Vou implantar antivírus e proteção endpoint
Resposta rápida
Antivírus tradicional, que olhava assinatura, está superado para ameaça moderna. A proteção contemporânea é EDR (Endpoint Detection and Response) ou EPP+EDR integrado: vigia comportamento, detecta ataque em andamento, responde com isolamento do endpoint, registra evidência para investigação. Critérios de escolha são quatro — qualidade técnica em testes independentes (AV-Comparatives, MITRE ATT&CK, SE Labs), console único para todas as plataformas (Windows, macOS, Linux, mobile, servidor), modelo operacional (autogerido ou MDR — Managed Detection and Response, com SOC do fornecedor monitorando), custo total por endpoint e ano. Implantação inclui agente em todos os equipamentos, política de atualização automática, monitoramento ativo e processo claro de resposta a alerta.
Na empresa pequena, antivírus consumidor ou gratuito empacotado com sistema operacional não basta para risco corporativo. Solução EDR de mercado em modelo SaaS (Bitdefender GravityZone, SentinelOne, Sophos Intercept X, Microsoft Defender for Business, alternativas similares) com console único é o caminho prático. Operação fica com o MSP ou ponto focal interno, com modelo MDR sendo a recomendação principal — alerta de madrugada em pequena sem MDR raramente é atendido a tempo. Custo costuma ser cobrado por endpoint e ano, com volume baixo o suficiente para caber no orçamento. O risco maior é deixar fora endpoint que não passa pelo console: notebook de prestador, equipamento de home office esquecido, servidor pequeno legado.
Na empresa média, EDR profissional vira padrão, com console central, integração com diretório corporativo, política por grupo (estação, servidor, mobile), monitoramento ativo com alerta em canal acompanhado e SOC interno ou MDR contratado. Cobertura precisa ser de 100% dos endpoints corporativos — gap de cinco máquinas é porta de entrada. Inclua endpoints fora do escritório (home office, ponto de venda, fábrica), servidores Linux quando houver, e dispositivos móveis corporativos via MDM integrado. Em média, é comum descobrir que parte do parque está com licença vencida ou agente desatualizado — relatório de cobertura mensal evita surpresa.
Na empresa grande, EDR integra ecossistema mais amplo — XDR (Extended Detection and Response), SIEM, SOAR, threat intelligence, NDR (Network Detection and Response). Operação via SOC interno 24x7 ou MSSP especializado, com playbooks formais por tipo de ameaça e métricas de tempo de detecção e resposta (MTTD, MTTR). Cobertura em escala exige automação de implantação, monitoramento de cobertura, ciclos de atualização governados e exercícios periódicos (red team, blue team, purple team). Threat hunting proativo costuma ser parte do escopo. O risco maior é ter ferramenta excelente e operação fraca: tecnologia não substitui processo nem analista treinado.
- O parque tem antivírus consumidor ou gratuito misturado
- Ninguém sabe qual a cobertura real (quantos endpoints com agente ativo)
- Alertas chegam por e-mail genérico que ninguém lê
- Em incidente, não há ferramenta para isolar a máquina afetada
- Servidores Linux ou Mac ficaram de fora do escopo
- Home office e notebook de prestador não passam pelo console
Por que antivírus tradicional já não basta
Antivírus tradicional foi desenhado para malware conhecido — encontrava assinatura, bloqueava arquivo, gerava log. Ataques modernos usam técnicas que não passam por assinatura: scripts legítimos abusados (living-off-the-land), credencial roubada com acesso aparentemente normal, ransomware que se move lateralmente antes de criptografar. Proteção contemporânea precisa olhar comportamento: o que o processo está fazendo, com que arquivos, em que sequência, em que rede. Esse é o trabalho do EDR — Endpoint Detection and Response. Soluções modernas combinam EPP (preventivo, com inteligência sobre malware conhecido) e EDR (detectivo e responsivo, com análise de comportamento) num só agente.
Quatro critérios para escolher
Primeiro, qualidade técnica comprovada em testes independentes. AV-Comparatives, MITRE ATT&CK Evaluations, SE Labs publicam testes recorrentes que permitem comparação objetiva. Segundo, console único multiplataforma. Empresa moderna tem Windows, macOS, Linux, mobile, servidor — gerir tudo num console centralizado economiza tempo e reduz pontos cegos. Terceiro, modelo operacional. Solução autogerida exige equipe e plantão; MDR (Managed Detection and Response) com SOC do fornecedor faz sentido quando o time é pequeno ou não cobre 24x7. Quarto, custo total por endpoint e ano, considerando licença, console, MDR se contratado, suporte e renovação. Compare três a quatro alternativas com critérios escritos.
EDR autogerido versus MDR
EDR autogerido entrega ferramenta — alguém precisa olhar, investigar e responder. MDR (Managed Detection and Response) adiciona operação: SOC do fornecedor monitora 24x7, triagem o alerta, responde a ameaça e escala apenas o que precisa de você. Para empresa pequena e média sem plantão de segurança interna, MDR costuma ser a opção sensata: alerta de madrugada em ferramenta autogerida raramente é atendido a tempo. Para empresa grande com SOC interno maduro, autogerido pode bastar; algumas combinam SOC interno com MDR especializado em endpoint como camada adicional. Decisão segue maturidade da operação, não preço da licença.
- Inventário completo do parque. Estações, notebooks, servidores, mobile corporativo, em escritório e fora. Sem inventário, gap é certo.
- Comparativo de soluções. Três a quatro alternativas avaliadas em testes independentes, console, modelo operacional e custo total.
- Piloto controlado. Subgrupo representativo (TI, uma área de negócio, alguns servidores), por 30 a 45 dias, com avaliação técnica e de operação.
- Implantação em ondas. Por área ou unidade, com monitoramento de cobertura por console, comunicação aos usuários e relatório semanal de progresso.
- Operacionalização. Política de atualização, monitoramento ativo com alerta em canal acompanhado, processo de resposta a alerta, indicador de cobertura mensal.
Cobertura de 100% ou nada
Cinco endpoints sem agente em parque de cem é porta de entrada para a empresa inteira. Cobertura precisa ser tratada como indicador formal, com relatório mensal mostrando dispositivos no console versus dispositivos no inventário, agentes ativos versus desatualizados, política aplicada versus default. Falhas comuns: notebook de prestador, equipamento de home office esquecido, servidor pequeno em filial, ambiente de desenvolvimento "que ninguém usa para nada importante". Toda exceção precisa ser justificada e revisada — caso contrário, é dívida que paga com incidente.
Antivírus consumidor em ambiente corporativo. Produto de mercado para pessoa física não tem console centralizado, política corporativa nem EDR. Em incidente, falta tudo o que importa.
Cobertura parcial. Cinco máquinas sem agente em parque grande é porta de entrada que nega o investimento no resto. Cobertura é indicador mensal.
Alerta sem operação. EDR autogerido sem analista treinado e sem plantão gera alerta que ninguém investiga. MDR vale o custo na maioria dos casos.
Ignorar Linux, Mac e mobile. Servidor Linux, estação Mac e mobile corporativo precisam estar no escopo. Gap por plataforma é gap real.
- Inventário completo de endpoints e plataformas
- Solução EDR com EPP integrado e qualidade comprovada
- Console único cobrindo todas as plataformas em uso
- Modelo operacional definido (autogerido com plantão ou MDR)
- Cobertura de 100% medida mensalmente
- Política de atualização e ciclo de revisão definidos
- Processo de resposta a alerta documentado e treinado