As atualizações pertencem aos anos noventa... Você nem precisará delas caso use uma solução "next-gen" que pode proteger o seu computador e aprender tudo por si só, certo? Bem, não é exatamente assim.
A verdade é que sem as atualizações regulares seu endpoint é deixado sozinho contra um exército de cibercriminosos. E será apenas uma questão de tempo até que sejam vistos como uma presa fácil.
Os fabricantes da cibersegurança emergentes criticam os seus colegas já estabelecidos por defenderem as atualizações regulares. Como alternativa, dizem proteger os clientes através de um algoritmo de machine learning que adquire todos os dados necessários nas máquinas locais e nos ambientes de segurança dos clientes, resultando em uma “vantagem”: não são necessárias atualizações.
No entanto, isso é realmente uma vantagem?
As soluções que protegem os sistemas locais podem ser muito eficazes e relativamente exitosas na luta contra as ameaças. No entanto, isso só é válido para:
- Ambientes específicos com funcionalidade muito limitada.
- Sistemas que são fortemente aversos à mudança e estão parcial ou totalmente isolados das conexões com o mundo exterior.
Nem todas as empresas funcionam de forma estreitamente focada como uma linha de produção. Pelo contrário, a grande maioria dos endpoints em pequenas, médias e grandes empresas precisam se comunicar com clientes, contratados e potenciais parceiros, bem como entre eles; isso requer uma conexão constante.
Dessa forma, mesmo se o algoritmo de segurança for bom o suficiente para aprender sobre o usuário e sua rede, sem atualizações, pode ter dificuldade em identificar corretamente os dados externos de entrada como limpos ou maliciosos. Isso pode levar não só a um aumento na taxa de falsos positivos, mas também no pior cenário, a uma "falha": uma infecção causada por confundir um malware com um item limpo.
As atualizações para o banco de dados são a única forma de corrigir esses erros e evitar falsos alarmes desnecessários.
Quando as atualizações entram em jogo...
Ao optar por uma solução regularmente atualizada de um fornecedor de segurança estabelecido como a ESET, os endpoints corporativos se conectam a uma rede mundial (no nosso caso, ESET LiveGrid®). Com base em dados de dezenas de milhões de nós, os sistemas de proteção da ESET combinam a supervisão humana com as mais recentes tecnologias para fornecer atualizações em tempo real para as nossas listas brancas e sistemas, que podem rotular corretamente os itens suspeitos ou desconhecidos com um alto grau de precisão.
Existem outros benefícios também.
Além de baixar as taxas de falsos positivos, as atualizações também reduzem as demandas de hardware da empresa. Uma vez que qualquer uma das amostras analisadas podem já ter sido avaliadas por outros endpoints na rede global, não requerem reavaliação.
Além disso, a solução atualizada pode usar as informações para criar um banco de dados de ameaças confiáveis armazenado na nuvem. Ao compartilhar com todos os endpoints reconhecidos, pode proteger os usuários de uma ampla variedade de itens maliciosos do que um algoritmo ML que só aprende com um número muito limitado de máquinas.
Em contraste, as soluções que dependem exclusivamente de informações locais provavelmente causarão um erro em algum ponto. No entanto, sem supervisão humana ou um banco de dados atualizado para comparação, esse erro se tornará em parte do material de aprendizagem do algoritmo e permanecerá no sistema para sempre... O que é benéfico, mas apenas para os atacantes.
As soluções de machine learning tomam decisões baseadas em recursos extraídos de itens maliciosos. Se uma amostra é muito diferente de todos os materiais previamente avaliados, o algoritmo não sabe o que extrair, e torna-se praticamente cego. Por outro lado, as soluções que alavancam as atualizações podem cobrir métodos de extração e amostras, sempre que a aprendizagem automática não pode fazê-lo por conta própria.
Se não há avaliações, não pode haver queixas
Para aumentar a confusão, os fornecedores que defendem a pós-verdade evitam os testes independentes. Sem expor suas soluções não atualizadas a cenários do mundo real, não há nenhuma prova de que esses produtos podem oferecer o que seus fabricantes prometem. O que normalmente chama de “excelentes” vêm apenas de cenários artificiais bem trabalhados, onde o algoritmo só tem de lidar com conjuntos de amostras de malware conhecidas.
Atualmente, a grande maioria dos itens maliciosos existentes não são projetados para passar sob o radar desses chamados produtos de "próxima geração", especialmente porque o número de computadores que os executam ainda é relativamente pequeno. No entanto, essa situação pode mudar rapidamente.
Atualizar ou não atualizar... essa não é a questão
Ignorar atualizações significa ignorar o mundo real e a forma como funciona. Os adversários estão bem financiados e são tão criativos como os seus antagonistas do setor de segurança, por isso, subestimar a sua capacidade de encontrar novas formas de burlar as soluções atuais pode levar a resultados bastante prejudiciais.
Os sistemas atualizados sabem o que estão enfrentando e não contam apenas com o que já foi visto. Ao reconhecer o contexto global, adotando múltiplas tecnologias de proteção e adicionando elementos proativos como de aprendizagem automática às suas soluções, a ESET como um fornecedor estabelecido, constantemente se esforça para alcançar o equilíbrio mais próximo possível da detecção perfeita com o menor número de falsos positivos.
A ESET fornece atualizações em tempo real para a proteção sempre que os usuários se conectam ao LiveGrid®. Para saber mais sobre esses recursos, bem como a nossa tecnologia, leia as outras postagens sobre esse assunto.
Confira toda a série:
- Editorial: combatendo a “pós-verdade” com realidade no âmbito da cibersegurança
- Não compre o elixir da juventude: machine learning não é uma solução mágica
- Quando a publicidade bate de frente com a realidade: a verdade sobre o machine learning
- A aprendizagem automática e as matemáticas não podem vencer aos cibercriminosos
- Uma única tecnologia de proteção significa apenas uma barreira para os cibercriminosos
- Os falsos positivos podem ser mais caros do que uma infecção por malware
- As atualizações de segurança nunca deixarão de ser importantes
- Conhecemos o ML, o usamos há mais de uma década
Texto escrito com a colaboração de Jakub Debski & Peter Kosinar.