Da anni Panda Security si è fatta paladina del concetto di protezione “in-the-cloud” ed in particolare dell’approccio di difesa basato sull'”intelligenza collettiva”. Oggi la società iberica segnala l’ottenimento della certificazione Windows 7 da parte del software antivirus ed antimalware gratuito Panda Cloud Antivirus.
Se sino alla fine degli anni ’90 tutti i prodotti antivirus basavano il funzionamento dei rispettivi prodotti esclusivamente sull’utilizzo di definizioni antivirus, con l’inizio della diffusione in Rete di worm e spyware, a partire dal 2000, si rese necessaria un’evoluzione verso soluzioni che includessero anche funzionalità firewall in grado di rilevare e bloccare l’attività di malware effettuando un esame dei pacchetti di dati in transito da e verso il personal computer.
Negli anni seguenti, i vari vendor di soluzioni per la sicurezza hanno iniziato ad integrare funzionalità che si occupano di sorvegliare le operazioni compiute dai vari processi in esecuzione bloccando quelle potenzialmente nocive.
Il concetto era nuovo per l’epoca: introdurre una nuova metodologia che permettesse di svincolarsi dalle definizioni antivirus e riconoscere tempestivamente anche le minacce appena comparse in Rete.
Questo tipo di protezione è in genere l’ultima linea di difesa contro i nuovi malware, progettati per passare inosservati ai controlli basati sull’uso di definizioni antivirus ed euristica. Le tecnologie di questo tipo, residenti in memoria, si occupano di osservare nel dettaglio le operazioni e le chiamate API effettuate da ogni singolo programma in esecuzione mettendole in correlazione ed esaminando le varie dipendenze. In questo modo, diviene possibile bloccare il malware prima che questo possa eseguire con successo operazioni dannose sul personal computer dell’utente. Qualora un processo in esecuzione dovesse essere ritenuto sospetto, questo verrebbe istantaneamente interrotto e ne sarebbe impedito un successivo avvio.
Un’altra protezione che i vari produttori di soluzioni per la sicurezza stanno cercando di implementare è quella che consente di definire quali azioni siano permesse e quali non lo siano per una determinata applicazione.
Molti malware, infatti, sfruttano i privilegi assegnati ad un particolare software, del tutto legittimo, per attaccare il sistema dell’utente. Un esempio su tutti è rappresentato dalla diffusione di file in formato Microsoft Office che, pur apparendo benigni, sono invece modificati ad arte da malintenzionati per sfruttare vulnerabilità già conosciute (per le quali è stata messa a disposizione una patch) oppure ancora irrisolte (“zero-day”). Un sistema di protezione che limita il raggio d’azione di ogni singola applicazione può stroncare sul nascere l’attacco.
Una risposta particolarmente efficace nei confronti del “fenomeno malware”, letteralmente decuplicatosi nel corso dell’ultimo biennio, è la cosiddetta “intelligenza collettiva“. Questo tipo di approccio sfrutta la ormai continua fruibilità della connessione Internet per rivoluzionare le modalità con cui i nuovi malware vengono rilevati, classificati e rimossi. Se fino ad ora un personal computer veniva trattato come una singola unità e gli eventuali componenti nocivi rilevati considerati singolarmente, senza una visione d’insieme sui milioni di altri sistemi infettati, l'”intelligenza collettiva” mira a modificare questo quadro. Grazie all'”intelligenza collettiva” l’intero processo di isolamento e raccolta del malware, classificazione e risoluzione del problema può essere eseguito online. Dopo una prima analisi sul sistema locale, nel caso in cui vengano rilevati file sospetti, gli oggetti potenzialmente nocivi sono trasmessi ai server mantenuti dal produttore. Qui, tutta una serie di procedure automatizzate si fanno carico dell’analisi approfondita di ogni campione pervenuto senza quindi impattare negativamente sulle performance del sistema dell’utente. Gli stessi server si occupano di produrre e distribuire aggiornamenti per le firme virali da distribuire a tutti gli utenti: in questo modo è subito possibile fidare del massimo livello di protezione anche nei confronti di malware nuovi, apparsi ad esempio soltanto su poche decine di sistemi.
Un altro vantaggio dell'”intelligenza collettiva” consiste nel quadro generale che questo approccio può restituire agli ingegneri ed agli analisti dei laboratori antimalware. Grazie all'”intelligenza collettiva”, domande relative all’origine di un malware (è possibile ottenere l’elenco dei sistemi dai quali un malware è “nato”) ed alle sue modalità di diffusione, possono trovare rapidamente risposta. Un aspetto, questo, che può risultare particolarmente utile in fase di supporto all’attività svolta dalle forze dell’ordine.
L'”intelligenza collettiva” è una delle soluzioni alle quali i vari produttori stanno guardando con sempre maggior interesse: il fenomeno malware non è contrastabile se i vari produttori non propongono soluzioni basate su un approccio centralizzato svincolato dal modello “PC-centric” sinora adottato.
Alle soluzioni di “intelligenza collettiva” ci si riferisce spesso con il termine più generico “in-the-cloud” per indicare come il processo di rilevazione e classificazione delle minacce venga spostato su server remoti sfruttando la ormai continua fruibilità della connessione Internet. Se fino ad ora un personal computer veniva trattato come una singola unità e gli eventuali componenti nocivi rilevati considerati singolarmente, senza una visione d’insieme sui milioni di altri sistemi infettati, oggi l’approccio è destinato a mutare radicalmente.
Panda Cloud Antivirus, grazie al “modus operandi” illustrato, non deve aggiornare alcun archivio delle firme virali ma può fare affidamento sul database online mantenuto costantemente “up-to-date”. Ogni volta che un software viene eseguito, il modulo client di Panda Cloud Antivirus cerca nel proprio database online se il file sia già conosciuto o meno, e nel caso sia ritenuto malevolo ne blocca immediatamente l’esecuzione.
Il software gratuito di Panda Security è scaricabile cliccando qui.