Blog  |  Artigos

A escolha do "Antivírus"

A escolha de uma solução de proteção contra códigos maliciosos (ou simplesmente um antivírus como muitos comumente referenciam-se a este tipo de ferramenta) é uma tarefa delicada, seja no uso doméstico ou corporativo. Embora muitos optem por acompanhar a decisão dos amigos e conhecidos (que por sua vez fizeram o mesmo) acreditando que ao incluirem-se na maioria estão com a melhor opção, o mais recomendado de fato seria avaliar as soluções disponíveis seguindo critérios pré-estabelecidos. Naturalmente, é um critério relevante avaliar a participação das soluções no mercado, mas este não deve ser o único.

O ponto mais óbvio a ser avaliado numa ferramenta de proteção contra códigos maliciosos é a sua capacidade de detecção de ameaças. Normalmente a detecção pode ocorrer de duas formas: detecção por assinatura e detecção por heurística.

Na detecção por assinatura a ferramenta analisa cada arquivo varrido comparando seu código binário com uma lista de trechos de códigos binários de ameaças conhecidas. A detecção por assinatura, apesar de ser o mais antigo dos recursos deste tipo de solução, ainda é bastante utilizada no funcionamento do dia a dia. Por isso é importante avaliar o quão rápida é a resposta do fabricante ao surgimento de novos códigos maliciosos. Esta velocidade pode ser medida pela quantidade de atualizações disponibilizadas diariamente pelo fabricante, bem como através do envio de amostras não detectadas e o acompanhamento do tempo que decorrerá até que passem a ser detectadas.

A detecção por heurística faz uso de mecanismos inteligentes que tem a capacidade de detectar a presença de códigos maliciosos, mesmo sem conhecer seu código binário. Cada fabricante desenvolve seus mecanismos de heurística e naturalmente os mantém no mais absoluto seguro por se tratar de um diferencial competitivo. No entanto, um dos métodos heurísticos mais comuns é a análise comportamental de aplicações. A ferramenta acompanha as ações e características das aplicações executadas, pontuando estas de acordo com critérios próprios. Quando uma determinada pontuação for atingida, considera-se que a aplicação é um código malicioso, ou seja, ocorre de fato uma detecção, muito embora sem haver uma identificação inequívoca. Alguns argumentam que este tipo de detecção não é heurística, mas sim uma detecção por assinatura de ações ou características suspeitas, mas os fabricantes (mesmo que por questões comerciais) fazem uso do termo.

Além da capacidade de detecção, outro ponto relevante são os recursos de proteção pró-ativa, que permitem a proteção do sistema sem a necessidade de ocorrer a detecção de um código malioso. Neste tipo de mecanismo, o objetivo principal é evitar a ação da ameaça e não detectá-la e/ou eliminá-la. São exemplos de mecanismos de proteção pró-ativa:

- Controle da execução de aplicativos ou controle da comunicação de aplicativos, recurso que consiste em dispor de uma "white list" (ou uma "black list") de aplicações que podem ou não ser executadas ou ainda que podem ou não comunicar-se com outros hosts.
- Personal Firewall, cujo funcionamento dispensa maiores explicações.
- Detecção de tentativas de intrusão, que possibilita bloquear pacotes destinados ao host que contenham conteúdo mal-intencionado e que eventualmente possam permitir o acesso remoto ao mesmo.
- Lista de reputação de URLs, que bloqueia o acesso a sites considerados suspeitos e que portanto, podem ser propagadores de códigos maliciosos.

Aliado aos recursos técnicos, é importante avaliar o comprometimento de recursos de hardware necessário para execução da ferramenta ou ainda a flexibilidade que a ferramenta dispõe para o funcionamento em hardware de menor capacidade. Afinal, de nada adianta dispor de uma segurança máxima mas não conseguir utilizar o computador.

Deixe seus comentários
Nome:
E-mail:(não será divulgado)
Site:
Comentário:
Comentários

Nenhum Comentário para esse post, seja o primeiro!

Voltar

Assine a Newsletter

© 2017 Setrix.
Todos os direitos reservados.
Gu@pos