O antivírus para desktop chegou ao fim?
Por Ellen Messmer (repórter do Network World, em Framingham) para a Computerworld – Publicada em 12 de abril de 2007 às 10h29
Framingham – Analistas dizem que o modelo tradicional de software não protege mais a empresa.
O sino está tocando para a tecnologia de antivírus para desktops? Alguns analistas de mercado estão proclamando que está morta a maneira tradicional baseada em assinaturas de detectar e erradicar vírus, trojans, spyware e outros malware.
O argumento é antigo: o modelo baseado em assinaturas não é capaz de acompanhar a inundação de variantes de vírus feitas pelo submundo do crime que está vencendo os fornecedores de antivírus em seu próprio quintal. Agora, estes analistas estão questionando se não é tempo das companhias apostarem pesadamente em novas estratégias, como whitelisting ou bloqueio por comportamento, para proteger os desktops e servidores.
“É o começo do fim para o antivírus”, diz Robin Bloor, sócio da empresa de consultoria Hurwitz & Associates, em Boston, Estados Unidos. O analista conta que iniciou a campanha “o antivírus está morto” um ano atrás e que sente isso ainda mais forte hoje. “Vou continuar batendo nesta tecla. A estratégia dos fornecedores de antivírus está completamente errada. Os criminosos, antes de soltar as pragas para os usuários, estão testando-as contra os softwares de antivírus. Eles já entenderam como funciona e como criar variantes que não são detectadas”.
O problema fundamental “não é sobre vírus, mas sobre o que deveria estar rodando nos computadores”, diz Bloor. Em vez de antivírus, garante, os usuários deveriam estar investindo em software de whitelisting, que previnem a infestação de vírus por permitir que apenas aplicações autorizadas rodem.
Os produtos de whitelisting são fornecidos por empresas como SecureWave, Bit9, Savant, AppSense e CA, “a primeira fabricante tradicional que viu a luz”, defende Bloor.
Outros estão pensando como ele. Andrew Jaquith, analista de segurança do Yankee Group, publicou em dezembro o relatório “O Antivírus está morto: Longa vida ao Anti-Malware”. A pesquisa do instituto indica que há uma “explosão” em variações cumulativas de malware, com a expectativa de que 220 mil variantes sejam encontradas em 2007, uma alta de dez vezes maior que em 2002.
Os fornecedores tradicionais simplesmente não conseguem acompanhar, diz Jaquith, destacando que alguns laboratórios antivírus reclamaram internamente da inundação de variantes, que forçam mudanças nas assinaturas a cada dez minutos.
“A maior parte dos laboratórios antivírus sofre o mesmo problema: eles ficam com mais amostras do que podem lidar diariamente”, afirma Jaquith. “Eles tentaram uma triagem baseada no nível de severidade. Os profissionais de antivírus são como pescadores com redes tentando pegar o peixe grande, então, se você é o bandido, vai tentar ser um peixe pequeno para passar pela rede”.
A melhor coisa relacionada com as assinaturas de antivírus é que “elas são eficientes e o falso positivo é muito baixo”, destaca Jaquith. No entanto, o propósito de escrever o artigo está em “estourar a certeza de que esse tipo de solução está protegendo a máquina e que resolve o problema de malware”.
Jaquith acrescenta que é um entusiasta das tecnologias de bloqueio por comportamento de empresas como Sana Security ou Prevx1.
Este tipo de tecnologia funciona analisando o comportamento das aplicações que estão rodando na memória e bloqueando aquelas que parecem perigosas. O CEO da Sana Security, Don Listwin, afirma que a sua solução pesquisa 226 características de software para definir se o código tem um comportamento danoso, bloqueando-o se for o caso.
“O usuário é avisado e tiramos a aplicação”, afirma Listwin. Mas ele ressalta que é possível existir falsos positivos, classificando o scanner de antivírus como uma função “complementar” ao que a Sana Security oferece
Nem todos os analistas, no entanto, estão prontos para pular na caravana “o antivírus está morto”. “Antivírus no desktop ainda é algo mandatório, mas primordialmente como uma ferramenta de remoção de pragas”, afirma John Pescatore, analista do Gartner.
Ele conta que o instituto aconselha seus clientes a comprar soluções de antivírus integradas com sistemas de prevenção de intrusos (IPS), acrescentando que McAfee, Symantec e outros já possuem tecnologia semelhante para bloquear a praga quando a vacina ainda não existe.
Quando será o funeral?
Se o antivírus tradicional está morto, a questão está em definir quando acontecerá o funeral. O artigo de Jaquith afirma que “as soluções de antivírus possuem uma posição privilegiada nos orçamentos corporativos” e “nenhum outro produto de segurança tem um nível de penetração de quase 100%”.
A empresa de pesquisas IDC estima que o mercado antivírus represente, hoje, 2,1 bilhões de dólares no segmento consumidor e 3,1 bilhões de dólares nas corporações. A expectativa de crescimento é para, respectivamente, 3 bilhões de dólares e 4,5 bilhões de dólares até 2010.
