Le soluzioni antivirus di nuova generazione impediscono tutti i tipi di attacchi, noti e sconosciuti, monitorando le tattiche, le tecniche e le procedure degli hacker (TTP) e approntando una risposta efficace.

Definiamo l'antivirus di nuova generazione (NGAV)

L'antivirus di nuova generazione porta il tradizionale software antivirus a un livello nuovo e avanzato di protezione e sicurezza degli endpoint. Va oltre le firme malware note basate su file e l'euristica perché è un approccio basato su cloud e incentrato sul sistema. Utilizza funzionalità di analisi predittiva basate sull'apprendimento automatico e sull'intelligenza artificiale e si unisce all'intelligence sulle minacce per:

• Rilevare e prevenire malware e attacchi senza malware fileless
• Identificare i comportamenti malevoli e le TTP da fonti sconosciute
• Raccogliere e analizzare i dati completi degli endpoint per determinare le cause primarie
• Rispondere a minacce nuove ed emergenti che in precedenza non venivano rilevate
  

Gli hacker di oggi sanno esattamente dove trovare lacune e punti deboli nella sicurezza del perimetro di rete di un'organizzazione e riescono a superarli in modi che aggirano facilmente il software antivirus tradizionale. Per sfruttare le vulnerabilità, questi hacker utilizzano strumenti altamente sviluppati che utilizzano:

• Attacchi basati sulla memoria
• Linguaggio di scripting PowerShell
• Login remoti
• Attacchi basati su macro

Inoltre, poiché l'AV tradizionale si concentra solo sulle minacce basate su file di firma o definizioni, non è in grado di rilevare nessuno di questi ambienti dalle minacce moderne che non introducono nuovi file nel sistema.

Tuttavia, l'NGAV si concentra sugli eventi (file, processi, applicazioni e connessioni di rete) per vedere in che modo sono correlati le azioni o i flussi di eventi in ciascuna di queste aree. L'analisi dei flussi di eventi può aiutare a identificare intenti, comportamenti e attività malevoli e, una volta identificati, gli hacker possono essere bloccati.

Questo tipo di approccio è sempre più importante oggi, perché aziende come Major League Baseball, National Hockey League e altre importanti organizzazioni sportive stanno scoprendo sempre più che gli hacker prendono di mira in modo specifico le loro reti individuali. Gli attacchi sono personalizzati in più fasi e presentano un rischio notevolmente più elevato e le soluzioni antivirus non hanno alcuna possibilità di fermarli.

Come emerge dalla Market Guide for Endpoint Detection and Response Solutions 2017, Gartner considera ora l'Endpoint Detection and Response (EDR) una funzionalità di sicurezza imprescindibile. Quando è combinato con un NGAV, le aziende possono identificare con maggiore precisione le attività sospette e non autorizzate, prevenendo molti di questi comportamenti e abilitando le funzionalità per affrontare e correggere le minacce malevole avanzate più velocemente e con più efficienza che mai.

Per aiutare le soluzioni NGAV a identificare le minacce che sfuggono agli AV tradizionali, l'EDR offre un approccio olistico alla raccolta dei dati, che a sua volta potenzia l'apprendimento automatico, l'analisi predittiva e il monitoraggio del comportamento con un quadro completo dell'ambiente. Insieme, queste tecnologie aiutano le aziende a monitorare gli eventi e identificare modelli che potrebbero essere sospetti, trasformandoli in visualizzazioni di attacco che possono essere utilizzate facilmente da amministratori e addetti alla risposta.

L'EDR può aiutare a scoprire anche le modifiche più piccole in file, registri e reti che aiutano i team di sicurezza a portare le attività malevole nascoste in bella vista. A questo punto, l'EDR aiuta gli addetti alla risposta a contenere le minacce identificate e a bloccare attacchi emergenti mai visti prima che altrimenti potrebbero sfuggire alla maggior parte delle soluzioni NGAV.
Tasso di crescita mensile del 328% degli attacchi informatici nel 2017

Secondo il report State of Endpoint Security di Ponemon Institute:

Le aziende di software antivirus non solo competono con vendor che offrono prodotti simili, ma sono anche in concorrenza diretta con gli hacker nefasti. In questa sfida, gli hacker hanno la meglio.

Il report rileva inoltre che, tra le organizzazioni che hanno subito un attacco agli endpoint che ha compromesso l'azienda, il 77% ha dichiarato che l'attacco è stato un attacco fileless o un exploit.

Chiaramente, il software antivirus sta perdendo questa sfida.