Diventa Autore per CoreTech | Scopri di più





Anatomia di un Antivirus: sicuri di stare al sicuro?

02/02/18 CoreTech Blog

×Non sei ancora nostro cliente DrWeb? Diventa Partner CoreTech e visita il nostro configuratore prezzi

Quando parliamo di antivirus, il senso comune tende sempre a pensare che un prodotto, bene o male, sia equivalente ad un altro.

Sotto un certo punto di vista, potrebbe anche sembrare vero… in fondo, possiamo dire che un antivirus è “buono” quando è in grado di proteggere bene le nostre postazioni dai programmi malevoli.

Ma, di fatto, un antivirus è realmente buono solo se possiede un preciso set di funzioni minime, che possiamo sintetizzare nelle due principali:

  1. Analisi basata sulle firme antivirali, funzione disponibile in tutti gli antivirus Tradizionali
  2. Protezione preventiva dalle minacce sconosciute

Naturalmente, questo tandem di attività andrà ad utilizzare alcune risorse del nostro sistema: la RAM, la CPU e il data storage.

Tutti gli antivirus utilizzano tali risorse… Qual è allora la differenza tra i vari prodotti?

Continuate a leggere di seguito e sarà tutto più chiaro.

Il Database delle firme e dei siti aumenta di dimensione ogni giorno

È ormai risaputo che, nella maggior parte delle aziende, si utilizzano dispostivi obsoleti e spesso – troppo spesso – poco performanti. Sui computer vengono installati sempre più software, ma non tutte le aziende hanno la possibilità di acquistare dispositivi sempre più potenti in grado di gestirli.

Se consideriamo la quantità di file malevoli che vanno a “gonfiare” letteralmente un database antivirus e se pensiamo che i database degli URL sospetti vengono ogni giorno riempiti con oltre 50.000 nuovi record… riusciamo facilmente a comprendere come il carico di un antivirus su di un sistema possa diventare un elemento decisamente critico.

Se il database delle definizioni aumenta il numero di record, automaticamente si ha un incremento delle sue dimensioni.

Quante volte ci è sembrato che l’antivirus appesantisse il nostro PC? Magari apriamo il task manager e vediamo la RAM che sale… e il nervoso che sale…

Soluzioni light che usano poca RAM… ma a discapito di cosa?

Il mondo del business informatico, conscio di questo malcontento generale nei confronti degli antivirus pesanti, ad un certo punto ha iniziato ad offrire quelle che possiamo chiamare soluzioni di sicurezza "light".

Tali soluzioni di solito vengono presentate come una rivoluzione nella sicurezza informatica e, secondo le assicurazioni dei promoter o dei vendor stessi, ci permettono di ottenere un ottimo risultato e, allo stesso tempo, un consumo di risorse minimo, addirittura impercettibile!

Facciamo però attenzione… una quantità significativa di RAM accanto ad un processo di un antivirus, non sempre è un sintomo negativo.

Come ben sappiamo, dal nulla non si crea nulla: dietro la cortina fumogena degli slogan pubblicitari si nascondono importanti lacune in termini di protezione.

Alcune strategie che rendono l’antivirus leggero

Nei precedenti paragrafi, abbiamo detto che ogni antivirus ha naturalmente bisogno di utilizzare le risorse - RAM, CPU e Disco - della macchina sui cui è installato.

Le strategie di ottimizzazione dei consumi che si possono adottare sono molte… ma alcune sono certamente più rischiose di altre!

Database caricato da disco

Alcuni antivirus usano il cosiddetto mapping: invece di caricare il database dei virus in memoria, questo viene caricato direttamente sul disco rigido. Tale approccio, se da un lato ci permette di mostrare percentuali molto basse di carico della RAM, dall’altro lato rallenterà il computer e farà diminuire la durata degli SSD – se presenti - dato che software si troverà ad accedere costantemente ai DB presenti sul disco.

Database in Cloud

Ci sono gli antivirus che non hanno un database in locale sul disco fisso del computer ma utilizzano un database remoto, in cloud. È vero che l’antivirus così utilizza poca memoria... ma questa tecnica fa incorrere in rischi.

Infatti, se un antivirus trasmette le informazioni relative ad un file verso il cloud ma queste informazioni vengono trasmesse per intero perché il file non è stato decodificato in tutte le sue componenti, è impossibile rilevare la presenza di crittografie malevoli innestate all’interno dei file non eseguibili, negli archivi o nei documenti dell’utente.

Scansione parziale dei processi

Altri prodotti famosi per la loro leggerezza, evitano di scansionare i processi attivi. Cosa significa?

Significa che il nostro sistema non ha più una protezione preventiva ma è esposto, permettendo una facile introduzione di codici malevoli (exploit) all’interno dei nostri processi o un lancio di programmi sospetti.

