Oggi gli attacchi cyber hanno ormai superato le capacità di difesa delle tradizionali soluzioni di sicurezza. Secondo l’AV-TEST Institute, ogni giorno i ricercatori registrano oltre 450.000 nuovi malware e applicazioni potenzialmente indesiderate (PUA). Il volume e la velocità con cui nascono le nuove varianti rendono le strategie di protezione degli endpoint basate esclusivamente sul confronto delle firme - cioè sul controllo di un file rispetto a un database statico di minacce note - strutturalmente incapaci di tenere il passo. La protezione avanzata dal malware (AMP) è stata sviluppata per colmare questo divario.

Come funziona la protezione avanzata dal malware?

La protezione avanzata dal malware funziona attraverso una gerarchia di rilevamento strutturata su più livelli. Poiché nessun metodo da solo è in grado di intercettare tutte le minacce, le soluzioni AMP combinano diversi tipi di controllo: così, se un livello viene aggirato, interviene quello successivo per bloccare la minaccia. I tre livelli sono: allowlisting, blocklisting e analisi comportamentale. L’allowlisting è la prima linea di controllo: se un file, un processo o un’applicazione è presente in una lista di elementi autorizzati, viene eseguito senza ulteriori verifiche, riducendo il carico sugli altri livelli. A questo segue il blocklisting. Quando una soluzione AMP identifica un file malevolo, ne calcola l’impronta hash e lo inserisce in una lista di blocco. Qualsiasi futura apparizione dello stesso file verrà bloccata prima dell’esecuzione. Questo metodo, però, è efficace solo contro minacce già note, motivo per cui è fondamentale l’analisi comportamentale. Quest’ultimo rappresenta la vera differenza rispetto agli antivirus tradizionali. Invece di analizzare il codice statico, osserva il comportamento del software durante l’esecuzione: modifiche al registro di Windows, creazione di processi sospetti, tentativi di scansione della rete locale o connessioni verso server esterni di comando e controllo (C2). Questi segnali, presi insieme, permettono di identificare minacce sconosciute anche senza disporre di una firma corrispondente.

Umberto Zanatta, Senior Solutions Engineer, CISM e CISSP di Acronis

A supporto di questi tre livelli operano modelli di intelligenza artificiale e machine learning, addestrati e continuamente aggiornati su grandi quantità di dati. Parallelamente, i modelli vengono monitorati da analisti umani per ridurre i falsi positivi e mantenerli efficaci nel tempo.

Perché è importante la protezione avanzata dal malware?

L’AMP è fondamentale perché le difese tradizionali non sono più sufficienti rispetto alla velocità con cui nascono le nuove minacce: le vulnerabilità zero-day rappresentano l’esempio più evidente di questo limite. Il Threat Intelligence Group di Google ha rilevato 75 vulnerabilità zero-day sfruttate nel 2024, di cui il 44% ha colpito prodotti aziendali di sicurezza e networking come VPN e firewall. Il report M-Trends 2025 di Mandiant conferma che gli exploit restano il vettore inziale più diffuso per gli attacchi, responsabili del 33% delle intrusioni analizzate. Per definizione, un antivirus basato su firme non può difendere da questo tipo di minacce. Al contrario, l’analisi comportamentale è in grado di individuare attività sospette anche senza conoscere le vulnerabilità.

Inoltre, i cybercriminali utilizzano sempre più spesso l’intelligenza artificiale per sviluppare malware polimorfi, capaci di modificare il proprio codice o il comportamento per eludere i controlli. Le soluzioni AMP basate su AI sono la risposta migliore per difendersi anche da queste nuove tecniche.

Tipologie di protezione dal malware

Possiamo suddividere le soluzioni di protezione in tre livelli principali. Il primo è rappresentato dalle soluzioni di sola rilevazione. In questo caso gli strumenti, tradizionalmente basati su firme ed euristica, confrontano i file con database di minacce note. Sono efficaci contro malware conosciuti, ma non rilevano minacce nuove o zero-day. Il secondo livello è costituito dalle soluzioni di rilevazione e prevenzione. Si tratta di strumenti avanzati, che aggiungono AI, machine learning e analisi comportamentale: monitorano in tempo reale le attività e possono bloccare ransomware o attacchi zero-day, interrompendo processi sospetti e isolando file dannosi. L’ultimo livello è costituito dalle soluzioni di rilevazione, prevenzione e risposta: in questo caso i sistemi EDR aggiungono capacità investigative e forensi, registrando le attività e permettendo agli analisti di ricostruire l’intera catena degli attacchi. Le piattaforme XDR estendono questa visione a più ambiti (endpoint, email, rete, cloud), correlando tutti i segnali in un unico sistema di risposta.

Acronis Cyber Protect Cloud: rilevazione, prevenzione e protezione

Acronis Cyber Protect Cloud è una piattaforma unificata che integra protezione avanzata dal malware, EDR, backup, disaster recovery e gestione degli endpoint in un’unica soluzione. Specificatamente progettata per MSP che gestiscono ambienti complessi, utilizza più livelli di difesa: rilevamento basato su firme, analisi comportamentale con AI e ML, intelligence sulle minacce in cloud e prevenzione degli exploit, proteggendo da trojan, ransomware, attacchi fileless e zero-day. La sicurezza avanzata è garantita da tecnologie anti-malware di nuova generazione e le attività sospette vengono analizzate nel cloud tramite sandbox, AI e revisione umana. Sono presenti, inoltre, funzionalità di backup forense per indagini post-incidente.
La piattaforma offre anche patch management automatizzato per software Microsoft e di terze parti, monitoraggio predittivo dei dischi e inventario software completo. Il fail-safe patching crea, inoltre, backup automatici prima degli aggiornamenti. Il backup supporta più di 20 tipi di workload, con protezione continua dei dati e monitoraggio dello stato di sicurezza per la conformità. Infine, Acronis Cyber Protect Cloud permette il ripristino orchestrato tramite runbook, con riattivazione rapida degli ambienti nel cloud e verifica preventiva di vulnerabilità e malware.