Le soluzioni antivirus di nuova generazione (NGAV) stanno rapidamente sostituendo gli strumenti antivirus obsoleti basati sulle firme. Gli attacchi di tipo ransomware, di cui ogni giorno sentiamo parlare, hanno contribuito di molto ad accelerare questo processo. Gli strumenti AV tradizionali non sono più all’altezza delle sfide quotidiane, il cambiamento è inevitabile.
Dobbiamo poi considerare il costo reale quando valutiamo l’effetto degli attacchi ransomware per le aziende. Il problema è multiforme, con attacchi sempre più sofisticati che arrivano a volumi più elevati, creando una tempesta perfetta sia per i professionisti della sicurezza che per le organizzazioni.
Per valutare la necessità di una soluzione più efficiente ed efficace, dobbiamo prima osservare l’evoluzione del problema: le operazioni di ransomware, o RansomOps , si sono evolute parecchio in termini di complessità e oggi difendersi è più difficile che mai.
![perché le soluzioni ngav stanno sostituendo gli antivirus tradizionali perché le soluzioni ngav stanno sostituendo gli antivirus tradizionali](https://www.nexsys.it/wp-content/uploads/2022/11/Perche-le-soluzioni-NGAV-stanno-sostituendo-gli-antivirus-tradizionali-1.jpg)
I numeri dei ransomware
Gli attacchi ransomware sono aumentati del 57% nel 2021 e, purtroppo, solo l’8% delle aziende che pagano il riscatto recupera tutti i propri dati. Non sorprende che il ransomware sia la principale area di rischio su cui i dipartimenti IT prevedono di concentrarsi nel 2022, Fonte Gartner.
Quando pagare non serve…
Del 28% degli intervistati che ha pagato il riscatto, l’ 80% è stato colpito da un secondo attacco ransomware e il 68% per cento è stato attaccato una seconda volta entro un mese e per un riscatto più elevato.
Nuovi fenomeni criminali
A questo scenario si aggiunge l’aumento dei broker che vendono backdoor alle organizzazioni complici e forniscono le istruzioni per operazioni RaaS (Ransomware-as-a-Service) che consentono ad ancora più numerose entità di impostare ed eseguire una campagna di attacco.
L’antivirus tradizionale ed i suoi problemi
Per comprendere quali sono i limiti dei tradizionali antimalware è utile conoscere come funzionano questi software. Sarà poi chiaro che non potremo più ritenerli una protezione sufficiente per i nostri dispositivi.
I primi antivirus eseguivano un controllo sostanzialmente “meccanico” basato sul controllo della firma (si definiscono appunto “signature-based”). La firma viene generata attraverso algoritmo di hash e per la sua univocità è paragonabile ad un’impronta digitale che individua in modo univoco un file.
Con questo funzionamento erano in grado di rilevare esclusivamente i virus noti, perché già presenti nel loro database delle definizioni dei virus, ma non potevano intercettare i nuovi attacchi, perché non ancora classificati. Ogni nuovo virus deve essere prima individuato ed analizzato al fine di determinarne la firma e quindi aggiunto all’elenco dei virus noti.
Gli aggiornamenti dei database delle firme vengono inviati agli utenti, con una frequenza che, a seconda del fornitore, può essere giornaliera o addirittura di più volte al giorno. I database vengono aggiornati quotidianamente ma richiedono alcuni passaggi obbligati che lasciano una “finestra temporale” nella quale la minaccia è già presente, ma non è stata ancora inserita nei database degli antivirus.
Risulta evidente che questo processo di schedatura sarà inevitabilmente in ritardo, perché ci sarà sempre una finestra temporale (magari anche di un solo giorno…) entro la quale l’antivirus non sarà in grado di riconoscere il malware appena creato.
