Categorias

Antivírus viraram Caça Fantasmas

Atualmente, os tradicionais sistemas baseados em assinatura não conseguem acompanhar a velocidade em que malwares são criados. De fato os antivírus tradicionais só conseguem detectar um malware quando este já está morto, em desuso pelo hacker que o criou. Este ciclo de vida do malware moderno dura no máximo duas horas, enquanto a resposta do antivírus pode levar dias ou até semanas.

Neste artigo, a FireEye desenha esse novo cenário da segurança eletrônica e o que pode ser feito para se adaptar às ameaças:

“Em outubro de 2012, a empresa de segurança de dados Imperva apresentou um relatório controverso sobre a eficácia do antivírus (AV), que concluiu que as soluções AV só pararam 5% de todos os malwares identificados. Poucos relatórios na indústria da segurança haviam sido tão polarizadores como este – muitos reagiram de forma enfurecida.  Este foi um caso clássico em que as tecnologias da velha guarda se agarraram a vida em face de um novo padrão. Recentemente, um dos maiores fornecedores de antivírus se juntou a briga declarando “o antivírus morreu” no Wall Street Journal.

A FireEye vê centenas de amostras de malware por dia, e, em uma recente conversa na conferência de segurança RSA, Zheng Bu, vice presidente de pesquisas na FireEye apresentou alguns dados interessantes que as equipes de segurança deveriam considerar quando pensam sobre suas iniciativas com antivírus.

Olhando para quase meio milhão de amostras de malware por dois anos, nossos pesquisadores descobriram que o tempo de vida médio deles é bem pequeno. O gráfico abaixo compara quantas horas (eixo X) o malware vive contra o pool total de amostras de malware (eixo Y) para mostrar o quão rápido eles desaparecem:

tempo de vida dos malwares

Nossos dados mostram um quadro interessante: a maioria dos malwares permanece ativo por não mais do que duas horas. Para ser preciso, nossas analises mostraram que em 2013:

  • 82% dos malwares desaparecem depois de uma hora
  • 70% dos malwares só existem uma vez

Com a meia-vida do malware sendo tão curta, nós podemos tirar a conclusão de que a função dos AV baseados em assinatura está mais para uma caça a fantasmas do que para uma detecção e prevenção a ameaças. Apesar disso, a International Data Corporation (IDC) divulgou uma estimativa de receita de 11 bilhões de dólares dos fornecedores de antivírus em sua “Previsão Mundial Para Produtos de Segurança de TI 2013-2017” apesar das ações de Ameaças Persistentes Avançadas ou APT (sigla em inglês para Advanced Persistent Threats) criarem quase 50 malwares infecciosos todos os dias.

Na terra do Antivirus, todos são vítimas potenciais

O modelo de AV atual faz de todos uma vítima potencial de ataques. No passado, os programadores de malware escreviam seu código de ataque apenas uma vez e com pouca necessidade de iterar. Hoje, como mostram nossos números, o rápido desenvolvimento de iterações de malware está se tornando o fator chave para hackear.

Uma simples comparação de programação de malware versus desenvolvimento de assinatura de antivírus mostra um forte contraste.

Primeiro, vamos ver como funciona o processo de desenvolvimento de malware:

processo de desenvolvimento de malware

O malware é desenvolvido, passa por um controle de qualidade com as últimas assinaturas de antivírus, é lançado e quando é detectado pelos sensores antivírus e compartilhado entre as empresas – o malware morre. No máximo, este processo leva alguns dias.

Do outro lado, as empresas de AV trabalham com processos que levam de alguns dias até algumas semanas.

processos de av

Examinando as duas partes, vemos rapidamente porque o antivírus está ficando para trás – condenado a perseguir fantasmas. No momento em que as assinaturas de malware são atualizadas e passam por controle de qualidade, as amostras já estão, na maioria dos casos, mortas, a menos que seja um caso raro, quando o núcleo do malware não pode ser modificado.

Ao longo dos anos as empresas de AV têm aumentado a frequência das atualizações para transmitir os benefícios de uma eventual detecção. No entanto, já é um desafio crescente aplicar atualizações de segurança frequentes para milhares de computadores críticos aos negócios em empresas de médio e grande porte – especialmente quando muitos dispositivos como laptops também são móveis.

Por fim, não há tempo de passar dias e semanas coletando amostras de malware, o motivo pelo qual soluções de segurança – como a FireEye – que não dependem deste modelo reativo, detectam o malware mais rápido.

Para ser claro, malwares de iteração única continuarão a persistir, e uma necessidade menor por antivírus permanecerá para prover uma camada de proteção reativa contra estas ameaças benignas e menos sofisticadas. Mas, com brechas high-profile ocorrendo frequentemente, sendo guiadas por ameaças avançadas, é clara a necessidade de tecnologias e abordagens de próxima geração.

Até o grupo Gartner de consultoria observou o envelhecimento do antivírus em dois relatórios recentes. Particularmente, no relatório “Magic Quadrant for Endpoint Protection Platforms, no qual as frases iniciais da “Visão de mercado” declara:

“O crescimento de ataque direcionado está retalhando o que sobrou dos [endpoint] anti-malware, com compromisso teimoso de entregar ao mercado técnicas de proteção reativas. Melhorar o sistema de distribuição de assinatura de malware, ou adaptando detecção de comportamento [em soluções de endpoint] para dar conta dos mais recentes estilos de ataque, não vai melhorar as taxas de eficácia contra ataques direcionados. (De 8 de janeiro de 2014).”

Então, o que deveremos fazer, como uma indústria, conhecendo a ineficiência do antivírus com base nestes resultados? Nós recomendamos:

  • Aceitar que o modelo de antivírus baseado em assinaturas não pode mais desempenhar um papel fundamental nos modelos de prevenção de ameaça das empresas. Começar a mudar as estratégias de segurança para métodos mais modernos que identificam um malware no momento do ataque em vez de depois desse malware ter morrido.
  • Reconfigurar exigências de encargo para dar muito menos ênfase nos antivírus e outras abordagens reativas e baseadas em assinatura. Uma vez que os reguladores e as exigências de encargos fiquem mais simples para adotar inovações, nós, finalmente, tornaremos a vida dos invasores mais difícil.

Fazendo isso, seremos capazes de nos protegermos não de fantasmas que imaginamos assombrar nossos lares, mas sim de assaltantes e malware que realmente roubam nossas posses e corroem nossas fundações.”

A FireEye tem mais de 1.900 clientes em mais de 60 países, incluindo mais de 130 no Fortune 500.