mercoledì 12 maggio 2010

MUMBLE - Il futuro degli Antivirus

Era già un po' di tempo che pensavo di scrivere questo post, poi l'incombere del presente e di altre notizie mi ha fatto rimandare... ora, anche grazie allo stimolo di Paolo Colombo, penso che sia venuto il momento di parlare del... "futuro degli Antivirus".

Ovviamente, non lavorando e non essendo direttamente legato a nessun vendor, non ho accesso a nessuna informazione preferenziale per cui se qualche produttore di antivirus volesse replicare a quanto scriverò sarà certamente il benvenuto.

Bene, tralasciando le "emergenze" di quest'ultimo periodo (DAT bacato di McAfee e KHOBE, il presunto attacco "di fine del mondo"), è evidente che le ultime tendenze evolutive del malware stanno globalmente mettendo a dura prova i produttori di antivirus. 

Quando sono nati, gli antivirus, dovevano rispondere all'esigenza di bloccare virus e worm che si diffondevano sempre più rapidamente nelle reti e dovevano farlo utilizzando le minori risorse elaborative e di memoria possibili.

La risposta migliore a queste esigenze era (ed in parte è ancora) individuare delle "firme" per ogni malware in modo che questi possano essere individuati rapidamente e con il minimo dispendio di preziose risorse. In questo scenario, i produttori di antivirus hanno realizzato dei laboratori che avevano il merito di riuscire a produrre e distribuire velocissimamente gli aggiornamenti dei repository delle "firme" virali per aggiornare i vari client sparsi nelle reti di tutto il mondo.

Questo scenario ha funzionato molto bene fin quando i virus erano pochi, visibili e molto distribuiti... peccato che non sia più così!

Oggi, il malware (anche per cercare di liberarsi dalla morsa degli antivirus) si sta evolvendo in maniera del tutto opposta. Vengono rilasciati codici malevoli praticamente invisibili ai sistemi, in numeri sempre maggiori e con aree di distribuzione sempre più limitate. I "targeted attacks", dove un malware viene scritto appositamente per colpire pochi soggetti all'interno di una specifica organizzazione, sono un esempio estremo di questa tendenza.

Molti vendor, nel tempo, sono così corsi ai ripari e hanno potenziato gli antivirus con componenti aggiuntive quali antispyware, personal firewall e soluzioni di host intrusion prevention. 

Ma tutto ciò non risolve completamente il problema.

Nonostante tutti gli sforzi profusi, l'efficienza con cui gli antivirus individuano il malware, non è entusiasmante (grazie Paolo per la segnalazione).

Io credo che il tempo degli antivirus, come li conosciamo, stia per volgere al termine.

Ci sono approcci alternativi che sono alla porta, come il whitelisting o gli antivirus basati sul paradigma  "SaaS Hybrid", oppure approcci attualmente complementari alle "firme", come l'analisi di tipo behavioural. E' ancora troppo presto per sapere se queste potranno essere delle valide alternative per i nostri attuali antivirus.

Probabilmente dovremo attendere ancora qualche tempo, ma sono convinto che il futuro degli antivirus passerà per una rivoluzione che li cambierà per sempre.

Nessun commento:

Posta un commento

http://www.wikio.it