E’ opinione diffusa che i software di protezione dei nostri PC (i.e. antivirus) siano ormai obsoleti. Le tecniche tradizionali di identificazione di file, url ed IP malevoli hanno fatto il loro corso. Nuove tecniche di attacco, inclusi i malware polimorfici, sono in grado di camuffare noti virus e di renderli invisibili ai software antivirus. Molte organizzazioni, quindi, affrontano il problema legato alla sicurezza dei propri sistemi con un approccio definito Next Generation Endpoint Protection.
La logica di implementazione del Next Generation Endpoint Protection è basata sulle seguenti condizioni:
Previsione
Essere in grado di prevedere in tempo reale in che modo un attacco informatico colpirà i nostri sistemi è l’elemento più importante di un sistema di difesa. Le tecniche di previsione sono in grado di capire in anticipo quali saranno le azioni del software malevolo analizzando pattern e tecniche malware conosciute. L’analisi prevede il monitoraggio costante delle sistema, del network, delle operazione IO, dei registri, ecc. e l’identificazione di azioni riconducibili a noti pattern di intrusione e manomissione dati.
Prevenzione
Tecniche di prevenzione comportano l’eliminazione di software malevoli prima che attacchino il sistema. L’approccio più efficace prevede l’uso di sistemi cloud intelligenti in grado di fornire informazioni in tempo reale e di bloccare proattivamente i malware. Questo tipo di intelligenza consente di fortificare le difese anche tramite l’ausilio di blacklist e/o whitelist.
Rilevamento
Una tecnica piuttosto utilizzata da chi intende violare un sistema è quella del drive-by download ovvero un attacco che obbliga il browser a scaricare ed eseguire sul proprio computer un malware. Essere in grado di ripristinare il sistema ad uno stato antecedente l’attacco non è cosa semplice e spesso richiede un intervento manuale da personale qualificato. Un sistema provvisto di Next Generation Endpoint Protection dovrebbe essere in grado di ripristinare il sistema senza problemi e di fornire un rapporto su cosa è stato modificato ed il tipo di rimedio attuato.
Il tutto dovrebbe avvenire in maniera automatica. Molti sistemi sono privi di tali automatismi e si limitano solamente ad allertare di una possibile intrusione e a suggerire rimedi su come eliminare il malware.
La logica di implementazione e l’architettura dei software di protezione di vecchia generazione rendono spesso gli antivirus non in grado di fronteggiare le nuove tecniche di attacco ai sistemi informatici. La diffusione dei sistemi cloud e della maggiore esposizione degli end-point rende di fondamentale importanza l’uso di sistemi che svolgano azioni proattive e non più solo reattive.
