Antimalware nel 2020: parola d'ordine Intelligenza Artificiale
Il parere di Trend Micro Italia
Risponde Salvatore Marcis, Technical Director Trend Micro Italia
Autore: Redazione SecurityOpenLab
Oggi un generico filtro per la email non basta più per fronteggiare tutte le minacce. Quali sono i requisiti di un buon antimalware e come dev'essere integrato nelle soluzioni di cyber sicurezza aziendali?
Il dato importante da considerare è che oggi oltre il 90% delle minacce arriva via posta elettronica. Questo perché i cybercriminali provano sia a “sparare nel mucchio” attraverso campagne phishing sia a mandare mail più raffinate e basate sull’ingegneria come le truffe Business Email Compromise. Il denominatore comune di queste tecniche è provare a sfruttare le persone come punto debole della difesa e solitamente questo funziona, perché fidandosi della comunicazione sbagliata si può dare inizio a un attacco.
Per questo è estremamente importante proteggere la email sia da un punto di vista tecnico che di cultura e formazione del personale, ma oggi una strategia di protezione a comparti non basta più, è necessaria una sicurezza multi livello che difenda l’intera infrastruttura in maniera coordinata, dalla posta al cloud passando per gli endpoint e le reti. Meglio se le soluzioni sono poi dello stesso vendor, in modo che le informazioni sulle minacce raccolte vengano condivise e analizzate in maniera approfondita. In questo modo l’eventuale soluzione antimalware è una parte integrata della rete strategica di difesa.
Alla luce dei vostri test e della vostra esperienza sul campo, qual è l'effettivo livello di protezione garantita dagli antimalware? Che cosa serve per alzare questa percentuale?
Il livello di protezione garantito da un antimalware può essere più o meno alto e di conseguenza l’azione dello stesso più o meno efficace. Oggi è imprescindibile, al fine di proteggersi anche dalle minacce zero day, che le soluzioni di antimalware integrino motori di machine learning e di analisi comportamentale. Questi motori consentono di analizzare il comportamento di un file o di un processo per identificarne i tratti che potrebbero risultare relativi ad azioni malevole e quindi impedirne l’esecuzione su nostri computer.
La protezione di un antimalware, però, oggi deve essere anche multi livello, una buona soluzione di Endpoint Protection deve poter affiancare alle funzionalità di antimalware anche motori di virtual patching, host firewall e application control al fine di aumentare la capacità di mitigazione del rischio da parte dei nostri clienti.A fronte di un approccio multi livello l’ultimo miglio lo si dovrà poi percorrere nell’adozione di strumenti EDR/XDR per consentire una analisi dettagliata di come una minaccia è entrata in azienda e per poter cercare e analizzare indicatori di compromissione condivisi anche dai cert nazionali o da altri enti.