C’era una volta… l’antivirus

Oggi vi racconto la fantastica storia dell’antivirus. L’antivirus è un software progettato per rilevare e rimuovere i virus informatici ed esiste dagli anni 80 del secolo scorso, quindi sin dalla nascita dei primi computer collegati in rete.

L’antivirus funziona eseguendo la scansione del sistema alla ricerca di codice dannoso. Quando l’antivirus rileva un malware, lo mette in quarantena oppure lo elimina dal sistema prima che possa far danni.

L’antivirus utilizza generalmente un metodo di rilevamento delle minacce basato sulla firma, confrontando i modelli di byte con firme di malware precedentemente identificate e blocca l’installazione sul dispositivo di tutti i file che corrispondono a queste firme. Quando emergono nuovi virus, il database contenente le firme deve essere aggiornato.

Nel corso degli anni, la gara tra aggressori e difensori divenne sempre più agguerrita e complessa. Una trentina di anni fa c’erano poche decine di migliaia di firme conosciute nei database degli antivirus. Dieci anni dopo erano decuplicate e pochi anni dopo superavano i 5 milioni. Attualmente vengono segnalati circa mezzo milione di tipi di malware ogni giorno.

Gli esperti di sicurezza si sono resi conto che non potevano più tenere il passo con il crimine informatico utilizzando solo la tecnologia delle firme. La difficoltà nel rilevare malware avanzati e sconosciuti era infatti una limitazione immensa che portò alla ricerca di nuove soluzioni.

Attorno all’anno 2010 sono così nati gli antivirus di nuova generazione (Next Generation Antivirus, NGAV). Invece di fare affidamento esclusivamente su firme conosciute di malware, la nuova tecnologia rileva nuovi tipi di malware utilizzando il comportamento del malware stesso: si esamina tutto ciò che viene eseguito sul dispositivo e si determina se è dannoso o meno dal modo in cui si comporta.

L’antivirus di nuova generazione utilizza funzionalità di analisi predittiva basate sull’apprendimento automatico e sull’intelligenza artificiale e consente di rilevare e neutralizzare malware e attacchi malware fileless. Non solo la nuova tecnologia può identificare comportamenti malevoli, ma può raccogliere e analizzare i dati dei dispositivi infetti per determinare le cause primarie del problema.

Negli ultimi anni, l’aumento esponenziale delle minacce del tipo ransomware, malware fileless e attacchi zero-day, in combinazione con la crescente gravità dei danni a cui potenzialmente le organizzazioni sono esposte, ha reso però indispensabile dotarsi di strumenti in grado di rispondere e rimediare a questi attacchi evoluti.

Sono così nate le piattaforme di rilevamento e risposta degli endpoint (Endpoint Detection and Response, EDR).

Endpoint Detection and Response (EDR)

Le soluzioni EDR monitorano il comportamento di tutte le applicazioni su un dispositivo per rilevare attività sospette o anomale, che potrebbero segnalare un attacco in corso. Includono anche funzionalità di risposta come contenimento automatizzato, riparazione, indagine e opzioni di rollback in caso di violazione della sicurezza.

Il contenimento è un processo per impedire la diffusione di malware, bloccando processi dannosi, disabilitando le connessioni di rete o impedendo loro in altro modo di eseguire determinate azioni sul sistema.

La riparazione consente l’adozione di misure per ripulire eventuali danni che sono già stati causati da un attacco. Ciò include il ripristino dei dati, la rimozione di file dannosi e l’annullamento di eventuali modifiche alla configurazione.

L’indagine è necessaria per determinare la causa dell’attacco e scoprire eventuali vulnerabilità sottostanti che devono essere eliminate per prevenire attacchi simili in futuro. L’EDR fornisce report dettagliati su ciò che è accaduto durante l’attacco, che possono essere utilizzati per migliorare la strategia di sicurezza in futuro.

In alcuni casi, potrebbe essere necessario ripristinare le modifiche apportate a causa di un attacco. Questa operazione di chiama rollback. L’EDR può aiutare in questo processo fornendo la possibilità di ripristinare rapidamente qualsiasi configurazione di sistema o file che sono stati modificati durante l’attacco.

Il vantaggio principale dell'EDR è che la soluzione consente alle aziende di proteggersi da attacchi noti (ad esempio un virus) e sconosciuti (malware fileless) analizzando i comportamenti sospetti.

