Cos’è l’AntiVirus (AV) e come funziona
L’antivirus (AV) esiste sin dalla nascita dei primi computer collegati in rete (fine anni ’80), è progettato per rilevare e rimuovere malware dai dispositivi (endpoint). Gli AV funzionano eseguendo la scansione del sistema alla ricerca di codice dannoso, identificano eventuali minacce e le rimuovono prima che possano fare danni. Il software antivirus può monitorare i file in entrata, le e-mail e i download Web alla ricerca di segni di malware. Esegue inoltre la scansione dei siti Web per garantire che siano privi di virus o altri codici dannosi.
L’antivirus utilizza generalmente un metodo di rilevamento delle minacce basato sulla firma, ossia cerca modelli o “firme” associati a codice dannoso noto (presente nei database AV) e blocca l’installazione sul dispositivo di tutti i file che corrispondono a queste firme. Quando emergono nuovi virus e malware, i database AV vengono aggiornati in modo da mantenere protetti in tempo reale gli endpoint.
Negli anni però la rincorsa tra “aggressori” e “difensori” è diventata sempre più complessa, basti pensare che se nel 1994 c’erano circa 30.000 campioni di malware nella maggior parte dei database AV, nel 2005 erano già saliti a oltre 330.000 e nel 2007 erano arrivati a quasi 5,5 milioni. Oggi, ogni giorno, vengono segnalati più di 450.000 tipi di malware. Tenere il passo con gli “aggressori informatici” è diventato sempre più complicato, soprattutto quando gli aggressori hanno iniziato a utilizzare nuovi strumenti, come gli script di PowerShell e le macro dei documenti di Office, molto più difficili da rilevare con gli Antivirus.
L’Antivirus di Nuova Generazione
Gli esperti di sicurezza informatica si sono resi conto che non potevamo più tenere il passo con il crimine informatico solo con la tecnologia AV e che dovevamo apportare miglioramenti. All’inizio degli anni 2010 sono così nati gli Antivirus di Nuova Generazione (NGAV), che, invece di fare affidamento esclusivamente su hash noti di malware, rilevano nuovi ceppi utilizzando il comportamento del malware stesso: il NGAV esamina tutto ciò che viene eseguito sull’endpoint e determina se è dannoso o meno dal modo in cui si comporta.
L’antivirus di nuova generazione porta il tradizionale software antivirus a un livello nuovo e avanzato di protezione e sicurezza degli endpoint. Va oltre le firme malware note, basate principalmente su file, perché è un approccio basato su cloud e incentrato sul sistema. Il NGAV utilizza funzionalità di analisi predittiva basate sull’apprendimento automatico e sull’intelligenza artificiale e si unisce all’intelligence sulle minacce per:
- Rilevare e prevenire malware e attacchi malware fileless;
- Identificare i comportamenti malevoli e le TTP (Tattiche, Tecniche e Procedure) degli hacker da fonti sconosciute;
- Raccogliere e analizzare i dati completi degli endpoint per determinare le cause primarie;
- Rispondere a minacce nuove ed emergenti che in precedenza non venivano rilevate.
Il continuo aumento delle minacce, inclusi ransomware, malware senza file e attacchi zero-day e la crescente gravità dei danni a cui potenzialmente le organizzazioni sono esposte, ha reso però indispensabile dotarsi di strumenti in grado di rispondere e rimediare agli attacchi non bloccati dagli NGAV. Sono così nate le piattaforme di rilevamento e risposta degli endpoint (EDR).
Che cos’è l’EDR (Endpoint Detection and Response) e come funziona?
Le soluzioni EDR monitorano il comportamento di tutte le applicazioni su un endpoint o un dispositivo di rete per rilevare attività sospette o anomale, che potrebbero segnalare un attacco in corso. Includono anche funzionalità di risposta come contenimento automatizzato, correzione, indagine e opzioni di rollback in caso di violazione della sicurezza.
