Data di pubblicazione: 20 dicembre 2023
Collaboratori: Gregg Lindemulder, Amber Forrest
L'antivirus di nuova generazione, o NGAV, è una tecnologia basata su cloud che utilizza l'AI, l'apprendimento automatico e l'analisi comportamentale per proteggere gli endpoint da malware e altri tipi di minacce informatiche.
A differenza dei software antivirus tradizionali che utilizzano il rilevamento basato su firma per identificare le minacce precedentemente note, NGAV è in grado di rilevare minacce malware e comportamenti dannosi sconosciuti nel momento in cui si verificano, quasi in tempo reale. In questo modo, offre un metodo più efficace per affrontare le minacce moderne come ransomware, attacchi di scripting, malware senza file e vulnerabilità zero-day.
Ottieni insight dettagliati per gestire meglio il rischio di una violazione dei dati con l'ultimo report di Cost of a Data Breach.
Registrati per l'X-Force Threat Intelligence Index
Le tradizionali soluzioni antivirus utilizzano un database di firme malware ed euristiche per rilevare i virus nei dispositivi endpoint come computer desktop, laptop, tablet e smartphone. Queste firme sono stringhe di caratteri all'interno di un file che indicano la presenza di un virus.
Questo approccio lascia gli endpoint vulnerabili a potenziali minacce che devono ancora essere identificate e catalogate nel database delle firme. Anche con aggiornamenti frequenti delle firme, un file dannoso nuovo o sconosciuto potrebbe non essere rilevato.
Le soluzioni NGAV utilizzano invece il rilevamento comportamentale per individuare tattiche, tecniche e procedure (TTP) associate agli attacchi informatici . Gli algoritmi di apprendimento automatico monitorano costantemente eventi, processi, file e applicazioni alla ricerca di comportamenti dannosi.
Se una vulnerabilità sconosciuta viene presa di mira per la prima volta in un attacco zero-day, NGAV è in grado di rilevare e bloccare il tentativo. NGAV può inoltre prevenire attacchi senza file, ad esempio quelli che sfruttano Windows PowerShell e le macro dei documenti o le e-mail di phishing che convincono gli utenti a fare clic su collegamenti che eseguono malware senza file.
Essendo una tecnologia basata su cloud, NGAV è anche più veloce, facile ed economico da implementare e gestire rispetto alle tradizionali controparti. Grazie alla sua capacità di monitorare l'attività degli endpoint e di fornire una risposta immediata agli incidenti, è in grado di bloccare molti dei vettori di attacco utilizzati dagli hacker per penetrare nei sistemi.
L'NGAV basato su cloud può essere implementato, aggiornato e gestito in modo molto più rapido, semplice e con meno risorse rispetto a un antivirus tradizionale. Non ci sono hardware o software aggiuntivi da installare e configurare, non ci sono aggiornamenti delle firme da amministrare continuamente e l'impatto sulle prestazioni degli endpoint è minimo o nullo.
I tradizionali antivirus sono in grado di rilevare solo le firme malware conosciute che sono state precedentemente individuate e inserite in un database. NGAV monitora e analizza i comportamenti degli endpoint quasi in tempo reale per rilevare e bloccare le minacce conosciute e sconosciute, inclusi gli attacchi zero-day.
NGAV offre ai team addetti alla sicurezza la possibilità di difendersi proattivamente dalle minacce avanzate e in rapida evoluzione. Nel tempo, gli algoritmi di apprendimento automatico diventano più efficaci nel distinguere i normali comportamenti degli endpoint da quelli che aumentano il rischio di un attacco informatico.
Sebbene le funzionalità differiscano tra i fornitori, la maggior parte delle soluzioni NGAV offre le seguenti funzionalità:
- Algoritmi di apprendimento automatico: NGAV è in grado di esaminare migliaia di caratteristiche dei file e attività degli endpoint quasi in tempo reale e di individuare eventuali anomalie e azioni impreviste che possono aiutare a eliminare le minacce conosciute e quelle sconosciute.
- Analisi comportamentale: NGAV stabilisce i comportamenti di base e identifica i comportamenti sospetti che indicano attività nocive o attacchi informatici tramite anai di utenti, dispositivi, applicazioni e sistemi.
- Intelligenza delle minacce: molte soluzioni NGAV possono integrare la più recente intelligence sulle minacce su fonti, tattiche e impatti di specifici attacchi di malware per aiutare a rilevarli e bloccarli in modo più rapido ed efficace.
- Analisi predittiva: NGAV può inserire l'enorme quantità di dati raccolti in modelli predittivi in grado di rilevare la probabile presenza di malware o di un potenziale attacco informatico prima che si verifichi e quindi agire per prevenire o minimizzare i danni.
Sebbene NGAV sia più efficace dei tradizionali software antivirus, non è infallibile. Occasionalmente, potrebbe restituire un falso positivo o non riuscire a rilevare un virus. I criminali informatici e gli hacker creano e testano ancora nuovi metodi per eludere le tecnologie di protezione antivirus più recenti.
Nel caso in cui le difese NGAV vengano violate su un dispositivo endpoint, le organizzazioni spesso si affidano ad altre tecnologie, come rilevamento e risposta degli endpoint (EDR), unified endpoint management (UEM) o gestione delle informazioni e degli eventi di sicurezza (SIEM). Queste soluzioni per la sicurezza offrono un approccio più ampio a livello di sistema alla prevenzione e alla mitigazione delle minacce informatiche in molti endpoint diversi.
Implementa agevolmente soluzioni avanzate di difesa dalle minacce ai dispositivi mobili (MTD) per proteggere l'intero ambiente mobile dalle minacce informatiche e dai rischi basati sugli utenti.
Iscriviti, gestisci e proteggi tutti i dispositivi, aziendali e personali, in loco e remoti, da un'unica console.
L'UEM consente ai team IT e di sicurezza di monitorare, gestire e proteggere tutti i dispositivi degli utenti finali sulla rete in modo coerente, utilizzando un unico strumento.
SIEM aiuta i team addetti alla sicurezza a rilevare le anomalie dei comportamenti degli utenti e a utilizzare l'AI per automatizzare i processi manuali associati al rilevamento delle minacce e alla risposta agli incidenti.
Prima linea di difesa della cybersecurity di una rete, la sicurezza degli endpoint protegge utenti e dispositivi—desktop, laptop, dispositivi mobili, server—dagli attacchi informatici.