Por COMPUTERWORLD

• Share

O sino está tocando para a tecnologia de antivírus para desktops? Alguns analistas de mercado estão proclamando que está morta a maneira tradicional baseada em assinaturas de detectar e erradicar vírus, trojans, spyware e outros malware.

Leia Mais:
Microsoft em segurança: nada será como antes
A HP pode comprar a Symantec?

O argumento é antigo: o modelo baseado em assinaturas não é capaz de acompanhar a inundação de variantes de vírus feitas pelo submundo do crime que está vencendo os fornecedores de antivírus em seu próprio quintal. Agora, estes analistas estão questionando se não é tempo das companhias apostarem pesadamente em novas estratégias, como whitelisting ou bloqueio por comportamento, para proteger os desktops e servidores.

“É o começo do fim para o antivírus”, diz Robin Bloor, sócio da empresa de consultoria Hurwitz & Associates, em Boston, Estados Unidos. O analista conta que iniciou a campanha “o antivírus está morto” um ano atrás e que sente isso ainda mais forte hoje. “Vou continuar batendo nesta tecla. A estratégia dos fornecedores de antivírus está completamente errada. Os criminosos, antes de soltar as pragas para os usuários, estão testando-as contra os softwares de antivírus. Eles já entenderam como funciona e como criar variantes que não são detectadas”.

O problema fundamental “não é sobre vírus, mas sobre o que deveria estar rodando nos computadores”, diz Bloor. Em vez de antivírus, garante, os usuários deveriam estar investindo em software de whitelisting, que previnem a infestação de vírus por permitir que apenas aplicações autorizadas rodem.

Os produtos de whitelisting são fornecidos por empresas como SecureWave, Bit9, Savant, AppSense e CA, “a primeira fabricante tradicional que viu a luz”, defende Bloor.

Outros estão pensando como ele. Andrew Jaquith, analista de segurança do Yankee Group, publicou em dezembro o relatório “O Antivírus está morto: Longa vida ao Anti-Malware”. A pesquisa do instituto indica que há uma “explosão” em variações cumulativas de malware, com a expectativa de que 220 mil variantes sejam encontradas em 2007, uma alta de dez vezes maior que em 2002.

Os fornecedores tradicionais simplesmente não conseguem acompanhar, diz Jaquith, destacando que alguns laboratórios antivírus reclamaram internamente da inundação de variantes, que forçam mudanças nas assinaturas a cada dez minutos.

“A maior parte dos laboratórios antivírus sofre o mesmo problema: eles ficam com mais amostras do que podem lidar diariamente”, afirma Jaquith. “Eles tentaram uma triagem baseada no nível de severidade. Os profissionais de antivírus são como pescadores com redes tentando pegar o peixe grande, então, se você é o bandido, vai tentar ser um peixe pequeno para passar pela rede”.

A melhor coisa relacionada com as assinaturas de antivírus é que “elas são eficientes e o falso positivo é muito baixo”, destaca Jaquith. No entanto, o propósito de escrever o artigo está em “estourar a certeza de que esse tipo de solução está protegendo a máquina e que resolve o problema de malware”.

Jaquith acrescenta que é um entusiasta das tecnologias de bloqueio por comportamento de empresas como Sana Security ou Prevx1.

Este tipo de tecnologia funciona analisando o comportamento das aplicações que estão rodando na memória e bloqueando aquelas que parecem perigosas. O CEO da Sana Security, Don Listwin, afirma que a sua solução pesquisa 226 características de software para definir se o código tem um comportamento danoso, bloqueando-o se for o caso.

“O usuário é avisado e tiramos a aplicação”, afirma Listwin. Mas ele ressalta que é possível existir falsos positivos, classificando o scanner de antivírus como uma função “complementar” ao que a Sana Security oferece

Nem todos os analistas, no entanto, estão prontos para pular na caravana “o antivírus está morto”.  “Antivírus no desktop ainda é algo mandatório, mas primordialmente como uma ferramenta de remoção de pragas”, afirma John Pescatore, analista do Gartner.

Ele conta que o instituto aconselha seus clientes a comprar soluções de antivírus integradas com sistemas de prevenção de intrusos (IPS), acrescentando que McAfee, Symantec e outros já possuem tecnologia semelhante para bloquear a praga quando a vacina ainda não existe.