficheiro malicioso (malware, ransomware, Rootkit, etc.) ou uma ação maliciosa (trocas numéricas com um IP ou domínio de um atacante).

 

Cada antivírus contém uma base de dados de assinaturas digitais que é atualizada regularmente pelo seu editor (predefinido) e, por vezes, por outras fontes de terceiros, no momento de configurações avançadas.

 

Se um ficheiro entrar no sistema ou se for executada uma ação que contenha uma marca correspondente a uma das assinaturas presentes na base de dados do antivírus, este detetá-la-á e tomará uma das medidas de remediação associadas.

 

Limites de uma deteção com base em assinatura

Uma grande parte dos Antivírus baseia a sua deteção única e exclusivamente numa base de dados de assinaturas. Infelizmente, esse método de deteção é limitado, uma vez que a deteção só pode ser eficaz se uma assinatura permitir identificar a ameaça. Essa ameaça já deve, portanto, ser conhecida pelo antivírus. Se esta atividade maliciosa for nova, não se assemelhando a nenhuma das que foram identificadas no passado, o antivírus baseado em assinaturas não terá qualquer hipótese de a detetar: o que quer dizer que perdeu.

 

Análise Heurística

Uma análise heurística consiste na identificação de uma fonte de ameaças para a estrutura de um ficheiro (análise estática) ou do seu comportamento no momento da sua execução (análise dinâmica - Sandboxing).

 

Ao contrário do que se afirma noutros artigos sobre este assunto, especialmente de editores de EDR, esta não é uma funcionalidade específica dos EDR. Na verdade, está de igual forma presente em determinados antivírus avançados (ou é muitas vezes oferecida como opção). Por exemplo, os seguintes antivírus apresentam tais funcionalidades: Kaspersky Endpoint Security 10, ESET NOD32 ou Bitdefender Total Security.

 

Limites da deteção por via de análise heurística

A deteção por via de análise heurística permite a um antivírus detetar ficheiros maliciosos que nunca foram identificados no passado e que não se encontram classificados na base de dados. No entanto, esta deteção só será possível se o modo de funcionamento ou a estrutura desse ficheiro se assemelhar a uma outra estirpe conhecida do ficheiro malicioso (conhecido como uma variante). Se se tratar de uma variante bastante afastada das estirpes conhecidas ou de uma técnica de ataque (nomeadamente, em casos de ataque de dia zero), a análise heurística não será capaz de o detetar.

 

RESPOSTA À DETEÇÃO

Num antivírus, as possibilidades de resposta à deteção de uma ameaça são essencialmente limitadas aos seguintes elementos:

  • Bloqueio da execução de um ficheiro malicioso;
  • Supressão do ficheiro malicioso;
  • Colocação em quarentena do ficheiro malicioso;
  • Alerta de feedback para uma consola central de deteção.

 

2. EDR: O REI DA SEGURANÇA ENDPOINT

MODO DE DETEÇÃO: COMPORTAMENTAL E INTELIGÊNCIA ARTIFICIAL

 

Em primeiro lugar, todos os métodos de deteção oferecidos por um Antivírus (por assinatura e heurísticos) são oferecidos por um EDR (salvo raras exceções). Nesta secção iremos, portanto, analisar as capacidades de deteção suplementares que o EDR oferece em comparação com o antivírus.

 

Deteção comportamental

Esta capacidade de deteção é certamente a maior vantagem que o EDR tem sobre o Antivírus. Consiste na correlação da sequência de eventos e na identificação de comportamentos maliciosos. Independentemente de qual for a assinatura, tentamos detetar um comportamento suspeito e verificar se este corresponde a um modelo de ataque conhecido.

 

As possibilidades de ataque são infinitas, mas o número de técnicas utilizadas nestes ataques (TTP) é quantificável e evolui muito menos que o número de estirpes de malware. Muitas das equipas de ciberdefesa baseiam-se precisamente na matriz ATT&CK do MITRE, que faz referência, de forma exaustiva, às técnicas de ataque conhecidas. Se conseguir mapear os comportamentos a partir desse conjunto de técnicas e ataques e os conseguir traduzir em regras de deteção comportamental num EDR, conseguirá detetar tudo!

 

Na verdade, a obtenção deste resultado é quase impossível. Em primeiro lugar, porque cada uma das técnicas de ataque produz uma variedade de comportamentos possíveis e dificilmente quantificáveis, mas também porque alguns destes comportamentos são semelhantes a comportamentos legítimos: o afogamento em falsos positivos é garantido se os tentar detetar. (portanto, mesmo o EDR nunca será capaz de os detetar a todos).

