O software antivírus está passando por uma grande mudança. Tradicionalmente, software antivírus dependia da correspondência de arquivos com bancos de dados de assinaturas de malware conhecidas. Mas as ameaças atuais evoluem muito rapidamente para que os bancos de dados de assinaturas de malware conhecidas possam acompanhar de forma confiável.
Pode ser útil pensar assim: software antivírus antigo funcionava como um segurança de boate com uma pilha de fotos de malfeitores atrás do balcão. Se um arquivo correspondesse a uma assinatura de malware conhecida, ele seria descartado. Do contrário, o mau ator geralmente entrava usando óculos escuros e bigode falso.
Mas agora o software está monitorando o comportamento, em vez de apenas verificar os nomes na porta. Para expandir as suas capacidades preditivas, muitas plataformas antivírus modernas dependem cada vez mais de aprendizagem automática, análise comportamental e monitorização em tempo real para identificar atividades suspeitas antes de uma ameaça ser totalmente classificada.
Isso significa que, em vez de identificar apenas o malware conhecido depois que ele aparece, um software antivírus eficiente pode detectar comportamentos suspeitos antes que a ameaça seja totalmente executada ou se espalhe por um sistema.
Aqui, detalhamos exatamente como funciona o software antivírus moderno e damos algumas dicas para encontrar os serviços de segurança certos para você.
Software antivírus usado para procurar ameaças conhecidas
Desde os primórdios da computação pessoal, os softwares antivírus funcionavam principalmente por meio de reconhecimento. As empresas de segurança estudaram malware, criaram assinaturas exclusivas para ameaças conhecidas e enviaram essas atualizações aos usuários.
Seu software antivírus foi programado para verificar arquivos e compará-los com o banco de dados. Se algo combinasse, o alarme disparava. O sistema funcionou razoavelmente bem, desde que as empresas de segurança conseguissem manter os bancos de dados de malware atualizados com rapidez suficiente.
No entanto, os malfeitores tratam o código como um alvo móvel, e o software malicioso foi desenvolvido mais rapidamente do que os modelos criados para impedi-lo.
Por exemplo, o malware polimórfico, que altera partes do seu código sempre que se espalha, evita parecer idêntico em cada infecção. O malware metamórfico reescreve seu próprio código para que cada versão pareça substancialmente diferente da anterior. Ataques de dia zero visar vulnerabilidades de software recém-descobertas antes que os fornecedores de segurança tenham tempo de criar proteções ou atualizações.
Esse grau de velocidade cria um grande problema. Os criadores de malware agora podem produzir variações infinitas mais rapidamente do que os pesquisadores conseguem analisá-las e catalogá-las manualmente. Os bancos de dados de assinaturas ainda são importantes, mas cada vez mais acabam reagindo a ameaças que já estão à solta.
O software antivírus agora presta atenção ao comportamento
O software antivírus começou a evoluir para monitorar comportamentos suspeitos. Um programa está criptografando arquivos sem motivo claro? Ele está vasculhando a memória protegida ou entrando em contato silenciosamente com servidores estranhos às 3 da manhã? O objetivo agora é detectar mau comportamento antes que as janelas sejam quebradas.
Algumas ferramentas antivírus modernas monitoram chamadas de API (solicitações que os programas fazem ao sistema operacional ou outro software para ações específicas) junto com o acesso à memória, atividade de criptografia e tráfego de rede em tempo real. Eles não estão apenas monitorando se um arquivo parece familiar, mas também se ele está agindo de forma estranha.
Embora um aplicativo de uso regular possa abrir alguns documentos ou conectar-se a um servidor de vez em quando, o malware tende a se comportar de maneira muito diferente. Por exemplo, pode encriptar rapidamente centenas de ficheiros, injetar código noutros processos, desativar recursos de segurança ou tentar contactar servidores suspeitos sem uma razão clara.
É aqui que entra a detecção de anomalias. O software antivírus cria uma compreensão aproximada de como é a atividade “normal” em um sistema e, em seguida, observa comportamentos que fogem dos limites. Mesmo que um malware nunca tenha sido visto antes, a atividade em si ainda pode parecer suspeita o suficiente para disparar alarmes.
Se um processo repentinamente começar a bloquear documentos em uma rede ou tentar repetidamente obter privilégios de sistema mais elevados, o software de segurança não precisa necessariamente de uma assinatura para perceber que algo feio está acontecendo.
O ransomware é provavelmente o melhor exemplo de por que isso é tão importante. Esses ataques geralmente se espalham muito rapidamente para que os bancos de dados de assinaturas tradicionais consigam acompanhar a tensão exata. A análise comportamental permite que o software antivírus reconheça o padrão de comportamento do ataque e o interrompa antes que tudo se transforme em uma sopa de letrinhas criptografada.
Modelos de aprendizado de máquina são treinados para reconhecer padrões maliciosos
Em vez de confiar inteiramente bancos de dados de assinaturas de malware conhecidasos sistemas de aprendizado de máquina são treinados usando coleções massivas de arquivos maliciosos e legítimos. Ao procurar padrões que tendem a aparecer na atividade de malware, o modelo aprende ao longo do tempo quais combinações de comportamentos são comumente associadas ao malware e quais são geralmente inofensivas.
