Diventa Autore per CoreTech | Scopri di più





Dr.Web: l’antivirus con laboratorio R&D proprietario

16/04/18 Riccardo Gallazzi Blog

×Non sei ancora nostro cliente DrWeb? Diventa Partner CoreTech e visita il nostro configuratore prezzi

In un precedente articolo abbiamo sviscerato l’anatomia degli antivirus, evidenziando quali sono le caratteristiche e le soluzioni vincenti di un buon prodotto.

Ora vogliamo parlarvi di un tema centrale nel concetto di antivirus, ossia la modalità con cui il motore (engine) confronta un file su computer con un campione per determinare se si tratta davvero di un virus oppure no. In sostanza, come fa un antivirus a decidere se un file è un virus? Su cosa esegue il confronto? Chi fornisce il database e i dati di riferimento?

Ci sono due modi per creare una soluzione di antivirus…

Antivirus con database e motore di scansione noleggiato

Il primo metodo consiste nell’usare servizi prodotti da terze parti, collegarli tra loro mediante processi specifici e poi creare un’interfaccia grafica personalizzata che ci darà l’impressione di trovarci di fronte ad un nuovo prodotto.

Il risultato è pur sempre un antivirus funzionante che esegue scansioni, identifica le minacce e le mette in quarantena, ma si tratta di un risultato poco effettivo e, soprattutto, non garantito nel tempo.

Infatti, sono molti i motori di scansione e database di terzi disponibili in rete, che possono essere acquistati in licenza o addirittura essere usati liberamente in quanto open source; in questo modo, con un database di signature (firme) e un motore di scansione è possibile creare con facilità il proprio antivirus personalizzato, pur avendo conoscenze di reti e sistemi limitati e senza una struttura specifica di ricerca e sviluppo.

È facile e relativamente economico produrre un antivirus di questo tipo, magari anche “leggero” e con un impatto minimo sulle prestazioni... Ma ricordiamoci che anche la sua efficacia sarà minima.

 

Le implicazioni negative sono alquanto evidenti: ci si basa su un prodotto che non si possiede, sul quale si hanno garanzie limitate e alla cui licenza bisogna attenersi. E, soprattutto, non è detto che sia aggiornato costantemente: un bel problema visti i numerosi attacchi 0-day che diventano sempre più frequenti!

Uno strumento che non riesce ad identificare le minacce è davvero un antivirus?

Chi crea un prodotto di questo tipo non è un vero esperto di sicurezza, e non eroga di certo un servizio di punta!

Senza controllo sul database e senza quel tesoretto di pratiche e conoscenze acquisite nel tempo, non si può agire in maniera proattiva e preventiva ma, soprattutto, non si può avere un prodotto migliore, capace di soddisfare il maggior numero possibile di esigenze.

 

Sempre nel mondo degli antivirus con engine e DB a noleggio, c’è anche la possibilità di creare checksum dei file scansionati e poi confrontarli con quelli presenti su VirusTotal.com - che rimane un servizio utilissimo in alcuni casi! - ma si tratta di un processo inefficiente, con limiti nelle API e rischioso per la privacy dell’utente: i termini d’uso che si accettano implicitamente prevedono la possibilità di condividere i file caricati con i vendor degli antivirus e con gli utenti premium, cosa che di fatto ci fa rinunciare alla riservatezza dei dati che andiamo ad analizzare con VirusTotal.com.

Antivirus con laboratorio R&D proprio

Il secondo metodo consiste nello sviluppare in casa i componenti, ed è quello che i migliori sviluppatori di antivirus, come Dr.Web, fanno.

È una soluzione più complessa, costosa, onerosa e difficile da sostenere, ma è quella che garantisce indipendenza e i risultati più soddisfacenti nel corso del tempo.

Una software house, in questo modo, si slega da terzi e non dipende più da un database o da un engine esterno prodotto da altri.

Dr.Web sviluppa antivirus dal 1992 con un laboratorio proprio di Ricerca e Sviluppo che si occupa di osservare costantemente l’ecosistema dei malware per rilevare tempestivamente le nuove minacce, prima che possano fare danni sui computer degli utenti: quindi non viene usato nessun database esterno. In questi 26 anni il capitale in termini di procedure, conoscenza e dati guadagnato è notevole, e ne viene data prova costantemente.

