A adoção de controles técnicos, como uma suíte de segurança para proteção de endpoints, é de fundamental importância para todas as organizações, independente do seu tamanho.
A proteção antimalware para endpoint é um tipo de aplicação que trabalha ativamente para impedir que diversos tipos de malware infectem um sistema computadorizado, seja ele uma estação de trabalho, servidor, tablet ou smartphone.
Os tipos mais comuns de malware que afetam computadores e dispositivos móveis incluem vírus, Cavalos de Troia, worms, spyware, rootkits, dentre outras ameaças.
O termo “endpoint” acompanhando do “antimalware”, normalmente, implica em um produto projetado para uso dentro de uma organização, seja uma pequena, média ou grande empresa, órgão estatal ou instituição de ensino.
Diante de milhões de amostras de malware e com ciberataques em ascensão, garantir uma forte proteção contra essas ameaças é uma questão crítica. Além disso, organizações que precisam estar em conformidade com algumas leis devem ter uma suíte de segurança como parte de seus requisitos de conformidade.
Uma boa aplicação para proteção de endpoint deve ser capaz de impedir ataques de malware, proteger os usuários enquanto trocam e-mails, navegam na Web ou usam dispositivos USB, e de parar a proliferação de ataques.
Para atingir esse objetivo, as atuais suítes de segurança, de maneira geral, fornecem proteção em camada, sendo capazes de proteger o sistema contra ameaças novas ou desconhecidas, ameaças de dia zero, spywares, e-mails maliciosos, além de possuírem firewall baseado em host, tecnologia de prevenção contra perda de dados, avisos ao visitar sites que possam representar riscos de segurança, dentre outros recursos.
A vantagem dessas suítes antimalware é que contém múltiplas funcionalidades, indo além da proteção contra programas maliciosos. Além disso, atuando de forma integrada, o gerenciamento torna-se mais simplificado do que o uso de diferentes aplicações de fornecedores diversos.
Tente imaginar um computador, servidor ou dispositivo móvel com uma proteção de endpoint instalada como se fosse um castelo fortificado com paredes espessas, um fosso, portões de aço e pontes levadiças. Guardas, dentro e fora, vigiando constantemente qualquer atividade suspeita, pronto para bloquear ou matar os “dragões”.
Características de proteção das suítes de segurança
Aqui estão algumas características típicas encontradas nestes tipos de software:
→ Antivírus: os criadores de malware não medem esforços para criar códigos maliciosos capazes de burlar a detecção e que resistam à remoção. Os mais modernos produtos antimalware combinam varreduras que usam bases de assinatura combinada com tecnologia de análise heurística* e inteligência global contra ameaças baseada em nuvem, facilitando o reconhecimento e erradicação de malware, prevenindo infecções. Esta combinação de tecnologias também é eficaz contra ameaças de dia zero, as quais, historicamente, são grandes desafios para as equipes de segurança.
→ Antispyware: ser infectado por um spyware é, provavelmente, mais fácil do que pegar um simples resfriado. Trata-se de uma grande ameaça à proteção de dados sensíveis ou confidenciais. O recurso antispyware é executado constantemente em segundo plano para bloquear a instalação de spyware, independentemente da fonte.
→ Prevenção de perda de dados (DLP): as tecnologias DLP visam proteger os dados que trafegam na rede, seja através de mensagens de e-mail, drives USB, de um laptop ou dispositivo móvel ou enviados para a nuvem.
→ Firewall de desktop: apesar de uma rede corporativa dever sempre ser protegida por um firewall, ter um segundo firewall em execução no endpoint funciona como uma outra camada de defesa contra malware e invasores que buscam brechas na segurança.
→ Controle de dispositivos: malware pode infectar um computador que não esteja conectado a uma rede ou à Internet. Um dispositivo USB conectado a um computador ou a instalação de software a partir de um CD ou DVD podem trazer o risco de transferir um código malicioso para a máquina de destino. O controle do dispositivo permite que a TI restrinja ou bloqueie o acesso do usuário, criando regras de acesso ao dispositivo.
→ Proteção de e-mail: este componente tenta filtrar e-mails de phishing, spam e outras mensagens que carregam conteúdo malicioso ou suspeito.
→ Proteção de navegação: a maioria das suítes antimalware consultam algum tipo de banco de dados, avaliando se o site é ou não seguro para navegação. Este tipo de proteção verifica a reputação do site visitado e, caso não seja seguro, não será aberto. Em vez de ser aberto, os usuários receberão uma mensagem de advertência.
Além das características acima, algumas suítes de proteção de endpoint têm tecnologias de detecção e prevenção de intrusão, controle de aplicativos e controle de acesso aos recursos da rede. Alguns pacotes vão além e realizam uma avaliação e gestão de patches para correção de vulnerabilidades e até mesmo têm recursos de criptografia completa de discos para proteção dos dados armazenados.
Implantação e gerenciamento de produtos antimalware de endpoint
Normalmente, os produtos de proteção de endpoint para empresas requerem um administrador para instalação de um console de gerenciamento em um servidor para auxiliar na implementação de políticas de segurança e na administração das máquinas, licenças de produtos e logs. Alguns produtos são tão simples – principalmente aqueles desenhados para ambientes menores – que até mesmo um usuário leigo, sem muitos conhecimentos, é capaz de instalar.
Esta etapa também cria um banco de dados contendo as definições, privilégios, eventos e políticas de segurança. Uma organização que é muito grande ou tem muitas filiais pode precisar instalar servidores de gerenciamento adicionais por motivos de desempenho, bem como para replicar os dados de forma mais eficiente. O próximo passo é a instalação de software (por vezes referido como um “agente”) em computadores e dispositivos clientes, quer diretamente, máquina por máquina, quer pela rede.
Independentemente da abordagem de implementação, é aconselhável que o clientes sejam configurados para que suas listas de assinaturas de malware sejam atualizadas automaticamente a partir do servidor.
A adoção de um antivírus empresarial é um elemento importante e necessário na infra-estrutura de segurança de qualquer organização – embora ele não deva ser o único. Gerentes de TI e especialistas em segurança devem avaliar seus ambientes para determinar o que eles precisam para serem protegidos. Devem olhar para a frente, pelo menos três a cinco anos, como forma de antecipar-se em relação às possíveis mudanças no ambiente.
É importante, também, que pesquisem os diversos pacotes de segurança disponíveis no mercado, comparando suas características e custos, determinando, de acordo com as necessidades e tamanho da organização, qual o mais adequado.
Uma suíte de segurança representa um investimento muito baixo em comparação com os prejuízos que uma empresa pode amargar.
* Heurística é a prática de identificação de malware com base na experiência anterior e observações do comportamento típicos de malware e de ataques.