Uma vez treinado, o sistema pode classificar arquivos e processos com base no risco. Algumas ferramentas antivírus atribuem uma pontuação que reflete o quão suspeito um programa parece, e algumas podem colocar os arquivos em categorias como seguros, potencialmente indesejados ou maliciosos. Este processo geralmente combina muitos pequenos sinais para chegar a uma conclusão.
Diferentes tipos de modelos de aprendizado de máquina são usados para isso, incluindo produtos de empresas como Microsoft, CrowdStrike e SentinelOne. Os detalhes técnicos variam, mas o objetivo mais amplo é o mesmo em todos eles: reduzir a quantidade de malware que passa simplesmente porque ninguém o viu antes.
As árvores de decisão dividem a atividade em uma série de decisões baseadas em regras para classificar ameaças. As máquinas de vetores de suporte analisam padrões e separam atividades maliciosas de atividades normais com base em relacionamentos de dados aprendidos. As redes neurais processam grandes quantidades de informações para descobrir padrões que são mais difíceis de definir manualmente.
A principal conclusão é que um sistema antivírus moderno baseado em IA não precisa necessariamente de uma correspondência exata de assinatura para detectar problemas. Se um novo malware se comportar de maneira semelhante a um software malicioso conhecido, às vezes o sistema ainda poderá identificá-lo.
O objetivo é capturar malware antes que ele se revele
Uma das maneiras pelas quais as ferramentas de segurança tentam detectar malware antes que ele cause um problema é por meio de sandbox e análise dinâmica. Arquivos suspeitos podem ser abertos em um ambiente isolado (sandboxing), onde seu comportamento é monitorado com segurança (análise dinâmica) antes de interagirem com o sistema principal.
Como resultado, o software antivírus está começando a combine-se com sistemas de segurança mais amplos, como detecção e resposta de endpoint (geralmente chamado de EDR), juntamente com ferramentas de caça a ameaças que pesquisam continuamente nas redes em busca de atividades suspeitas. A ideia ultrapassada do antivírus como um pequeno scanner silencioso executado no canto da sua área de trabalho está desaparecendo.
A IA também está mudando o malware
A parte desconfortável de tudo isso é que as mesmas técnicas de IA que ajudam as empresas de segurança a construir defesas mais inteligentes também podem ajudar os invasores a criar malware mais inteligente. Pesquisadores já demonstraram maneiras pelas quais os malfeitores podem criar malware especificamente para confundir os sistemas de aprendizado de máquina ou reduzir a precisão da detecção.
A preocupação de longo prazo é o malware que adapta seu comportamento instantaneamente. Isso mudaria a forma como ele opera dependendo do ambiente em que chega. O malware com autoaprendizagem ainda vive principalmente na fase de pesquisa, mas os pesquisadores de segurança esperam cada vez mais que os invasores se movam nessa direção.
Ao mesmo tempo, o antivírus baseado em IA ainda está longe de ser perfeito. Os falsos positivos continuam sendo uma dor de cabeça porque o comportamento suspeito nem sempre é um comportamento malicioso. Muitos destes sistemas também dependem de monitoramento contínuo e de grandes quantidades de dados de telemetria, o que levanta questões de privacidade com as quais algumas pessoas não estão entusiasmadas.
Mesmo que tudo isso pareça emocionante, ainda faz parte do mesmo velho ciclo em que os defensores melhoram, os atacantes se ajustam e todos continuam correndo para evitar ficar para trás.
Sempre use um software antivírus sólido
O software antivírus moderno é muito melhor do que costumava ser. Para a maioria das pessoas, as proteções integradas incluídas no Windows e MacOS são provavelmente suficientes para proteção básica contra malware. Microsoft Defender e o XProtect da Apple melhoraram muito ao longo dos anos, e testes de laboratório de terceiros agora mostram regularmente fortes taxas de detecção de malware na maioria das principais plataformas antivírus.
Ter uma camada extra de software antivírus de terceiros pode ainda ser importantee muitos pacotes de segurança pagos agora também se concentram em recursos extras, como controle dos pais, monitoramento de identidade, proteção contra ransomware, Serviços VPN, gerenciadores de senhas e cobertura mais ampla entre plataformas.
Embora existam também algumas ferramentas antivírus freemium legítimas de empresas estabelecidas, você ainda deve ter cuidado com software de segurança gratuito porque alguns produtos dependem fortemente de coleta agressiva de dados, publicidade ou vendas adicionais.
O maior problema é que os ataques cibernéticos modernos têm cada vez mais como alvo pessoas em vez de apenas dispositivos. Phishing, credenciais roubadas, páginas de login falsas e ataques de engenharia social muitas vezes ignoram completamente o software antivírus porque, tecnicamente, nada malicioso chega à máquina.
Para maximizar a proteção contra ameaças, um serviço antivírus sólido deve sempre ser combinado com bons hábitos, como usando chaves de acesso quando disponíveismantendo o software atualizado e até mesmo congelar seu crédito para reduzir riscos de roubo de identidade.
O software está ficando mais inteligente, mas a segurança cibernética depende muito de quem está sentado diante do teclado.
