Che cos'è l'antivirus di nuova generazione (NGAV)?

Le soluzioni antivirus di nuova generazione impediscono tutti i tipi di attacchi, noti e sconosciuti, monitorando le tattiche, le tecniche e le procedure degli hacker (TTP) e approntando una risposta efficace.

Definiamo l'antivirus di nuova generazione (NGAV)

L'antivirus di nuova generazione porta il tradizionale software antivirus a un livello nuovo e avanzato di protezione e sicurezza degli endpoint. Va oltre le firme malware note basate su file e l'euristica perché è un approccio basato su cloud e incentrato sul sistema. Utilizza funzionalità di analisi predittiva basate sull'apprendimento automatico e sull'intelligenza artificiale e si unisce all'intelligence sulle minacce per:

  • Rilevare e prevenire malware e attacchi senza malware fileless
  • Identificare i comportamenti malevoli e le TTP da fonti sconosciute
  • Raccogliere e analizzare i dati completi degli endpoint per determinare le cause primarie
  • Rispondere a minacce nuove ed emergenti che in precedenza non venivano rilevate

Ricerca delle minacce e risposta agli incidenti per i deployment ibridi

Panoramica su VMware Security

Perché il software antivirus tradizionale non funziona più?

Gli hacker di oggi sanno esattamente dove trovare lacune e punti deboli nella sicurezza del perimetro di rete di un'organizzazione e riescono a superarli in modi che aggirano facilmente il software antivirus tradizionale. Per sfruttare le vulnerabilità, questi hacker utilizzano strumenti altamente sviluppati che utilizzano:

  • Attacchi basati sulla memoria
  • Linguaggio di scripting PowerShell
  • Login remoti
  • Attacchi basati su macro

Inoltre, poiché l'AV tradizionale si concentra solo sulle minacce basate su file di firma o definizioni, non è in grado di rilevare nessuno di questi ambienti dalle minacce moderne che non introducono nuovi file nel sistema.

Tuttavia, l'NGAV si concentra sugli eventi (file, processi, applicazioni e connessioni di rete) per vedere in che modo sono correlati le azioni o i flussi di eventi in ciascuna di queste aree. L'analisi dei flussi di eventi può aiutare a identificare intenti, comportamenti e attività malevoli e, una volta identificati, gli hacker possono essere bloccati.

Questo tipo di approccio è sempre più importante oggi, perché aziende come Major League Baseball, National Hockey League e altre importanti organizzazioni sportive stanno scoprendo sempre più che gli hacker prendono di mira in modo specifico le loro reti individuali. Gli attacchi sono personalizzati in più fasi e presentano un rischio notevolmente più elevato e le soluzioni antivirus non hanno alcuna possibilità di fermarli.

EDR: un elemento fondamentale per l'NGAV

Come emerge dalla Market Guide for Endpoint Detection and Response Solutions 2017, Gartner considera ora l'Endpoint Detection and Response (EDR) una funzionalità di sicurezza imprescindibile. Quando è combinato con un NGAV, le aziende possono identificare con maggiore precisione le attività sospette e non autorizzate, prevenendo molti di questi comportamenti e abilitando le funzionalità per affrontare e correggere le minacce malevole avanzate più velocemente e con più efficienza che mai.

Per aiutare le soluzioni NGAV a identificare le minacce che sfuggono agli AV tradizionali, l'EDR offre un approccio olistico alla raccolta dei dati, che a sua volta potenzia l'apprendimento automatico, l'analisi predittiva e il monitoraggio del comportamento con un quadro completo dell'ambiente. Insieme, queste tecnologie aiutano le aziende a monitorare gli eventi e identificare modelli che potrebbero essere sospetti, trasformandoli in visualizzazioni di attacco che possono essere utilizzate facilmente da amministratori e addetti alla risposta.

L'EDR può aiutare a scoprire anche le modifiche più piccole in file, registri e reti che aiutano i team di sicurezza a portare le attività malevole nascoste in bella vista. A questo punto, l'EDR aiuta gli addetti alla risposta a contenere le minacce identificate e a bloccare attacchi emergenti mai visti prima che altrimenti potrebbero sfuggire alla maggior parte delle soluzioni NGAV.
Tasso di crescita mensile del 328% degli attacchi informatici nel 2017

Il polso del settore: aperta la sfida tra gli hacker e le soluzioni di sicurezza

Secondo il report State of Endpoint Security di Ponemon Institute:

Le aziende di software antivirus non solo competono con vendor che offrono prodotti simili, ma sono anche in concorrenza diretta con gli hacker nefasti. In questa sfida, gli hacker hanno la meglio.

Il report rileva inoltre che, tra le organizzazioni che hanno subito un attacco agli endpoint che ha compromesso l'azienda, il 77% ha dichiarato che l'attacco è stato un attacco fileless o un exploit.

Chiaramente, il software antivirus sta perdendo questa sfida.

La soluzione: NGAV + EDR nel cloud

Per sfruttare appieno le soluzioni NGAV ed EDR, le aziende devono sfruttare il cloud e il suo immenso potere computazionale, la sua scalabilità illimitata e la sua facilità di gestione. Portare la sicurezza degli endpoint nel cloud assicura un approccio proattivo anziché reattivo che unisce i Big Data a funzionalità di analisi avanzate per superare in modo intelligente gli attacchi emergenti più minacciosi.

Ad esempio, il cloud supporta le funzionalità di analisi di streaming, in cui l'attività degli endpoint normale e anomala può essere monitorata e confrontata con qualsiasi dato storico non filtrato degli endpoint. Analizzando questi flussi di eventi e confrontandoli con quelli considerati normali, il cloud crea un sistema di monitoraggio delle minacce globale che non solo rileva gli attacchi, ma prevede quelli che non erano mai stati osservati prima. Questo potente approccio non è possibile con le soluzioni AV tradizionali.

L'NGAV nel cloud offre anche una comunicazione bidirezionale con gli endpoint, in modo che tutti i dati non filtrati degli endpoint possano essere monitorati e trasformati in analisi predittive che proteggono in modo proattivo le aziende da attacchi sofisticati.

Inoltre, il cloud offre i vantaggi in termini di infrastruttura che la maggior parte delle aziende stanno già sperimentando con altri software di classe enterprise: operation semplificate e meno costose, deployment più rapido e tecnologia innovativa all'avanguardia.


Solo il 31% delle organizzazioni ritiene che le soluzioni antivirus possano bloccare le minacce malevole

Soluzioni e prodotti correlati

vRealize Operations

Gestione automatizzata delle operation IT

Soluzioni per l'Anywhere Workspace

Consenti ai dipendenti di lavorare in modo distribuito garantendo esperienze sicure e senza intoppi.

Horizon

Piattaforma sicura per app e desktop virtuali (VDI)