Il parere di WatchGuard Technologies

Risponde Fabrizio Croce, Area Director South Europe di WatchGuard Technologies

Autore: Redazione SecurityOpenLab

Oggi un generico filtro per la email non basta più per fronteggiare tutte le minacce. Quali sono i requisiti di un buon antimalware e come dev'essere integrato nelle soluzioni di cyber sicurezza aziendali?

Negli ultimi anni sono cresciute in modo esponenziale le minacce zero day frequentemente trasmesse tramite email di phishing. Questo livello di minacce è studiato al fine di non essere rilevato dai normali sistemi antivirus e IPS basato su firme statiche. Questi sistemi si basano sulla conoscenza a priori della minaccia in oggetto descritta con una firma trasmessa dal produttore. Il tempo che intercorre dal momento in cui la minaccia diventa visibile al momento in cui viene descritta per essere bloccata si chiama appunto Zero Day. Da nostre statistiche, in Italia oltre il 54% delle minacce informatiche sono Zero Day.

Le grandi infezioni di ransomware, ricordando Crytolocker, Petya, Wannacry, solo per citare le più famose, hanno agevolmente eluso questi sistemi di difesa statici. Per difendersi è quindi necessario un ulteriore livello di protezione dinamico che si basa sulla analisi comportamentale del codice del file trasmesso (per email o per web) e identificarne la pericolosità. Tutto ciò viene compiuto da tecnologie molto sofisticate, come analisi euristiche, correlazione del traffico di rete e processi, sandobxing e, in ultima analisi, intelligenza artificiale con il machine learning. Possono essere tecnologie complesse e costose ma fortunatamente WatchGuard dispone di queste tecnologie sofisticate anche su prodotti entry level destinati alle semplici PMI, a costi adeguati al budget di queste realtà e di estrema semplicità di implementazione.

Alla luce dei vostri test e della vostra esperienza sul campo, qual è l'effettivo livello di protezione garantita dagli antimalware? Che cosa serve per alzare questa percentuale?

I classici ‘antimalware’ installabili come client su PC posso avere anche una valenza positiva ma hanno il grosso problema di indurre un forte rallentamento prestazionale della stazione di lavoro, necessitano costanti aggiornamenti, sono licenze costose (proporzionali alla efficacia), vendute per client, che implicano spesso il dover acquistare pacchetti di funzioni magari inutilizzabili tipo content filtering etc. e spesso poco efficaci se non costantemente collegate in cloud.

Sistemi antimalware anche molto più sofisticati installati sui firewall perimetrali, con tecnologie come SandBoxing, Intelligenza Artificiale, Machine Learning, sollevano il computer locale da elaborazioni onerose. Tramite un semplice agent che rafforza l’eventuale antivirus presente e ‘parla’ con il firewall correlando il traffico di rete con i processi in esecuzione e interazione con il nostro motore ThreadSync nel cloud (che contiene in tempo reale le descrizioni di milioni di minacce, costantemente aggiornato), si hanno delle eccellenti prestazioni e protezione dagli zero day, email di phishing e quant’altro.

La tecnologia HRP (Host Ransomware Protection) è poi in grado di bloccare immediatamente un processo di criptazione proprio dei ransomware anche se il computer è disconnesso dalla rete aziendale o off line dalla connessione internet. Nella cybersecurity tutti vorremo arrivare ad una efficacia assoluta, questo non è possibile ma un’approssimazione vicina al 100% è possibile.