Novo System Watcher: não basta prevenir, é preciso remediar

23 set 2016

Soluções de segurança precisam executar duas funções principais: prevenção e caso necessário,  remediação. A Kaspersky Lab adquiriu recentemente uma nova patente que torna essas duas tarefas mais efetivas.

under-the-hood-featured

A abordagem mais comum no que diz respeito à prevenção é monitorar o funcionamento do dispositivo e neutralizar atividades potencialmente perigosas. Se o programa de segurança identifica um Trojan, um e-mail de phishing ou spam, ou ainda um site malicioso, ele fará tudo a seu alcance para proteger o usuário.
Quando a prevenção falha, a solução de segurança tem de lidar com o computador infectado.  Limpar um sistema comprometido não é tão simples quanto deletar um arquivo.  Para garantir a limpeza de um PC infectado, o antivírus tem de remover o código malicioso e restaurar as funções do computador atacado. Não basta curar a doença,  é preciso melhorar a saúde do paciente,  e isso não é tarefa fácil.

Testes independentes mostram que a maioria dos fabricantes de antivírus conseguem executar boas medidas preventivas,  mas só quando falamos de remediação é que fabricantes de excelência se sobressaem.

Melhor detecção…
Listas com os rastros comuns de vírus e outros métodos tradicionais de detecção são parte importante de soluções de segurança. Contudo, métodos heurísticos também são vitais. A utilização de heurística ou o uso de experiência no aprendizado,  permite que o antivírus não só monitore elementos prejudiciais, mas também atividade suspeita.

Detecção de atividade suspeita é o cerne da tecnologia desenvolvida recentemente e patenteada pela equipe da Kaspersky Lab, composta por Mikhail Pavlyuschik, Alexey Monastyrsky e Denis Nazarov. Essa tecnologia pode mapear interações entre programas e outros componentes do sistema operacional e softwares. Nesse caso, interações significam programas utilizando memória usada por outros processos.

Não é necessário monitorar todas as atividades – isso tomaria muito da capacidade de processamento do computador. Tecnologias que monitoram interações usam alta tecnologia, bloqueando muitos programas maliciosos desconhecidos anteriormente.

…e prevenção
Considere um computador atacado por um malware que monitora o que foi digitado (keylogger).

Se um keylogger conseguir infectar o computador, isso significa que ele violou a proteção ou se infiltrou por meio de uma falha na configuração de segurança, suposição que faz parte de um cenário comum. A atividade tem de ser interrompida antes que dados sejam enviados (senha de e-mail, login de banco, foto tirada com sua webcam, e muito mais) para a pessoa responsável pelo ataque.

É aí que a análise comportamental entra em cena. A tecnologia está embutida no nosso módulo System Watcher e, com o auxílio de outros componentes de segurança, detecta as interações maliciosas conhecidas de um software suspeito antes que cause danos irreversíveis. Além disso, ainda é possível remediar as modificações feitas pelo malware por conta do monitoramento do comportamento da ameaça.

Uma solução de segurança forte como o Kaspersky Internet Securtiy dificilmente permite que um malware permaneça no sistema a ponto de causar danos que demandem remediação. Adicionamos novas ameaças ao nosso banco de dados rapidamente. A Kaspersky Security Network nos ajuda a aprender mais sobre novas amostras de malwares da nuvem. Mas no que diz respeito a desenvolvimento de antivírus, proteção nunca é demais. Trabalho contínuo no desenvolvimento de novas tecnologias para a detecção e remediação constituem diferença fundamental entre uma grande solução de segurança e uma medíocre: medidas de proteção significativas dependem disso.