O “modo paranóico” do antivírus está desacelerando as empresas

Publicados: 2022-01-04

Não é fácil atingir a estabilidade certa entre estabilidade e eficiência. Isso é especialmente real quando se trata de segurança cibernética porque as empresas devem se proteger diligentemente de ameaças, ao mesmo tempo em que asseguram que defesas mais do que zelosas não prejudicam a produtividade.

Na AV-Comparatives, dedicamos nosso tempo realizando testes árduos e meticulosos de respostas de antivírus (AV) para expor especificamente a eficácia delas no bloqueio de infecções bacterianas por malware e ameaças cibernéticas. De tempos em tempos, um vendedor pode parecer ter construído o melhor produto ou serviço que bloqueia todas as ameaças e alcança uma classificação fantástica. No entanto, em alguns casos, o produto antivírus aparentemente perfeito está escondendo um problema: ele bloqueia tudo ou gera grandes números de falsos positivos.

Em uma escala extensiva à empresa, usar produtos que aderem a uma tática que contatamos no “modo paranóico” pode ter um resultado desastroso na produtividade, retardando os processos normais, colocando obstáculos no caminho da equipe e atrapalhando as atividades do dia-a-dia .

Claro, o inverso também é legítimo. Se uma empresa (ou uma opção de antivírus) oferece muita flexibilidade, as dificuldades não estarão longe. Então, como as empresas devem obter a harmonia perfeita de “goldilocks” que garante a eficiência e, ao mesmo tempo, certifica-se de que as operações típicas ainda podem operar facilmente?

O dilema dos falsos positivos

Eles áudio inócuo. Mas falsos positivos podem ter sérios efeitos em um negócio. Quando uma alternativa AV detecta falsamente um desafio, isso traz desafios operacionais imediatos. A linha de produção precisa ser interrompida, por assim dizer, pois o problema é triado, investigado e depois dominado. Se isso acontecer no momento, pode ser apenas um incômodo. Quando se trata de mais e mais de uma vez, as pessoas em custo de proteção podem abandonar a religião no produto ou serviço AV e começar a questionar todos os seus estudos.

Quando o menino gritou lobo, ninguém acreditou nele quando um lobo genuíno apareceu ao ar livre na aldeia. O mesmo acontece com os produtos AV. Se positivos errados são produzidos regularmente, a equipe de segurança inicialmente sofrerá com a exaustão da informação antes de começar a descartar a religião em sua opção AV - potencialmente perdendo um risco real. Na pior das hipóteses, eles podem concluir a lista branca de um malware para que seja permitido distribuir livremente pela rede. É melhor ter um produto antivírus que bloqueie 99% das ameaças sem falsos positivos do que apenas um que tenha um nível de bloqueio de 100 pc, mas gere alarmes errados.

Em uma escala mais ampla, configurações AV excessivas podem reduzir gradualmente os processos em uma empresa. Se um item AV estiver configurado no modo paranóico, pode bloquear os procedimentos do regime. Por exemplo, se a solução incorpora filtragem de rede, ela pode participar de uma posição significativa para impedir que o pessoal acesse páginas da Web inadequadas, bem como páginas da Web destrutivas. Mas e se a equipe de contabilidade quiser obter um portal bancário? Ou a equipe de publicidade e marketing quer fazer rapidamente alguns slides de uma apresentação usando um aplicativo de rede? Se as opções também forem agressivas, essas duas tentativas poderão ser bloqueadas. Amplie essa dificuldade em uma corporação e é fácil ver como produtos e soluções AV aparentemente bem-sucedidos podem prejudicar a eficiência e colocar obstáculos desnecessários no caminho das pessoas.

Alertas falsos – Crise genuína

É incômodo quando os e-mails são bloqueados e os aplicativos genuínos são impedidos de funcionar corretamente quando uma resolução AV tem o método paranóico ativado. No entanto, as complicações induzidas por falsos positivos podem ser mais do que apenas irritantes. Alguns positivos errados podem tornar um programa específico não inicializável ou permitir que ele seja ligado, mas não conectado à rede mundial ou a uma rede de vizinhança. Um par de muito tempo no passado, isso teria sido um problema significativamente menor, uma vez que uma greve individual de trabalhadores por esse desafio poderia simplesmente mudar para outra máquina. Se eles estiverem trabalhando em casa – a quilômetros de distância de um colega diferente e da equipe de orientação de TI – é fácil ver quantas horas podem ser desperdiçadas tentando lidar com o dilema. Nenhum vendedor pode realmente garantir que esse problema nunca ocorrerá.

Não permite que existam várias estratégias nas quais cursos legítimos possam se integrar por si mesmos em um processo de funcionamento de forma semelhante a malware. Cursos de criptografia e recursos de restauração de procedimentos, por exemplo, geralmente parecem malware para bloqueadores de comportamento. Itens antivírus que bloqueiam tudo o que eles nunca encontraram antes e que não foram incluídos na lista de permissões podem parecer eficientes no bloqueio de malware, mas às custas de uma grande oportunidade na produtividade.

Vimos muitas ilustrações da lesão induzida por falsos positivos. Um exemplo recente disso é o Microsoft Defender for Endpoint, que no momento está bloqueando a abertura da papelada do Workplace e o lançamento de alguns executáveis devido a um falso positivo marcando os arquivos como talvez agrupando uma carga de malware Emotet.

Estima-se que os Centros de Operações de Proteção gastem 15 minutos de cada hora trabalhando com alertas falsos. Agora imagine o que se materializaria em uma empresa menor sem a necessidade de uma equipe dedicada quando é atingida exatamente pelo mesmo problema. O tempo de inatividade causado por proteções extremas pode mostrar um preço muito alto, sem dúvida.

Abordando as complicações do modo paranóico

Enfrentar o dilema dos positivos errados e do método paranóico é uma área em que os titulares têm um benefício. Novos entrantes no setor podem muito bem ter o mais recente know-how tecnológico e estratégias novas e modernas sobre como lidar com ameaças e reduzi-las. Mas o que lhes falta é conhecimento e know-how. Vendedores mais antigos e de configuração extra têm listas brancas detalhadas que permitem que o programa de software com empresa respeitável aproveite para funcionar corretamente sem ser bloqueado por itens de AV. Novos entrantes no setor serão capturados, mas leva um tempo prolongado para criar a experiência e a conscientização para trabalhar as listas de permissões corretamente. Quando instaladas e em execução, essas listas podem ser uma ferramenta eficaz, permitindo que os clientes trabalhem com um produto “negar por padrão” que impedirá que todos os pacotes de software sejam executados, a menos que sejam identificados como legítimos.

Costuma-se dizer que a maneira mais eficaz de tornar um dispositivo seguro é cortar sua conexão com a Internet e cortar o cabo de alimentação elétrica. Isso, é claro, minimizará o risco de malware a zero. Mas minimizará a produtividade na mesma quantidade. A resolução é vigilância contínua. Os fornecedores devem estabelecer rapidamente falsos positivos e simplesmente agir. Uma lista de permissões deve estar em constante evolução. Os compradores também devem observar suas respostas AV e relatar praticamente qualquer coisa que provavelmente esteja errada. O AV Comparative integra testes que permitem um ato de equilíbrio para orientar os usuários sobre as configurações que acabaram aplicadas no produto ou serviço de segurança pelos fornecedores. Os efeitos multifacetados podem fornecer uma imagem muito mais esclarecedora do que está acontecendo. O jeito paranóico é um problema – mas pode ser resolvido.

Peter Stelzhammer, cofundador, AV-Comparatives