Che cos'è l'antivirus di nuova generazione (NGAV)?
Esplora IBM Security MaaS360
Illustrazione grafica di un labirinto con una persona che naviga con un dispositivo mobile, tablet e laptop con colori blu e viola

Data di pubblicazione: 20 dicembre 2021
Collaboratori: Gregg Lindemulder, Amber Forrest

Che cos'è l'NGAV?

L'antivirus di nuova generazione, o NGAV, è una tecnologia basata su cloud che utilizza l'intelligenza artificiale, l'apprendimento automatico e l'analisi comportamentale per proteggere gli endpoint da malware e altri tipi di minacce informatiche.

A differenza dei software antivirus tradizionali, che si fondano sul rilevamento basato sulle firme per identificare le minacce precedentemente note, NGAV è in grado di rilevare minacce malware sconosciute e comportamenti dannosi nel momento in cui si verificano quasi in tempo reale. In questo modo, offre un metodo più efficace per affrontare le minacce moderne come ransomware, attacchi di scripting, malware senza file e vulnerabilità zero-day.

Contenuti correlati

Abbonati per ricevere aggiornamenti sugli argomenti di sicurezza IBM

Come funziona l'NGAV

Le tradizionali soluzioni antivirus sfruttano un database di firme malware ed euristiche per rilevare i virus nei dispositivi endpoint come computer desktop, laptop, tablet e smartphone. Queste firme sono in realtà stringhe di caratteri all'interno di un file che indicano la presenza di un virus.

Questo approccio lascia gli endpoint vulnerabili a potenziali minacce che devono ancora essere identificate e catalogate nel database delle firme. Anche con aggiornamenti frequenti delle firme, un file dannoso nuovo o sconosciuto potrebbe non essere rilevato.

Invece, le soluzioni antivirus di nuova generazione utilizzano il rilevamento comportamentale per identificare tattiche, tecniche e procedure (TTP) associate agli attacchi informatici. Gli algoritmi di apprendimento automatico monitorano continuamente eventi, processi, file e applicazioni alla ricerca di comportamenti nocivi.

Se una vulnerabilità sconosciuta viene presa di mira per la prima volta in un attacco zero-day, NGAV può rilevare e bloccare il tentativo. NGAV può anche prevenire attacchi senza file, ad esempio quelli che sfruttano Windows PowerShell e le macro dei documenti o le e-mail di phishing che convincono gli utenti a fare clic su collegamenti che eseguono malware senza file.

Essendo una tecnologia basata su cloud, NGAV è anche più veloce, più semplice ed economica da implementare e gestire rispetto alle tradizionali soluzioni antivirus. Grazie alla sua capacità di monitorare l'attività degli endpoint e di fornire una risposta immediata agli incidenti, è in grado di bloccare molti dei vettori di attacco utilizzati dagli hacker per penetrare nei sistemi.

Vantaggi dell'NGAV
Implementazione rapida

L'NGAV basato su cloud può essere implementato, aggiornato e gestito in modo molto più rapido, semplice e con meno risorse rispetto a un antivirus tradizionale. Non è necessario installare e configurare hardware o software aggiuntivo, non è necessario amministrare continuamente gli aggiornamenti delle firme e l'impatto sulle prestazioni degli endpoint è minimo o nullo.

Rilevamento di minacce note e sconosciute

I tradizionali antivirus sono in grado di rilevare solo le firme malware conosciute che sono state precedentemente identificate e inserite in un database. NGAV monitora e analizza i comportamenti degli endpoint quasi in tempo reale per rilevare e bloccare le minacce conosciute e sconosciute, inclusi gli attacchi zero-day.

Protezione proattiva

NGAV offre ai team addetti alla sicurezza la possibilità di difendersi proattivamente dalle minacce avanzate e in rapida evoluzione. Nel tempo, gli algoritmi di apprendimento automatico diventano sempre più efficaci nell'identificare quali comportamenti degli endpoint sono normali e quali indicano la probabilità di un attacco informatico.