Mancanza del servizio di File Monitor di basso livello

Abbiamo anche gli antivirus che ci “costringono” ad effettuare più di una scansione per eliminare tutte le minacce... questo succede in assenza di un file monitor che blocca o controlla le nuove istanze di eventuali programmi malevoli lanciati nelle aree del sistema già analizzate.

Scansione solo di piccoli file

Alcuni antivirus poi, si limitano a scansionare solo file di piccole dimensioni e non effettuano invece controlli su quelli di dimensioni elevate.

Mancanza di funzioni preventive nella scansione di minacce sconosciute

Infine, uno degli elementi più critici. Diciamocelo, al giorno d’oggi chiunque può realizzare una soluzione antivirus… e infatti è così che accade, vista la quantità di vendor presenti sul mercato. Alla fine ci basta acquistare in licenza un engine di scansione da una delle tante aziende produttrici, uno o più database delle signatures e poi pacchettizzare il tutto in un applicativo. Voilà, l’antivirus è pronto!

Allora come mai le molte soluzioni che si basano quasi esclusivamente sulle signature non sono poi in grado di bloccare un processo o individuare una minaccia che non abbia un’impronta digitale presente nel database delle firme?

Semplice! Un database delle signature contiene tanti record, ognuno con una propria sequenza di 1 e 0. Un engine che si basa solo su database delle signature fa un confronto tra la “firma” del file da scansionare e i record presenti nel DB. Per semplificare, quando c’è una corrispondenza, vuol dire che quel file processato contiene al suo interno un virus.

Ma attenzione, sono i vendor degli antivirus che alimentano i database delle definizioni, hanno studiato il comportamento del virus, tutte le azioni che fa, come si muove e come infetta il computer… In pratica hanno l’identikit o, addirittura meglio, un’analisi comportamentale del virus stesso. Avete presente il film Minority Report con Tom Cruise in cui i criminali vengono presi prima che commettano un reato?

Le logiche dell’analisi comportamentale, di individuazione e predizione sono un bene intrinseco e unico dei soli vendor che hanno un laboratorio di ricerca, e questo non è in vendita, perché rappresenta il vero valore aggiunto che differenzia una soluzione antivirus da un’altra.

Con la speranza di aver solleticato la vostra attenzione, vi invitiamo a leggere il prossimo articolo dove tratteremo in dettaglio questo argomento.

Arrivati a questo punto, potremmo anche affermare che NESSUN prodotto light è in grado di proteggere completamente un sistema… ma i produttori delle soluzioni di sicurezza leggere spesso omettono questi dettagli… forse perchè molto tecnici, o forse perché parlandone, farebbero fatica a distinguersi dai loro competitors!

Antivirus Dr.Web

Dopo l’excursus sui principali stratagemmi che vengono adottati per rendere il nostro software sì leggero, ma di certo poco sicuro, vediamo come l’antivirus Dr.Web prodotto dall’azienda russa Doctor Web ci permette di ottenere molti vantaggi per una protezione multi-layer senza però andare ad appesantire troppo la nostra postazione.

Innanzitutto, è di ESTREMA importanza capire sino a che punto si spinge il nostro antivirus… e quanto è profonda la scansione di Dr.Web ce lo mostra questo semplice diagramma:

Lo schema indica chiaramente che la protezione effettuata da Dr.Web parte dalle nostre applicazioni ed arriva sino al livello più basso della nostra macchina, garantendoci una sicurezza totale.

I software cosiddetti “leggeri” sono in grado di dimostrarci questo?

 

In termini di performance, a differenza degli antivirus che caricano parti del motore sul disco rigido, il motore Dr.Web è del tutto residente nella memoria operativa del nostro sistema. Come risultato, abbiamo una velocità massima di ricerca nel database dei virus ed inoltre non andiamo a deteriorare il disco rigido per via dei continui accessi.

Una velocità ottimale dipende anche da molti altri fattori…

Ad esempio, una buona riorganizzazione dei database sottostanti volta all’eliminazione dei record superflui o doppi, ha permesso a Doctor Web di ridurre di un terzo le dimensioni dei propri virus DB e la loro specifica struttura garantisce una velocità di interrogazione sempre costante, che non cambia con l’aumentare delle quantità dei programmi malevoli conosciuti.

 

Infine, l’antivirus Dr.Web monitora le risorse del sistema durante la scansione e modifica dinamicamente il proprio consumo in modo da rimanere sotto un determinato livello e non sovraccaricare la macchina.

Nonostante questa accortezza, c’è da dire che l’utilizzo della RAM resta pur sempre consistente… dal nostro punto di vista, questo è comunque un prezzo ragionevole da pagare dato che, come abbiamo visto nei precedenti paragrafi, nessun prodotto light può assicurarci una vera protezione dai programmi malevoli.

Conclusioni: scelte consapevoli

Con questo articolo speriamo di aver spinto il lettore a farsi qualche domanda in più quando si trova di fronte alla scelta di una soluzione per la protezione dei propri Computer e Server. Fermarsi alle apparenze e sottovalutare gli elementi che abbiamo trattato può rappresentare un errore con delle gravi conseguenze.


