Ad oggi, nel mondo, il 62,5% della popolazione utilizza internet e quindi, ovviamente, dei dispositivi informatici. Sono numeri che, come potete immaginare, continueranno a crescere in maniera consistente già nei prossimi anni.
Se da un lato cresce di giorno in giorno il numero di persone che accedono ed usufruiscono di internet, in parallelo, inevitabilmente, cresce il numero di attacchi informatici sferrati. Anche questo trend, chiaramente, prevede un andamento al rialzo ed è quanto mai importante muoversi per prevenire possibili (ma a questo punto meglio dire probabili) attacchi.
I primi software antivirus risalgono agli anni ’80 e la loro strategia difensiva è riconoscere le signature malevole al fine di bloccare i malware.
Al giorno d’oggi questa strategia è ancora largamente diffusa, ma di pari passo con lo sviluppo del Machine Learning e dell’intelligenza artificiale sono nate le soluzioni EDR (Endpoint Detection & Response) che, a differenza dei tradizionali sistemi antivirus, basano la loro strategia difensiva sull’individuazione di comportamenti malevoli.
Di conseguenza, non si tratta più di conoscere a priori cosa sia malevolo per poterlo bloccare ma si analizza il comportamento di qualsiasi software al fine di capire se sia malevolo oppure no.
Con una soluzione EDR si possono così bloccare malware sconosciuti (0-day), cosa che non sarebbe possibile con una soluzione tradizionale che invece ha bisogno delle signature di un malware individuato in precedenza.
Oltretutto, dobbiamo ricordare che i malware di oggi sono polimorfici, questo significa che ogni loro “copia” non sarà mai uguale alla precedente; quindi, anche per questo motivo, non possiamo più affidarci ai classici antivirus. Ogni espressione di uno stesso malware si presenta in n modi differenti e non è possibile basare la difesa dei propri dispositivi su algoritmi statici che necessitano di una conoscenza a priori del software identificato come malevolo.
Le soluzioni Endpoint Detection and Response sono pensate per monitorare continuamente gli endpoint ed intervenire via internet in caso di minacce. Questa costante “sorveglianza” avviene attraverso sensori e/o agent installati sugli endpoint che permettono di identificare attività malevole tra ciò che viene fatto dagli utenti. Le anomalie segnalate vengono inviate a un database per l’analisi e possono essere esaminate e approfondite dal team IT. Una soluzione EDR garantisce di fatto una protezione in tempo zero per qualsiasi software.
Read more