Il laboratorio R&D è in costante azione, pronto ad eseguire test in ambienti di prova e sandbox apposite per isolare le minacce, studiarle nello specifico e fornire soluzioni mirate di rimozione. Dei circa 300 impiegati dell’azienda, più della metà sono coinvolti nel settore R&D!

A dimostrazione di ciò, Dr.Web ha una sezione di news in tempo reale, consultabile a questo indirizzo, che avvisa delle nuove minacce immediatamente.

Ad esempio è notizia freschissima (al momento in cui viene scritto il presente articolo) che è stato scoperto un malware distribuito tramite i commenti di YouTube; la notizia data da Dr.Web è stata una delle prime.

Non solo: l’antivirus è già in grado di identificare la minaccia e neutralizzarla; inoltre, dato che non ci si affida a servizi esterni, è già stata catalogata nel database con tanto di catalogazione propria (Trojan.PWS.Stealer.23012 in questo caso) e informazioni sul malware e sulla rimozione.
I casi più eclatanti vengono poi riportati nella sezione news del sito coretech.it, in modo da dare maggiore visibilità al pubblico italiano riguardo le nuove minacce. Ad esempio è stato dato avviso tempestivo riguardo il ransomware GrandCrab, oppure della scoperta di un trojan nascosto in app presenti su Google Store e scaricate da più di 2 milioni di utenti.

Mensilmente Dr.Web pubblica due bollettini di aggiornamento sulle minacce osservate nel mese passato, uno per gli ambienti mobile, l’altro relativo ai computer tradizionali. Sono elencate le minacce studiate, statistiche varie tra cui la loro diffusione, informazioni sull’impatto potenziale e impatto verificato, istruzioni su come rimuoverle, link ad approfondimenti ed altro ancora.

 

Tutto ciò chi ha database “affittati” o non ha un laboratorio di ricerca e sviluppo proprio non può farlo.

Conclusioni

Le discriminanti nella scelta di un antivirus sono molte, così come sono molte le caratteristiche che distinguono le varie soluzioni. Uno dei parametri da considerare quando si adotta un antivirus è quello relativo allo sviluppo in proprio o meno del database di riferimento perché, come abbiamo dimostrato in questo articolo, ci sono antivirus ed antivirus.
Ci sono soluzioni, utili in un numero limitato di contesti, che adottano database o motore di scansione di terze parti; a volte l’intero prodotto non è che un collage di pezzi esterni. Ma l’adozione va sempre valutata attentamente.

Altri software si basano su un laboratorio di Ricerca e Sviluppo proprietario. Queste soluzioni sono le più indicate: indipendenza da terzi, sviluppo proprio, costi assorbiti nella filiera, maggior livello di prestazioni e quindi di sicurezza, bagaglio di conoscenze e procedure sviluppato negli anni, monitoring dello stato delle minacce, modalità proattiva e non reattiva agli incidenti, etc…

Dr.Web non solo vi garantisce tutto questo ma offre anche costi contenuti!

L’antivirus Dr.Web viene offerto in modalità SaaS, una formula di business che permette di centralizzare tutte le installazioni in un’unica piattaforma e di erogare a tutti gli effetti un servizio che rende superflua l’installazione delle vecchie console di gestione sui server dei clienti.

Il servizio permette di selezionare diversi tipi di abbonamento in base al livello di protezione antivirus che vogliamo sottoscrivere: la licenza Dr.Web di tipo Classic costa solo € 1 ,30 + IVA al mese per postazione e la licenza di tipo Premium costa solo € 1 ,65 + IVA al mese per postazione.

Il nuovo Partner Program per l’Italia lanciato da CoreTech e Doctor Web mette a disposizione licenze NFR per tutti gli operatori del settore IT e abbonamenti di prova per tutti gli utenti che desiderano approfondire i vantaggi di Dr.Web.

Per maggiori informazioni contattaci.