Funzionalità e limitazioni dell'NGAV

Sebbene le funzionalità differiscano tra i fornitori, la maggior parte delle soluzioni NGAV offre le seguenti funzionalità:

  • Algoritmi di apprendimento automatico: NGAV è in grado di esaminare migliaia di caratteristiche dei file e attività degli endpoint quasi in tempo reale e di identificare anomalie e azioni impreviste che possono aiutare a rilevare e bloccare le minacce conosciute e quelle sconosciute.

  • Analisi comportamentale: analizzando i comportamenti di utenti, dispositivi, applicazioni e sistemi, NGAV stabilisce comportamenti di base e identifica comportamenti sospetti che indicano attività nocive o un attacco informatico in corso.

  • Threat intelligence: molte soluzioni NGAV possono integrare la più recente threat intelligence su fonti, tattiche e impatti di specifici attacchi di malware, per aiutare a rilevarli e bloccarli in modo più rapido ed efficace.

  • Analisi predittiva: NGAV può inserire l'enorme quantità di dati raccolti in modelli predittivi in grado di rilevare la probabile presenza di malware o di un potenziale attacco informatico prima che si verifichi e quindi agire per prevenire o minimizzare i danni.

Sebbene NGAV sia più efficace dei tradizionali software antivirus, non è infallibile. Può capitare che restituisca un falso positivo. Oppure che non riesca a rilevare un virus. I criminali informatici e gli hacker creano e testano continuamente nuovi metodi per eludere le tecnologie di protezione antivirus più recenti.

Nel caso in cui le difese NGAV vengano violate su un dispositivo endpoint, le organizzazioni spesso si affidano ad altre tecnologie, come rilevamento e risposta degli endpoint (EDR), unified endpoint management (UEM) o gestione delle informazioni e degli eventi di sicurezza (SIEM). Queste soluzioni per la sicurezza offrono un approccio più ampio a livello di sistema alla prevenzione e alla mitigazione delle minacce informatiche in molti endpoint diversi.

Soluzioni correlate
Difesa dalle minacce mobili IBM Security MaaS360

Implementa agevolmente soluzioni avanzate di difesa dalle minacce ai dispositivi mobili (MTD) per proteggere l'intero ambiente mobile dalle minacce informatiche e dai rischi basati sugli utenti.

Esplora la difesa dalle minacce dei dispositivi mobili MaaS360 Prova MaaS360 gratis per 30 giorni

Gestione unificata degli endpoint

Iscriviti, gestisci e proteggi tutti i dispositivi, aziendali e personali, in loco e remoti, da un'unica console.

Esplora la gestione unificata degli endpoint

Rilevamento avanzato delle minacce con IBM Security QRadar SIEM

Rileva le minacce in tempo quasi reale—analizza milioni di eventi utilizzando migliaia di casi d'uso predefiniti, l'analisi del comportamento degli utenti e della rete, i dati sulle vulnerabilità delle applicazioni e X-Force Threat Intelligence.

Esplora il rilevamento avanzato delle minacce con QRadar SIEM
Risorse Che cos'è la gestione unificata degli endpoint (UEM)?

L'UEM consente ai team IT e di sicurezza di monitorare, gestire e proteggere tutti i dispositivi degli utenti finali sulla rete in modo coerente, utilizzando un unico strumento.

Che cos'è la gestione delle informazioni e degli eventi di sicurezza (SIEM)?

SIEM aiuta i team addetti alla sicurezza a rilevare le anomalie dei comportamenti degli utenti e a utilizzare l'AI per automatizzare i processi manuali associati al rilevamento delle minacce e alla risposta agli incidenti.

Che cos'è l'endpoint security?

Prima linea di difesa della cybersecurity di una rete, la sicurezza degli endpoint protegge utenti e dispositivi—desktop, laptop, dispositivi mobili, server—dagli attacchi informatici.

Fasi successive

IBM Security MaaS360 ti consente di gestire e proteggere tutti i tuoi dispositivi—aziendali e personali, in loco e da remoto—da un'unica console con gestione unificata degli endpoint basata sull'AI (UEM). Maggiori informazioni su MaaS360 o pianifica una demo gratuita con un esperto tecnico IBM.

Scopri MaaS360 Prenota una demo live