Sicurezza: proteggere gli endpoint?

523

La scansione non deve essere la prima linea di difesa

A cura di Umberto Pirovano, Manager, Systems Engineering di Palo Alto Networks

L’antivirus è stato senza dubbio la soluzione di default per la protezione degli endpoint per svariati decenni. La maggior parte di queste soluzioni scansiona il device, verificando i file rispetto a un database di signature di minacce note. Anche se adeguato per identificare rischi conosciuti, la tecnologia di scanning non può stare al passo con le sofisticate minacce che a cui oggi gli endpoint sono esposti. Ecco quattro motivi per cui la scansione non dovrebbe essere la prima linea di difesa per garantire la sicurezza dell’endpoint.

1. Affidamento su un database di signature

Nell’attuale scenario, il malware cambia e si modifica a velocità impressionanti, il che significa che i database di signature devono essere costantemente aggiornati per evitare di diventare obsoleti. Come la scansione, questi update possono ridurre le prestazioni del sistema. Le soluzioni antivirus spesso consentono all’utente di schedulare gli aggiornamenti in orari più convenienti, ma questo può significare che i database rimangano ‘obsoleti’ per lunghi periodi di tempo, durante i quali le minacce possono facilmente sfuggire all’identificazione.

2. Identifica solo le minacce note

Gli scanner si limitano a ciò che è già noto su un determinato sample. Tutto ciò che è sconosciuto – come gli attacchi zero-day o il malware polimorfo – non viene individuato. I cyber criminali spesso effettuano leggere modifiche alle minacce esistenti al fine di superare gli strumenti di scansione, realizzando varianti che richiedono signature completamente nuove per essere individuate. La creazione di queste ultime richiede molto tempo ed è quasi impossibile rimanere al passo con i malviventi.

3. Impatto sulle performance

Le soluzioni antivirus scansionano periodicamente il dispositivo alla ricerca di minacce o file malevoli, indipendentemente dall’attività in corso, consumando risorse, occupando spazio su disco e rallentando il device. Per minimizzare l’impatto, gli utenti spesso rischedulano le scansioni, ne modificano la frequenza, o disattivano del tutto l’antivirus. E anche se qualunque di queste azioni può evitare temporaneamente il degrado delle prestazioni, rendono i sistemi vulnerabili. Inoltre, le scansioni periodiche aumentano il rischio che non venga individuato un malware introdotto nel sistema tra i due episodi.

4.  I file a riposo non rappresentano una minaccia

I file malevoli non costituiscono una minaccia per il sistema fino a che non vengono eseguiti. Poiché le soluzioni antivirus individuano i file malevoli, impattano in modo significativo sulle performance cercando cose che in realtà non stanno minacciando il sistema.