Articoli su DrWeb

Statistiche sulle infezioni Dr.Web AV-DeskServizio Agent Monitoring GratuitoStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskCambio tariffe Dr. WebStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskDoctor Web ha rilevato nello store di applicazioni Android ufficiale un trojan clickerStatistiche sulle infezioni Dr.Web AV-DeskStatistiche sulle infezioni Dr.Web AV-DeskTrojan banker Bolik viene distribuito con il pretesto di NordVPNStatistiche sulle infezioni Dr.Web AV-DeskNuovo trojan backdoor rilevato Doctor Web su Google PlayNews Doctor Web – Compromesso il sito di VSDCStatistiche sulle infezioni Dr.Web AV-DeskDr.Web Data Loss Prevention – la migliore protezione contro i CryptolockerDoctor Web: trojan Android.InfectionAdsStatistiche sulle infezioni riscontrate da Dr.Web AV-DeskA rischio centinaia di milioni di utenti di UC Browser per AndroidDoctor Web rileva un trojan in un programma per il monitoraggio del tasso di cambio delle criptovaluteDoctor Web rileva un trojan che sfrutta una falla zero-day nel client Counter-StrikeBollettino DoctorWeb – Le minacce di Febbraio 2019Doctor Web: attenzione ai Trojan Android diffusi tramite App che sembrano innocueVariazione Listini Dr.Web dal 1 Dicembre 2018Dr.Web: l’antivirus con laboratorio R&D proprietarioConfermato il Laboratorio di Doctor Web al CoreTech Partner SummitDoctor Web6 tipi di impiegati a rischio malware in ufficioCirca l'8% delle smart TV e dei dispositivi con Android è vulnerabile a un nuovo minerDoctor Web mette in guardia dalla diffusione di un nuovo cryptolocker GandCrabAnatomia di un Antivirus: sicuri di stare al sicuro?I prodotti Dr.Web sono compatibili con gli aggiornamenti di sicurezza Windows di gennaioDoctor Web ha esaminato un nuovo backdoor per WindowsDoctor Web avverte: i malintenzionati hackerano siti web tramite "l'Internet degli oggetti"Un milione di richieste: un numero tondo per il supporto tecnico Doctor WebDoctor Web ha esaminato un nuovo trojan bankerDoctor Web ha scoperto in Google Play applicazioni con un trojan che sono state scaricate da oltre 2.000.000 di utentiDrWeb Cloud: licenze NFR gratuite per tutti i PartnerRilascio di Dr.Web Light 11.0.0 per AndroidDoctor Web: panoramica sulle attività dei virus ad ottobre 2017Rilascio di Dr.Web 11.0.4 per Microsoft Exchange ServerBadRabbit ha paura dei computer con Dr.Web: un'indagine sul trojan clamorosoCoreTech e Doctor Web, una nuova partnership per la sicurezza degli endpoint con la potenza del Cloud

Knowledge Base su DrWeb

Dr.Web - Come scaricare il software tramite SSC ConsoleDr.Web - Come un'amministratore può inviare Dr.Web a un clientDr.Web - Modificare le regole antivirus dalla console AV-DeskDr.Web - Modificare le regole direttamente da WindowsDr.Web - Come creare un UtenteDr.Web - Esclusione della cartella Kerio Control VPN ClientDr.Web - Risolvere la lentezza di apertura dei file e delle applicazioni di reteDr.Web - Creazione Nuovo cliente tramite consoleDr.Web - Problemi legati al file HostsDr.Web - Regole Firewall per le applicazioniDr.Web - Gestione delle eccezioni tramite ClientDr.Web - AntispamDr.Web - Auto-protezioneDr.Web - Azioni in caso di rilevamento delle minacceDr.Web - Impostazioni avanzateDr.Web - Eccezioni file e cartelleDr.Web - Eccezioni siti webDr.Web - Gestione dell'abbonamentoDr.Web - Introdizione sull'antivirusDr.Web - Console centralizzata e gestione licenzeDr.Web - Gestione manuale del creditoDr.Web - Sicurezza della rete antivirus e dei dispositivi appartenentiDr.Web - Configurare le relazioni tra i ServerDr.Web - Creazione della rete antivirusDr.Web - Risolvere problemi di installazione remotaDr.Web - Protezione delle postazioni della rete e sicurezza della reteDr.Web - Autenticazione degli amministratori al ServerDr.Web - Enterprise Security Suite - IntroduzioneDr.Web - Enterprise Security Suite - LicenzeDr.Web - Enterprise Security Suite - Integrare in Active DirectoryDr.Web - Office Control - gestire al meglio le informazioniDr.Web - Katana - Rilevare i malware senza firmeDr.Web - Katana - Impostazioni di protezioneDr.Web - Katana - Introduzione ed uso

Video Premium su DrWeb

Corsi Premium - Dr.Web