Articoli su DrWeb

Statistiche sulle infezioni Dr.Web AV-DeskServizio Agent Monitoring GratuitoStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskCambio tariffe Dr. WebStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskDoctor Web ha rilevato nello store di applicazioni Android ufficiale un trojan clickerStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskTrojan banker Bolik viene distribuito con il pretesto di NordVPNStatistiche sulle infezioni Dr.Web AV-DeskNuovo trojan backdoor rilevato Doctor Web su Google PlayNews Doctor Web – Compromesso il sito di VSDCStatistiche sulle infezioni Dr.Web AV-DeskDr.Web Data Loss Prevention – la migliore protezione contro i CryptolockerDoctor Web: trojan Android.InfectionAdsStatistiche sulle infezioni riscontrate da Dr.Web AV-DeskA rischio centinaia di milioni di utenti di UC Browser per AndroidDoctor Web rileva un trojan in un programma per il monitoraggio del tasso di cambio delle criptovaluteDoctor Web rileva un trojan che sfrutta una falla zero-day nel client Counter-StrikeBollettino DoctorWeb – Le minacce di Febbraio 2019Doctor Web: attenzione ai Trojan Android diffusi tramite App che sembrano innocueVariazione Listini Dr.Web dal 1 Dicembre 2018Dr.Web: l’antivirus con laboratorio R&D proprietarioConfermato il Laboratorio di Doctor Web al CoreTech Partner SummitDoctor Web6 tipi di impiegati a rischio malware in ufficioCirca l'8% delle smart TV e dei dispositivi con Android è vulnerabile a un nuovo minerDoctor Web mette in guardia dalla diffusione di un nuovo cryptolocker GandCrabAnatomia di un Antivirus: sicuri di stare al sicuro?I prodotti Dr.Web sono compatibili con gli aggiornamenti di sicurezza Windows di gennaioDoctor Web ha esaminato un nuovo backdoor per WindowsDoctor Web avverte: i malintenzionati hackerano siti web tramite "l'Internet degli oggetti"Un milione di richieste: un numero tondo per il supporto tecnico Doctor WebDoctor Web ha esaminato un nuovo trojan bankerDoctor Web ha scoperto in Google Play applicazioni con un trojan che sono state scaricate da oltre 2.000.000 di utentiDrWeb Cloud: licenze NFR gratuite per tutti i PartnerRilascio di Dr.Web Light 11.0.0 per AndroidDoctor Web: panoramica sulle attività dei virus ad ottobre 2017Rilascio di Dr.Web 11.0.4 per Microsoft Exchange ServerBadRabbit ha paura dei computer con Dr.Web: un'indagine sul trojan clamorosoCoreTech e Doctor Web, una nuova partnership per la sicurezza degli endpoint con la potenza del Cloud

Knowledge Base su DrWeb

Dr.Web - Come scaricare il software tramite SSC ConsoleDr.Web - Come un'amministratore può inviare Dr.Web a un clientDr.Web - Modificare le regole antivirus dalla console AV-DeskDr.Web - Modificare le regole direttamente da WindowsDr.Web - Come creare un UtenteDr.Web - Esclusione della cartella Kerio Control VPN ClientDr.Web - Risolvere la lentezza di apertura dei file e delle applicazioni di reteDr.Web - Creazione Nuovo cliente tramite consoleDr.Web - Problemi legati al file HostsDr.Web - Regole Firewall per le applicazioniDr.Web - Gestione delle eccezioni tramite ClientDr.Web - AntispamDr.Web - Auto-protezioneDr.Web - Azioni in caso di rilevamento delle minacceDr.Web - Impostazioni avanzateDr.Web - Eccezioni file e cartelleDr.Web - Eccezioni siti webDr.Web - Gestione dell'abbonamentoDr.Web - Introdizione sull'antivirusDr.Web - Console centralizzata e gestione licenzeDr.Web - Gestione manuale del creditoDr.Web - Sicurezza della rete antivirus e dei dispositivi appartenentiDr.Web - Configurare le relazioni tra i ServerDr.Web - Creazione della rete antivirusDr.Web - Risolvere problemi di installazione remotaDr.Web - Protezione delle postazioni della rete e sicurezza della reteDr.Web - Autenticazione degli amministratori al ServerDr.Web - Enterprise Security Suite - IntroduzioneDr.Web - Enterprise Security Suite - LicenzeDr.Web - Enterprise Security Suite - Integrare in Active DirectoryDr.Web - Office Control - gestire al meglio le informazioniDr.Web - Katana - Rilevare i malware senza firmeDr.Web - Katana - Impostazioni di protezioneDr.Web - Katana - Introduzione ed uso

Video Premium su DrWeb

Corsi Premium - Dr.Web