![perché le soluzioni ngav stanno sostituendo gli antivirus tradizionali perché le soluzioni ngav stanno sostituendo gli antivirus tradizionali](https://www.nexsys.it/wp-content/uploads/2022/11/Perche-le-soluzioni-NGAV-stanno-sostituendo-gli-antivirus-tradizionali-2.jpg)
Nuove minacce, nuove tecnologie…
NGAV e l’apprendimento automatico
Le soluzioni NGAV rappresentano il passaggio evolutivo naturale per la protezione anti-malware, in particolare per quanto riguarda il ransomware, e mirano a fornire protezione agli endpoint contro gli attacchi più sofisticati.
Ciò che distingue un prodotto NGAV dall’antivirus tradizionale è una strategia tecnica che affronta il problema con una visione più olistica e orientata al sistema utilizzando algoritmi di apprendimento automatico intelligenti per identificare, isolare e bloccare gli strumenti e i metodi su cui gli aggressori fanno affidamento per compromettere i sistemi moderni.
Invece di concentrarsi sul rilevamento del malware in base alle caratteristiche e ai comportamenti dei file come l’AV tradizionale, un prodotto NGAV osserva tutti i processi in un sistema.
Ciò include attività di rete, interfacce, configurazioni e modelli di accesso. In tal modo, i sistemi NGAV stabiliscono una linea guida che riguarda sia il sistema che il comportamento dell’utente, nell’ottica di identificare le anomalie che potrebbero tramutarsi in attacchi nel lungo periodo.
Rispetto al malware tradizionale, NGAV offre agli utenti e alle organizzazioni numerosi decisivi vantaggi:
- Può prevenire sia attacchi altamente sofisticati che utilizzano firme sia comportamenti dovuti a minacce sconosciute.
Anziché rilevare il malware, è in grado di rilevare gli attacchi in base al comportamento del sistema, ottenendo una prevenzione molto più affidabile. - Tramite il Machine learning, NGAV individua la causa principale degli attacchi e offre una visione incentrata sul sistema delle vulnerabilità potenzialmente sfruttabili.
- Un sistema NGAV può funzionare per prevenire le prime fasi di un attacco ransomware che precedono la consegna del codice del ransomware e offre ulteriore protezione assicurando anche che lo stesso contenuto non venga fatto esplodere sulla macchina di destinazione nel caso in cui le prime fasi dell’attacco non siano state rilevate.
- NGAV è complementare alle soluzioni EDR e XDR e offre una protezione di gran lunga superiore rispetto ai soli AV o EDR tradizionali.
![perché le soluzioni ngav stanno sostituendo gli antivirus tradizionali perché le soluzioni ngav stanno sostituendo gli antivirus tradizionali](https://www.nexsys.it/wp-content/uploads/2022/11/Perche-le-soluzioni-NGAV-stanno-sostituendo-gli-antivirus-tradizionali-3.jpg)
Mentre gli antivirus classici tendono a diventare più vulnerabili man mano che gli aggressori imparano a aggirarli, i sistemi protetti da NGAV diventano naturalmente più sicuri nel tempo, poiché gli algoritmi di apprendimento automatico imparano sempre di più dal comportamento dell’utente e del sistema.
NGAV mirano ad impedire che minacce avanzate come ransomware e complessi attacchi RansomOps infettino la rete al suo interno, possono inoltre anticipare attacchi tramite vulnerabilità zero-day.
Scopri di più sul tema delle soluzioni NGAV e sulle soluzioni che Nexsys propone ai suoi clienti.
Cybereason collabora con gli amministratori di sistema per difendere e porre fine agli attacchi sull’endpoint, in tutta l’azienda, ovunque si stia svolgendo l’attacco.
Scopri di più sulla prevenzione NGAV multistrato di Cybereason o pianifica una demo oggi stesso per scoprire come la tua organizzazione può trarre vantaggio da un approccio alla sicurezza incentrato sull’analisi delle operazioni.
![perché le soluzioni ngav stanno sostituendo gli antivirus tradizionali perché le soluzioni ngav stanno sostituendo gli antivirus tradizionali](https://www.nexsys.it/wp-content/uploads/2022/11/Perche-le-soluzioni-NGAV-stanno-sostituendo-gli-antivirus-tradizionali-4.jpg)