Come conseguenza del conflitto in Ucraina, il governo Italiano ha deciso di vietare l’uso di tutti i “prodotti e servizi tecnologici di sicurezza informatica legate alla Federazione Russa” nelle amministrazioni pubbliche, tra i quali figura il famoso e diffusissimo antivirus Kaspersky. La comunicazione ufficiale della decisione è avvenuta attraverso l’articolo 29 del cosiddetto “decreto Ucraina”, nel quale il Governo invita le PPAA che lo utilizzano (oltre 2200 enti pubblici, compresi Viminale, Farnesina e Ministero della Difesa) a “procedere tempestivamente a una diversificazione dei prodotti in uso”.
La motivazione ufficiale della misura risiede nella considerazione che, a causa della situazione internazionale, le aziende produttrici di prodotti e servizi tecnologici di sicurezza informatica legate alla Federazione Russa non siano più ritenuti in grado di fornire servizi e aggiornamenti ai propri servizi.
La decisione ha ovviamente generato notevole fermento nel settore, con le PPAA e le aziende a esse collegate alla ricerca frenetica di strumenti di protezione che possano sostituire rapidamente Karsperky, garantendo livelli di protezione adeguati a prezzi sostenibili.
Il mercato, ovviamente, offre molte soluzioni enterprise che possono soppiantare in modo efficace il prodotto in discussione ma, data la notevole diversità degli approcci tecnologici adottati, la scelta di una soluzione piuttosto che un’altra risulta spesso molto ardua poiché è pressocché impossibile comparare in modo schematico tutte le soluzioni offerte dai vari vendor.
Ogni soluzione andrebbe esaminata nel dettaglio per individuarne pregi e difetti e capire quale prodotto sia più utile nel proprio contesto, spesso però tali attività si rilevano molto onerose in termini di tempo e risorse impiegate.
In questo articolo non abbiamo quindi la pretesa di approfondire tutte soluzioni che il mercato offre o spiegare tutte le tecniche di protezione disponibili, ma ci limitiamo a fornire una breve panoramica dei principali concetti e funzionalità sulla quali si basano gli antivirus di ultima generazione.
Lo faremo partendo da alcuni termini meno noti ma quasi sempre presenti nelle brochure o nei datasheet di un prodotto antivirus:
- Zero-Day o 0-day: identifica vulnerabilità di sicurezza scoperte molto di recente, in alcuni casi contestualmente a un attacco hacker che la sfrutta. Il termine “zero-day” si riferisce al fatto che il fornitore o lo sviluppatore è appena venuto a conoscenza della falla e quindi ha “zero giorni” di tempo per risolvere il problema. Un attacco zero-day viene sferrato quando gli hacker sfruttano la falla prima che gli sviluppatori abbiano la possibilità di porvi rimedio.
- Endpoint Protection: benché in realtà identifichi la disciplina di security aziendale ad ampio spettro, il termine spesso viene associato ai meccanismi di protezione che vengono messi a difesa dei dispositivi che sono in grado di connettersi alla rete aziendale (PC, Server, laptop, tablet, cellulari, etc.) per prevenire minacce quali Virus, Malware, Ransomware, etc.
- Endpoint Detection: tipicamente gli antivirus basano la loro capacità di proteggere il sistema sul quale sono installati su un sistema “a firme” ovvero confrontando il file o i frammenti di codice che sta verificando con il suo database fornito e aggiornato quotidianamente dal vendor. Il principale limite di questo approccio riguarda l’impossibilità di rispondere in modo efficace ad attacchi “0-day”, ossia la mancanza di meccanismi che permettano di identificare nuove minacce senza che queste siano già state catalogate e inserite nei database del vendor.
- Endpoint Detection & Response (EDR): l’Endpoint Detection and Response raggruppa gli strumenti avanzati che hanno il compito di rilevare minacce su endpoint ed eseguire attività di indagine e risposta non limitandosi a un semplice confronto di “firme”. Gli EDR si basano sull’analisi attiva del comportamento e delle attività che vengono eseguite dai file o dalle applicazioni usate dagli utenti. Tipicamente queste soluzioni si basano su componenti installate in locale (Stand-Alone) che dialogano costantemente con componenti di gestione e analisi poste in remoto (Tipicamente in cloud).
- Extended Detection & Response (XDR): raccoglie e correla automaticamente i dati tra più livelli e sistemi di sicurezza: email, endpoint, server, workload in cloud e rete. Questo approccio permette di rilevare più velocemente le minacce e di migliorare i tempi di indagine e di risposta attraverso l’analisi della sicurezza. Come per EDR la configurazione tipica prevede componenti Stand-Alone e Cloud.
- Data Loss Prevenction (DLP): soluzioni per individuare e prevenire tentativi non autorizzati di copiare o inviare dati sensibili, intenzionalmente o meno, senza autorizzazione, soprattutto da parte di personale che possiede autorizzazioni e privilegi per accedere alle informazioni sensibili.
- Sandboxing: è una tecnica di protezione che sfrutta un ambiente virtuale isolato dal resto del computer (Sandbox), che consente l’apertura dei file sospetti, l’esecuzione di programmi non attendibili o il download degli URL, in un ambiente sicuro senza compromettere i dispositivi in cui si trovano.
- Machine Learning (ML) e Intelligenza Artificiale (IA): alcuni antivirus di ultima generazione basano la loro capacità di Detection degli attacchi “0-Day” o dei Malware non sull’esecuzione del codice in ambienti protetti (Sandboxing), ma attraverso l’analisi del comportamento delle minacce all’interno del proprio ambiente (IA) e attraverso tecniche di autoapprendimento (ML). Il primo approccio si basa sulla registrazione, il monitoraggio, la correlazione attraverso algoritmi avanzati di tutte le attività che vengono svolte sulla macchina. Il secondo sulla capacità di identificare attività potenzialmente anomale rispetto ai modelli comportamentali registrati e di agire sulla base di dati e conclusioni precedenti.
La nostra breve introduzione per il momento si ferma qui. Speriamo di avervi fornito qualche elemento in più per affrontare il tema con maggiore consapevolezza ed eventualmente approfondire in modo più mirato gli argomenti che maggiormente vi interessano.
Qualora abbiate necessità di un supporto specializzato per identificare la soluzione che meglio si adatta alle vostre esigenze non esitate a contattarci e saremo lieti di affiancarvi in questa delicata ma fondamentale fase.