Managed Detection and Response (MDR)

L'MDR rappresenta un ulteriore livello di sicurezza rispetto all’EDR con lo scopo di fornire una gestione completa della sicurezza informatica. Le aziende spesso si affidano a fornitori di servizi MDR per esternalizzare la gestione delle minacce e la risposta agli incidenti.

L’MDR fornisce un monitoraggio continuo 27x7 delle minacce e risposta agli incidenti in qualsiasi momento del giorno o della notte.

L’analisi avanzata delle minacce consente operazione di analisi avanzate e intelligence per identificare minacce sofisticate e persistenti.

La consulenza esperta aiuta le organizzazioni a neutralizzare gli attacchi e a migliorare la loro sicurezza.

Extended Detection and Response (XDR)

L’XDR è uno strumento basato su software-as-a-service per rilevare le minacce e rispondere agli attacchi. L’XDR estende l'ambito funzionale dell'EDR e MDR raggruppando diversi prodotti in una piattaforma standardizzata e integrando contemporaneamente una risposta automatizzata alle minacce.

XDR analizza i dati provenienti da più fonti (e-mail, endpoint, server, reti, flussi cloud, ecc.) per convalidare gli avvisi, riducendo i falsi positivi e il volume complessivo degli avvisi. Allo stesso tempo, la correlazione multilivello degli indicatori consente un numero significativamente maggiore di opzioni di rilevamento. Ad esempio, XDR offre una visibilità completa utilizzando anche i dati di rete per monitorare gli endpoint vulnerabili (non gestiti) che non vengono rilevati dagli strumenti EDR.

XDR supera i confini dei perimetri di rilevamento e utilizza l'automazione per accelerare le indagini e rilevare attacchi sofisticati.

Security Operations Center (SOC)

Il centro operativo di sicurezza (Security Operations Centre, SOC) è un centro di controllo centrale dove le minacce vengono monitorate, qualificate e prevenute. Gli analisti del SOC collaborano con esperti di sicurezza informatica di altri settori (specialisti IT, esperti forensi, sviluppatori di casi d'uso, ecc.) in processi coordinati e con strumenti speciali, 24 ore su 24, 365 giorni all'anno.

Tutti questi componenti sono oggigiorno essenziali per proteggere l’infrastruttura informatica dalle minacce. Utilizzando queste soluzioni combinate insieme, è possibile identificare rapidamente comportamenti sospetti e rispondere con misure di contenimento prima che si verifichino danni irreparabili e molto costosi. La combinazione di questi strumenti fornisce dunque una difesa estremamente efficace contro le minacce note pur essendo in grado di rilevarne e analizzarne di sconosciute.

Kaspersky NEXT Complete Security

Combined Managed Workplace si basa sulla soluzione di sicurezza Endpoint Security di Kaspersky, leader globale nel campo della cybersecurity, i cui prodotti pluripremiati vengono utilizzati da oltre 220'000 organizzazioni in tutto il mondo. Nel corso del 2025, introdurremo la nuova e potente soluzione senza compromessi Kaspersky NEXT.

Kaspersky NEXT porta la sicurezza della vostra azienda a un livello superiore. Senza compromessi. Per tutti i tipi di aziende, il panorama delle minacce non resta mai fermo. Le minacce elusive che prima colpivano le aziende più grandi ora stanno interessando anche le aziende più piccole, prive delle risorse adeguate per affrontarle.

Kaspersky NEXT è una potentissima soluzione EDR/MDR che garantisce anche alle aziende più piccole un livello di protezione molto elevato come per le grandi aziende. Grazie a Kaspersky NEXT, anche le PMI posso usufruire di un centro operativo di sicurezza ad un prezzo irrisorio.

Ecco il motivo per cui scegliere ora Combined Managed Workplace con Kaspersky NEXT Complete Security: Ogni secondo può essere decisivo per i vostri dati.

Contattami ora per una dimostrazione gratuita.

Promozione valida fino al 31.12.2024

Il centro operativo di sicurezza è ora alla portata di qualsiasi PMI in Svizzera.

Contattami ora e approfitta della promozione 2024.

Il servizio Combined Managed Workplace con Kaspersky NEXT Complete Security è disponibile per la durata di 4 anni al prezzo di 3 anni.

Per le ordinazioni fino al 31.1.22024 concedo personalmente un ulteriore 20 % di sconto su tutta la durata del contatto.

Immagini n. 2, 3 e 4 © Kasperksy