Un software antimalware è una dotazione indispensabile a tutti i livelli, dal consumatore finale alla grande impresa, passando per le istituzioni. Nell'ambito della sicurezza informatica si sente spesso parlare di antimalware. Ci sono molti prodotti che rispondono a questa definizione, ma è da puntualizzare che nel panorama odierno della sicurezza informatica questo tipo di software non si può più considerare una soluzione unica. È uno dei tanti elementi che vanno a comporre il complesso puzzle della cyber security.

Se da un lato è quindi indispensabile avere un antimalware, dall'altro si deve prestare attenzione a inserirlo nell'ambito di una logica di gestione del rischio che tenga conto di tutti gli elementi umani e tecnologici da proteggere.

Dall'antivirus all'antimalware

Di fatto l'antimalware ha preso il posto del vecchio antivirus, di cui è un'evoluzione sofisticata e potenziata. La sua funzione, come suggerito dal nome, è quella di bloccare il maggior numero possibile di software dannosi. Una definizione che nel corso degli anni ha identificato prima i soli virus, poi anche malware, trojan, worm, spyware, ransomware, phishing e altro.

Questa evoluzione è dovuta al fatto che oggi un software che usa solo le firme dei virus noti non serve più a nulla. La sicurezza contro le minacce odierne richiede l'impiego di soluzioni avanzate capaci di identificare qualsiasi anomalia, nota o sconosciuta. Perché sono le minacce sconosciute la vera incognita.

È un lavoro complesso, che deve necessariamente chiamare in causa l'Intelligenza Artificiale e il machine learning. Che nelle sue versioni più sofisticate monitora il comportamento dell'utente e delle applicazioni, e rileva qualsiasi azione fuori dall'ordinario, che potrebbe indicare un problema di cyber sicurezza.

Posto che tutti hanno bisogno di una protezione antimalware, ci sono prodotti diversi che soddisfano esigenze differenti. L'unico punto che accomuna qualsiasi categoria d'utenza è che le soluzioni gratuite sono poco efficaci. Il lavoro dietro a un software antimalware è laborioso e complesso, quindi costoso. Comporta, oltre alla realizzazione del motore stesso, un'attività 24 ore su 24, 7 giorni su sette, di rilevamento delle minacce e dei comportamenti attuati dai software malevoli. 

Un prodotto efficace dev'essere in grado di rilevare gli indicatori di compromissione o gli eventuali indicatori di attacco, usando controlli compensativi e processi di detection molto solidi. L'attività svolta dall'antimalware infatti comprende non solo il blocco della minaccia, ma la comprensione della sua provenienza. Un percorso a ritroso, che serve per rendere efficaci le barriere protettive e bloccare la minaccia prima che si concretizzi.

Sandbox e filtri email

Una particolare attenzione va ai filtri degli allegati di posta elettronica e alle sandbox. Seguendo le notizie di cronaca tutti ormai sanno che la maggior parte delle minacce arriva via email. Il primo baluardo di difesa per la rete aziendale è quindi una soluzione in grado di bloccare malware e altri agenti infettivi che sfruttano questo canale di diffusione.

La soluzione più diffusa è quella delle sandbox, aree protette isolate dal resto del sistema, in cui l'antimalware apre gli allegati per verificarne la pericolosità. È un passaggio aggiuntivo che può salvare l'integrità del sistema locale e della rete aziendale. I cyber criminali tuttavia stanno mettendo a punto tecniche di oscuramento sempre più sofisticate, che traggono in inganno anche le sandbox. Ecco che quindi torna in primo piano l'Intelligenza Artificiale.

Console centralizzate

L'altro elemento di grande importanza è la scelta di uno strumento capace di dare la giusta priorità agli eventi. Sembra banale, ma ogni giorno ci sono milioni di segnalazioni di potenziali minacce. Esaminarle tutte è impossibile. Gli strumenti moderni adottano sistemi automatizzati per la selezione delle minacce a cui prestare un'elevata attenzione.

Questo è possibile solo usando una soluzione unica di sicurezza, che integri tutti gli strumenti necessari per la protezione degli endpoint e di tutta la rete aziendale. Ricerche recenti dimostrano che l'eccessiva complessità e l'alto numero di strumenti di monitoraggio e gestione sugli endpoint ostacolano la gestione IT e abbassano la sicurezza. Rendono difficoltosa l'applicazione delle patch e l'immediato rilevamento delle criticità, indebolendo di fatto le difese di cyber security.

È pertanto un errore valutare un antimalware per gli endopint, come soluzione separata rispetto a quelle del resto dell'infrastruttura. Anzi, ai tempi delle applicazioni cloud, IaaS e SaaS, occorre una soluzione che unisca la protezione dei sistemi on premises e in cloud e che permetta quindi una visione a 360 gradi.

Detto questo, tutti i maggiori produttori di sicurezza dispongono di console uniche di controllo che mixano gli antimalware con tutti gli altri strumenti per la prevenzione e la detection delle minacce informatiche. Si può scegliere quello che meglio soddisfa le proprie esigenze, dopo aver redatto un piano dettagliato di rischio.

Oppure ci si può risolvere agli MSSP (Managed Security Service Provider) che, in mancanza di skill adeguate all'interno dell'azienda, offrono sia la competenza sia gli strumenti per una protezione scalabile e flessibile.

La sicurezza è un servizio, non un prodotto

Sopra abbiamo puntualizzato che l'antimalware da solo non è una soluzione. Il motivo, spesso sottolineato dagli esperti di cyber security, è che installare l'antivirus o il firewall non è fare sicurezza informatica. La sicurezza oggi non è più un prodotto, è un servizio, è un investimento sulla continuità di business che richiede la valutazione attenta dei fattori che fanno aumentare il rischio.

È quindi una necessità rivolgersi a un'azienda esperta in cyber security per stilare un piano di rischio e scegliere le soluzioni più adatte alle proprie esigenze. Spesso costa meno che acquistare prodotti singoli in ordine sparso, e garantisce un ritorno d'investimento maggiore.