Ainda que os fornecedores tradicionais estejam dispostos a admitir que existem melhorias a serem feitas, eles estão um tanto resistentes a ouvir analistas do setor conclamarem que o antivírus está morto.
“Isto é um tanto radical”, pensa John Maddison, gerente geral de serviços de segurança de rede da Trend Micro, que não tem planos para adotar whitelisting ou bloqueadores por comportamento. A Trend Micro está focando nos serviços de reputação, que checam os endereços IP e e-mail para determinar se o código foi gerado por uma fonte confiável. “Se você pedir para as pessoas desistam de antivírus, vai encontrar poucos com disposição para tanto”, acrescenta Maddison.
Muitos gestores de segurança concordam. “Eu não dispensaria nosso controle baseado em assinaturas”, diz Doug Sweetman, gestor de segurança na State Street. Ele conta que a empresa tem licenças de cinco fornecedores de antivírus porque a competição é benéfica nas negociações. Mas ele acrescenta: “É uma commodity”.
O executivo destaca que a State Street apostou em uma “desktop lockdown” que proíbe aplicações não autorizadas de rodar nas máquinas dos funcionários.
Kathy Larkin, diretora de segurança da informação no Prudential Financial, não acredita que o clamor ‘antivírus está morto’ é convincente. “Acho que o antivírus é válido e que ele vai estar disponível por um bom tempo”.
De toda a forma, alguns fornecedores tradicionais reconhecem que o tempo que leva para criar uma assinatura é um tema delicado. “Leva de duas a quatro horas para se criar uma assinatura para nível crítico”, conta Brian Foster, diretor sênior de gerenciamento de produtos da Symantec. A maior parte dos códigos maliciosos rastreados pela Symantec, acrescenta, é variante de vírus.
Ainda que o antivírus da Symantec possa detectar e parar variantes através de ferramentas de heurística, é preciso ter uma assinatura para erradicar o código específico da máquina.
Foster afirma que a Symantec está se adaptando ao incorporar novas tecnologias, como IPS, em seus produtos e que vê as ferramentas de antivírus do futuro trabalharão com muito mais do que o método de vacinas por assinatura.
Jaquith, em seu relatório, afirma que tanto a McAfee e Symantec, fornecedores tradicionais de antivírus, estão se movimentando para combinar as assinaturas com tecnologias que incluem o bloqueio por comportamento.
Sentindo o impacto
Mesmo que a maior parte dos gestores de rede não esteja disposta a trocar o tradicional antivírus por alternativas como whitelisting ou bloqueio por comportamento, há evidências que alguns estão encarando este processo.
“Existe uma idéia de que você ainda precisa de antivírus tradicional”, argumenta Brent Rickels, vice-presidente do First National Bank of Bosque County, do Texas, EUA. “A ferramenta está disponível há muito, mas não é mais adequada neste mundo de mudanças rápidas”.
O banco, que tem cerca de 6 mil correntistas, ainda usa filtros de antivírus no gateway e restringe a navegação para reduzir o risco de baixar malware. Mas a instituição trocou seu antivírus Symantec para desktop há um ano para ter o SecureWave da Sanctuary, o qual Rickels classifica como menos custoso.
“A solução cria uma lista autorizada de arquivos que podem rodar, bloqueando os que não o foram”, conta Rickels. O único ponto negativo depois de um ano de uso, diz, é que existe a necessidade de se dedicar tempo para ajustar a ferramenta, evitando que ela bloqueia as aplicações do próprio banco ou as atualizações da Microsoft.
Rickels argumenta, contudo, que a troca foi válida. “Nós enfrentamos esses problemas administrativos, mas não poderíamos controlar o problema dos vírus desconhecidos se ainda tivéssemos a solução com assinatura. Usar um antivírus tradicional é se defender com um escudo repleto de furos”.
Jaquith acrescenta que é um entusiasta das tecnologias de bloqueio por comportamento de empresas como Sana Security ou Prevx1.
Este tipo de tecnologia funciona analisando o comportamento das aplicações que estão rodando na memória e bloqueando aquelas que parecem perigosas. O CEO da Sana Security, Don Listwin, afirma que a sua solução pesquisa 226 características de software para definir se o código tem um comportamento danoso, bloqueando-o se for o caso.
“O usuário é avisado e tiramos a aplicação”, afirma Listwin. Mas ele ressalta que é possível existir falsos positivos, classificando o scanner de antivírus como uma função “complementar” ao que a Sana Security oferece
Nem todos os analistas, no entanto, estão prontos para pular na caravana “o antivírus está morto”. “Antivírus no desktop ainda é algo mandatório, mas primordialmente como uma ferramenta de remoção de pragas”, afirma John Pescatore, analista do Gartner.
Ele conta que o instituto aconselha seus clientes a comprar soluções de antivírus integradas com sistemas de prevenção de intrusos (IPS), acrescentando que McAfee, Symantec e outros já possuem tecnologia semelhante para bloquear a praga quando a vacina ainda não existe.
Copyright 2007 IDG Brasil Ltda. Todos os direitos reservados.