Contenimento: si riferisce al processo per impedire a un attore malintenzionato di accedere e diffondere il proprio malware. Le soluzioni EDR possono aiutare a contenere un attacco bloccando processi dannosi, disabilitando le connessioni di rete o impedendo loro in altro modo di eseguire determinate azioni sul sistema.
Riparazione: comporta l’adozione di misure per ripulire eventuali danni che sono già stati causati da un attacco. Ciò include il ripristino dei dati, la rimozione di file dannosi e l’annullamento di eventuali modifiche alla configurazione.
Indagine: è necessaria per determinare la causa dell’attacco e scoprire eventuali vulnerabilità sottostanti che devono essere affrontate per prevenire attacchi simili in futuro. Le soluzioni EDR possono fornire report dettagliati su ciò che è accaduto durante l’attacco, che possono essere utilizzati per migliorare la strategia di sicurezza in futuro.
Rollback: in alcuni casi, potrebbe essere necessario ripristinare le modifiche apportate a causa di un attacco. Le soluzioni EDR possono aiutare in questo processo fornendo la possibilità di ripristinare rapidamente qualsiasi configurazione di sistema o file che sono stati modificati durante l’attacco.
L’EDR è quindi in grado di riconoscere quando un’applicazione mostra un comportamento che potrebbe indicare un attacco dannoso. Può rispondere a questa minaccia isolando l’applicazione o il dispositivo dalla rete ed eseguendo scansioni o protocolli di isolamento per prevenire ulteriori infezioni.
NGAV e EDR: strumenti indispensabili a difesa della sicurezza informatica
Entrambi gli strumenti, antivirus ed EDR, sono essenziali per proteggere l’infrastruttura informatica dalle minacce. Mentre il software antivirus fornisce un approccio reattivo alla difesa, l’EDR offre una soluzione proattiva in grado di identificare comportamenti dannosi prima che diventino un problema. L’uso combinato dei due metodi contribuisce così a garantire che qualsiasi potenziale minaccia venga identificata rapidamente e affrontata in modo appropriato. Ad esempio, supponiamo che un collaboratore apra inavvertitamente un allegato di posta elettronica dannoso che contiene malware. Il software antivirus rileverà la minaccia, la rimuoverà e avviserà il personale IT del problema.
Allo stesso tempo, l’EDR riconoscerà qualsiasi attività sospetta associata alla minaccia, come il tentativo di accedere a dati riservati o l’apertura di determinati file. Può quindi isolare l’applicazione o il dispositivo dalla rete e fornire ulteriori misure di sicurezza per garantire che non si verifichino ulteriori danni.
Utilizzando queste soluzioni combinate insieme, le aziende possono identificare rapidamente comportamenti sospetti e rispondere con misure di contenimento prima che si verifichino danni. La combinazione dei due strumenti fornisce dunque una difesa efficace contro le minacce note pur essendo in grado di rilevarne e analizzarne di nuove non appena si presentano.
La soluzione combinata di Fortinet: NGAV + EDR nel cloud
Per godere appieno delle soluzioni NGAV ed EDR, le aziende devono sfruttare il cloud e il suo immenso potere computazionale, la sua scalabilità illimitata e la sua facilità di gestione. Portare la sicurezza degli endpoint nel cloud assicura un approccio proattivo anziché reattivo che unisce i Big Data a funzionalità di analisi avanzate per superare in modo intelligente gli attacchi emergenti più minacciosi.
Il cloud offre i vantaggi in termini di infrastruttura: gestione semplificata con possibilità di interventi in tempo reale, deployment più rapido e tecnologia innovativa sempre all’avanguardia, essendo costantemente aggiornata.
Da oltre 10 anni siamo partner di Fortinet per le soluzioni di sicurezza informatica, leader internazionale che offre un’ampia gamma di appliance hardware, virtuali e Cloud per garantire a ogni organizzazione i più completi e sofisticati servizi di sicurezza informatica.