Por Brad Anderson //
Estatísticas sobre o sucesso e a sofisticação dos malwares podem ser assustadoras. A figura a seguir não é diferente: aproximadamente 96% de todo o malware é polimórfico – o que significa que ele é experimentado apenas por um único usuário e um dispositivo antes de ser substituído por outra variante de malware. Isso ocorre porque, na maioria dos casos, o malware é detectado quase tão rapidamente quanto é criado, portanto, os criadores de malware evoluem continuamente para tentar ficar à frente. Dados como esses reforçam a importância de ter soluções de segurança que sejam ágeis e inovadoras como os ataques.
O tipo de solução de segurança necessária tem um trabalho complexo: ela deve proteger os usuários de centenas de milhares de novas ameaças todos os dias e, em seguida, deve aprender e crescer para ficar à frente da próxima onda de ataques. A solução não pode simplesmente reagir às ameaças mais recentes; deve ser capaz de prever e prevenir infecções por malware.
No último ano, falamos sobre como estamos investindo em inovações para abordar esse cenário desafiador de ameaças, o que entregamos e como isso mudará a dinâmica. Hoje, quero compartilhar os resultados de nossos novos recursos de antivírus na Proteção contra Ameaças Avançadas (ATP, na sigla em inglês) do Windows Defender, que são realmente incríveis porque irão beneficiar diretamente o trabalho que você está realizando.
Atualmente, nossos recursos de antivírus no Windows 10 estão obtendo os melhores resultados em testes independentes, muitas vezes superando a concorrência. Esse desempenho é o resultado de uma reformulação completa da nossa solução de segurança.
Além disso, essa mesma tecnologia está disponível para nossos clientes do Windows 7, para que eles permaneçam seguros durante a transição para o Windows 10.
Tudo começou em 2015
Estamos trabalhando para tornar nossos recursos antivírus cada vez mais eficazes e, em 2015, nossos resultados em dois grandes testes independentes (AV-Comparatives e AV-TEST) começaram a melhorar drasticamente. Como você pode ver no gráfico abaixo, a partir de março de 2015, nossas pontuações no AV-TEST começaram a subir rapidamente e, ao longo dos cinco meses seguintes, passamos de uma média de 85% no Teste de Prevalência para (ou perto de) 100%. Desde então, mantivemos esses tipos de pontuação de maneira consistente. Nossas pontuações no AV-Comparatives tiveram um pico, trajetória e resultados muito semelhantes.
Em dezembro de 2017, alcançamos outro marco no AV-TEST, em que obtivemos uma pontuação perfeita nos testes baseados em Prevalência e Real-World. Anteriormente, tínhamos marcado apenas 100% perfeitos em um dos dois testes para um determinado mês. A tabela a seguir do site AV-TEST mostra nossas pontuações de novembro e dezembro de 2017 no Windows 7. Essas mesmas pontuações também se aplicam ao Windows 10, que compartilha a mesma tecnologia (e mais).
Para AV-Comparatives, alcançamos recentemente outro importante marco de qualidade: por cinco meses consecutivos, detectamos todas as amostras de malware. Nosso melhor resultado anterior foi de quatro meses consecutivos. O gráfico AV-Comparatives abaixo apresenta os nossos resultados de fevereiro de 2018, nos quais obtivemos uma taxa de bloqueio perfeita de 100%.
Embora os testes antivírus independentes sejam um indicador dos recursos e proteções de uma solução de segurança, é importante entender que essa é apenas uma parte de uma avaliação completa da qualidade.
Por exemplo, no caso do Windows Defender ATP (que integra nossos recursos de antivírus e toda a segurança do Windows), nossos clientes têm um conjunto muito maior de recursos de proteção, dos quais nenhum é considerado nos testes. Esses recursos fornecem camadas adicionais de proteção que ajudam a impedir que malwares entrem nos dispositivos. Esses recursos incluem o seguinte:
- Windows Defender System Guard
- Windows Defender Application Guard
- Windows Defender Application Control
- Windows Defender Exploit Guard
Se organizações como a AV-Comparatives e o AV-TEST realizaram testes completos de segurança (ou seja, testes contra uma solução completa de proteção de endpoints), os resultados geralmente contam uma história muito diferente. Por exemplo, em novembro, obtivemos 98,9% com base em um único arquivo perdido no teste Real-World. A boa notícia, no entanto, é que teríamos marcado 100% se o Windows Defender Application Guard ou o Application Control estivessem habilitados.
Como alcançamos esses resultados?
A resposta curta é que redesenhamos completamente as nossas soluções antivírus para o Windows 7 e o Windows 10 a partir do zero.
