Antivírus corporativo não basta: o que mudou na proteção dos computadores da empresa

O antivírus que a empresa instalou há cinco anos provavelmente ainda está lá, rodando, exibindo o escudo verde. E provavelmente já não dá conta do tipo de ataque que chega hoje. O escudo verde virou uma falsa sensação de segurança — protege contra o vírus de 2015 enquanto o ataque de agora passa por baixo dele.

A diferença está em como cada um trabalha. O antivírus tradicional compara cada arquivo com uma lista de ameaças conhecidas, a chamada assinatura. Se o arquivo malicioso já está catalogado, ele bloqueia. Se é novo — e os ataques mais perigosos são sempre novos —, passa. É um porteiro que só barra quem já está na lista de procurados.

Antivírus corporativo não basta: o que mudou na proteção dos computadores da empresa
Antivírus corporativo não basta: o que mudou na proteção dos computadores da empresa

O que substituiu esse modelo nas empresas atende pela sigla EDR, de Endpoint Detection and Response, ou detecção e resposta no endpoint. Endpoint é cada ponto final da rede: o notebook do vendedor, o desktop do financeiro, o servidor. Em vez de só conferir uma lista, o EDR observa comportamento. Um programa que, de repente, começa a criptografar centenas de arquivos em sequência está se comportando como ransomware, mesmo que ninguém o conheça ainda — e é esse padrão, não a assinatura, que dispara o bloqueio.

Um exemplo torna a diferença concreta. Boa parte dos ataques atuais não traz um arquivo executável óbvio para o antivírus pegar. Em vez disso, abusa de ferramentas que já vêm no Windows — o PowerShell, por exemplo, legítimo e presente em toda máquina — para rodar comandos maliciosos sem instalar nada. É o chamado ataque sem arquivo. Para o antivírus de assinatura, não há arquivo suspeito a comparar; tudo parece o sistema usando suas próprias ferramentas. Para o EDR, o que importa não é o arquivo, e sim a sequência: o PowerShell sendo chamado por um documento do Word, baixando algo da internet e tentando se espalhar pela rede é um comportamento que não bate com uso normal — e é aí que o alerta nasce.

A mudança importa porque o ataque também mudou de ritmo. Muitos não agem na hora: o invasor entra, fica semanas observando, e só dispara o golpe quando mapeou o ambiente. Contra um intruso que dorme, conferir assinatura no momento da entrada não basta — é preciso vigiar o que cada processo faz ao longo do tempo, e ter como reagir quando o comportamento vira. A parte “response” do EDR é isso: isolar a máquina da rede, encerrar o processo, reverter o estrago, assim que o padrão suspeito aparece.

Outra mudança empurrou o problema para fora dos muros: o endpoint deixou de ficar no escritório. O notebook que trabalha de casa, do café, do aeroporto está fora do alcance do firewall da empresa — e continua sendo a porta para os dados. A proteção que dependia do perímetro da rede perdeu sentido quando o perímetro virou cada máquina, onde quer que ela esteja. O EDR viaja com o aparelho, não com o endereço.

Há um detalhe que o argumento técnico costuma esconder: ferramenta de detecção sem alguém para responder é só alarme tocando numa sala vazia. O EDR gera alertas; alguém precisa lê-los, separar o falso positivo da ameaça real e agir nos minutos que importam. Por isso a proteção de endpoint em empresas costuma vir acoplada a uma operação que monitora esses alertas — o modelo que o mercado chama de detecção e resposta gerenciada —, e não apenas ao software instalado. Provedores de TI gerenciada como a Global Data Solutions estruturam justamente essa camada: a ferramenta mais a vigilância que a faz valer.

Trocar de ferramenta também não dispensa o básico. Sistema atualizado, usuário sem privilégio de administrador no dia a dia e backup testado continuam sendo o alicerce; o EDR é a parede, não a fundação. E nem toda plataforma é igual — variam na precisão, no peso que colocam na máquina e no tanto de operação que exigem. Para quem vai comparar tecnologias, vale entender os critérios que separam uma plataforma de proteção de endpoint de outra antes de decidir.

O escudo verde continua útil. Só não conta mais a história inteira — e tratar como conta é o tipo de aposta que se descobre errada no pior dia possível.

Benjamin Francisco

Servidor Público aposentado, apaixonado por temas relacionados ao sistema bancário e os benefícios do governo. Além disso, sou bastante curioso e estou sempre informado sobre as últimas tendências.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Este site utiliza o Akismet para reduzir spam. Saiba como seus dados em comentários são processados.