 

Mas não importa o resultado, uma vez que pode, com o EDR, expandir consideravelmente a sua capacidade de deteção graças à sua análise comportamental.

 

A inteligência artificial

A inteligência artificial (e os seus derivados: Machine Learning, UEBA, Deep Learning, etc.) está presente num grande número de EDR, e completa a deteção comportamental. Na verdade, a inteligência artificial vai aprender, graças à análise comportamental, quais são os hábitos exercidos nos Endpoints que esta protege. A IA vai identificar potenciais desvios e anomalias e, eventualmente, levantar um alerta.

 

A inteligência artificial é uma funcionalidade promovida pelos fornecedores de EDR que é, com frequência, mal compreendida pelos seus utilizadores e pelos vendedores que a apresentam como uma solução mágica. A inteligência artificial não tem nada de mágico e é o resultado de algoritmos que têm sido testados ao longo de muitos anos de investigação. Apesar disso, estes algoritmos precisam de um certo trabalho de adaptação ao ambiente em que são utilizados. 

 

RESPOSTA À DETEÇÃO

Da mesma maneira que a deteção, os métodos de resposta à deteção oferecidos pelo Antivírus também estão disponíveis com um EDR. Para além destas capacidades, o EDR oferece também as seguintes (lista não exaustiva):

 

  • O fornecimento de uma interface intuitiva e de dados de investigação estratégicos;
  • O controlo remoto por um analista de resposta de incidentes;
  • A exploração do sistema de ficheiros da estação de trabalho pelo analista;
  • A colocação em quarentena e isolamento da estação de trabalho em relação ao resto da rede.

 

CONCLUSÃO

 

EDR: A excelência na deteção e resposta a incidentes

De um ponto de vista funcional, o EDR não deixa nada a desejar, quando comparado com o seu “antepassado”, o antivírus. O EDR é o produto de excelência em matéria de deteção e resposta a incidentes em terminais e ultrapassa, de longe, o antivírus nestas categorias.

 

O EDR: uma ferramenta que requer experiência

Não obstante, as capacidades de deteção e de resposta do EDR requerem alguma experiência para que possam ser utilizadas no seu máximo potencial!

 

Por um lado, as suas capacidades avançadas de deteção baseadas na análise comportamental e inteligência artificial devem ser utilizadas com cautela: estas técnicas têm o inconveniente de gerar um maior número de falsos positivos do que uma deteção com base em assinaturas, que é mais fiável. Estes falsos positivos devem ser controlados através da adaptação das regras ao seu ambiente e, apesar desta adaptação, muitas destas regras não beneficiarão de uma resposta automática e exigirão uma análise humana. Isto leva a que sejam necessários analistas de segurança.

 

Por outro, as suas capacidades de remediação e de resposta a incidentes necessitam, de igual forma, de uma determinada experiência: as ferramentas de investigação são destinadas a utilizadores especializados em resposta a incidentes.

 

O antivírus: a eficácia

O antivírus, ao contrário do EDR, só utiliza técnicas de deteção com uma taxa muito baixa de falsos positivos. Consequentemente, o antivírus é capaz de tomar medidas de remediação de forma autónoma, sem intervenção humana. O antivírus foi concebido para funcionar desta forma, razão pela qual é também bastante utilizado por empresas, bem como particulares.

 

Quando devo optar por um EDR em vez de um antivírus?

O EDR tem capacidades de deteção e de resposta a incidentes bem superiores às de um antivírus. No entanto, para que possa realmente aproveitar essas funcionalidades, é necessário possuir um determinado grau de experiência em segurança de sistemas de informação. A sua integração e exploração é bastante dispendiosa (do ponto de vista humano e de licenciamento), e não se justifica implementar tal solução na sua organização caso não cumpra ainda com as 42 regras do guia de higiene da ANSSI.

 

O EDR é a solução a adotar no momento em que a sua organização possua uma maturidade avançada em matéria de segurança de sistemas de informação e as equipas operacionais possuam competências em cibersegurança (analista SOC/ resposta a incidentes).

 

Caso contrário, aconselhamo-lo a manter o seu antivírus e a eventualmente atualizar o seu antivírus tradicional para uma solução mais avançada (antivírus Next-gen) que possua funções analíticas mais avançadas, tais como análise heurística, ativando opções adicionais.
Partilha este artigo