Antivirus di ultima generazione

Abbandoniamo i cari vecchi database di impronte da aggiornare. Diamo il benvenuto al cloud.

Antivirus tradizionale o innovativo?

La funzione degli antivirus non è così scontata, specie se consideriamo il fenomeno del ransomware: programmi di crittografia attivati all’insaputa di chi tratta i dati crittografati, per poi perpetrare un ricatto. Un programma di crittografia è un virus? No di certo! Una bella sfida per i vendor di software antivirus…

Ci sono ben altre questioni a completare lo scenario a dismisura: IoT, SaaS, big data, social, mobile, cloud, APIs, BYOD. A riprova di quanto sia problematica la situazione, basta consultare le statistiche pubblicate da AV TEST sulla rilevazione di nuovi programmi malevoli: svariate migliaia ogni giorno.

Nuovo malware rilevato negli ultimi 12 mesi – Fonte: AV-TEST

La funzione dell’antivirus allora non può essere più quella di utilizzare le risorse di calcolo della macchina in cui è operativa per individuare schemi comportamentali o di strutture dati già classificate. Spesso, sempre più spesso, la rilevazione è tardiva.

La funzione degli antivirus di ultima generazione è quella di sfruttare il cloud computing, la concentrazione di informazioni e risorse computazionali e la forza della rete internet. Una rete di utenti che collaborano per far fronte comune ad attaccanti sempre più organizzati.

Come fanno a contrastare tutti questi nuovi tipi di minacce?

Gli antivirus di ultima generazione comprendono:

  • un agente: un programma installato sul dispositivo da proteggere, la cui funzione è quella di collegarsi ad un sistema centrale globale (vedi più sotto);
  • una console di gestione: servizio software che consente agli informatici dell’azienda di tenere la situazione sotto controllo, di lanciare le installazioni e di gestire parametri di funzionamento a livello di organizzazione, unità organizzativa o singolo dispositivo;
  • il sistema centrale globale: sistema informatico complesso gestito dalla casa madre dell’antivirus, che raccoglie dati da tutti gli utenti del mondo, li rielabora e li mette a disposizione per consentire agli agenti di riconoscere gli attacchi e reagire secondo i criteri impostati dalla console.

Questo tipo di architettura consente di proteggere dalla sottrazione di dati anche da parte di minacce sconosciute: una delle elaborazioni più importante è l’esecuzione di programmi in ambiente protetto (sandbox) nel sistema centrale; il filtro integrato nell’agente previene la trasmissione di dati sensibili.

Come utilizzare al meglio gli antivirus di ultima generazione?

Uno dei problemi tipici degli antivirus è la loro invasività, il consumo di risorse di calcolo. Conviene quindi scegliere uno strumento compatto, capace di scansioni rapide.

Una volta installato, l’agente non dovrà fare l’aggiornamento delle firme, per cui possiamo aspettarci che l’installazione resti compatta.

In linea di massima, anche l’installazione dovrebbe essere rapida e snella, tanto che solitamente gli amministratori di sistema la automatizzano o la demandano agli utenti.

Se avete una macchina vecchia, paradossalmente, grazie agli antivirus di ultima generazione potete avere meno preoccupazioni: solitamente hanno scarse pretese in termini di memoria e di potenza di calcolo. Mi raccomando: comunque non utilizzate in ambiente di lavoro dei calcolatori con sistema operativo obsoleto, non più supportato dal suo produttore.

Il resto del lavoro, oltre a tenere sotto controllo eventuali incidenti ed alimentare: whitelist, blacklist e override.

Per i più sensibili alla riservatezza dei dati, si tenga presente che ci sono varie tecniche attuabili da parte degli antivirus di ultima generazione per garantirla, evitando in tutti i casi che vengano trasmessi nel cloud i vostri documenti.

Alcune delle tecniche più importanti sono:

  • identificazione di documenti in base al comportamento e a codici hash;
  • comunicazioni su canale cifrato;
  • conformità del sistema centrale globale a standard di sicurezza clout come SAS70 Type 2.