Thomas Dullen apresentou o que pode realmente ser um impasse em relação a IR e as tecnologias atuais aplicadas aos anti-virus. Segundo ele, as proteções e estratégias são basicamente focadas em assinaturas. No entanto, as mesmas assinaturas produzidas para proteger informam aos atacantes o que o anti-virus está checando, e daí passa a ele toda a inteligência utilizada e dá, de graça, o conhecimento que o atacante precisa para alterar a versão inicial do malware, precavendo-se de ser pego novamente. Esse modelo faz com que, no fim das contas, os atacantes sempre tenham mais informações do que os defensores. Na mesma palestra, Thomas discute alternativas possíveis a essa abordagem.
O que você, nobre leitor deste blog, acha ? A tecnologia atual de detecção e ações automáticas de contenção, todas baseadas em assinaturas, deve evoluir ? A submissão de novos malwares detectados aos fabricantes é beneficial ou prejudica ?
Comentem !
Até o próximo post !
Nenhum comentário:
Postar um comentário