Para fazer isso, nos afastamos do uso de um mecanismo baseado em assinatura estática que não podia ser dimensionado devido à dependência de informações constantes dos pesquisadores. Agora, mudamos para um modelo que usa tecnologias preditivas, aprendizado de máquina, ciência aplicada e inteligência artificial para detectar e impedir o malware à primeira vista. Descrevemos o uso dessas tecnologias em nossos posts recentes sobre Emotet e BadRabbit, bem como o recente surto de Dofoil. Esses são os tipos de abordagem que podem ter muito sucesso contra a avalanche contínua de ameaças de malware.
Devido a essas alterações, nossa solução antivírus agora pode bloquear malware usando modelos de aprendizado de máquina locais e baseados em nuvem, combinados com detecções comportamentais, heurísticas e baseadas em detecções genéricas no cliente. Podemos bloquear quase tudo à primeira vista e em milissegundos!
Isso é incrível.
Também projetamos nossa solução antivírus para funcionar em cenários online e offline. Quando conectada à nuvem, ela é alimentada com inteligência em tempo real do Intelligent Security Graph. Para cenários offline, a inteligência dinâmica mais recente do Graph é provisionada para o terminal ao longo do dia.
Também construímos nossa solução para nos defender da nova onda de ataques sem arquivos, como Petya e WannaCry. Para ler mais sobre como nos protegemos contra esses ataques, confira o post do blog “Agora você me vê: expondo malware sem arquivo“.
O que isso significa para você?
Cada um desses marcos é ótimo, mas o que nos deixa mais entusiasmados aqui na Microsoft é muito simples: a adoção do cliente.
Neste momento, estamos vendo um grande crescimento em ambientes corporativos em todas as nossas plataformas:
- 18% dos dispositivos Windows 7 e Windows 8 estão usando nossa solução de antivírus
- Mais de 50% dos dispositivos Windows 10 estão usando nossa solução de antivírus
Esses são números impressionantes e prova de que os clientes confiam na segurança do Windows. O que estamos vendo é que, conforme as organizações estão migrando para o Windows 10, elas também estão migrando para o antivírus como solução preferida. Com a nossa solução antivírus sendo usada em mais de 50% dos PCs com Windows 10 em organizações comerciais, essa é agora a solução antivírus mais usada por elas nessa plataforma. O uso é feito em clientes comerciais de todos os tamanhos, de pequenas e médias empresas até as maiores organizações.
Nos últimos dois meses, compartilhei esses dados com vários clientes, e muitas vezes me perguntaram por que vimos um aumento tão positivo. A resposta é simples:
- Nossos recursos de antivírus são uma solução fantástica! Os resultados do teste acima falam por si mesmos. Com cinco meses de pontuações máximas que superam alguns dos nossos maiores concorrentes, você pode ter certeza de que nossa solução pode protegê-lo contra as ameaças mais avançadas.
- Nossa solução é mais fácil e operacionalmente mais barata de manter do que outras. A maioria dos clientes corporativos usa o Config Manager para gerenciamento dos recursos de segurança dos PCs com Windows 7 e Windows 10, incluindo antivírus. Com o Windows 10, os recursos antivírus são criados diretamente no sistema operacional e não há nada para implantar. O Windows 7 não inclui recursos de antivírus por padrão, mas pode ser implantado e configurado no Config Manager. Agora as organizações não precisam manter duas infraestruturas, uma para gerenciamento de PC e outra para antivírus. Vários anos atrás, o departamento de TI da Microsoft retirou a infraestrutura global separada usada para gerenciar a solução antivírus da Microsoft – e agora você também pode! Com nossa solução, há menos para manter e proteger.
- Nossa solução permite que a TI seja mais ágil. No Windows 10, não há agente – a segurança é incorporada à plataforma. Quando uma nova atualização do Windows 10 for lançada, você não precisará aguardar um terceiro para certificá-la e apoiá-la; em vez disso, você tem total suporte e compatibilidade no primeiro dia. Isso significa que novas versões do Windows e todas as tecnologias de segurança mais recentes podem ser implantadas mais rapidamente. Isso permite que você permaneça atualizado e fique mais seguro.
- Nossa solução oferece uma melhor experiência ao usuário. Ele foi projetado para trabalhar nos bastidores de maneira discreta para os usuários finais e minimizar o consumo de energia. Isso significa maior vida útil da bateria – e todo mundo quer bateria com mais vida útil!
Embora tenhamos feito excelentes progressos com nossa solução antivírus, estamos ainda mais empolgados com os recursos de proteção e gerenciamento que forneceremos aos nossos clientes em um futuro próximo. Enquanto isso, uma das melhores maneiras de avaliar nossos recursos de antivírus é quando você o executa com o Windows Defender ATP. Com o ATP do Windows Defender, o poder da segurança do Windows fornece proteção preventiva, detecta ataques e explorações de dia zero e oferece gerenciamento centralizado para o ciclo de vida de segurança de ponta a ponta.
Inscreva-se para experimentar o Windows Defender ATP!
Brad Anderson é vice-presidente corporativo de Enterprise Mobility + Security na Microsoft.
