Qual è allora la differenza tra i vari prodotti di sicurezza informatica?

Quando parliamo di antivirus, il senso comune tende sempre a pensare che un prodotto, bene o male, sia equivalente ad un altro.

Sotto un certo punto di vista, potrebbe anche sembrare vero… in fondo, possiamo dire che un antivirus è “buono” quando è in grado di proteggere bene le nostre postazioni dai programmi malevoli.

Ma, di fatto, un antivirus è realmente buono solo se possiede un preciso set di funzioni minime, che possiamo sintetizzare nelle due principali:

  • Analisi basata sulle firme antivirali, funzione disponibile in tutti gli antivirus Tradizionali
  • Protezione preventiva dalle minacce sconosciute

Naturalmente, questo tandem di attività andrà ad utilizzare alcune risorse del nostro sistema: la RAM, la CPU e il data storage.

Tutti gli antivirus utilizzano tali risorse… Qual è allora la differenza tra i vari prodotti?

Continuate a leggere di seguito e sarà tutto più chiaro.

Il Database delle firme e dei siti aumenta di dimensione ogni giorno

È ormai risaputo che, nella maggior parte delle aziende, si utilizzano dispostivi obsoleti e spesso – troppo spesso – poco performanti. Sui computer vengono installati sempre più software, ma non tutte le aziende hanno la possibilità di acquistare dispositivi sempre più potenti in grado di gestirli.

Se consideriamo la quantità di file malevoli che vanno a “gonfiare” letteralmente un database antivirus e se pensiamo che i database degli URL sospetti vengono ogni giorno riempiti con oltre 50.000 nuovi record… riusciamo facilmente a comprendere come il carico di un antivirus su di un sistema possa diventare un elemento decisamente critico.

Se il database delle definizioni aumenta il numero di record, automaticamente si ha un incremento delle sue dimensioni.

Quante volte ci è sembrato che l’antivirus appesantisse il nostro PC? Magari apriamo il task manager e vediamo la RAM che sale… e il nervoso che sale…

Soluzioni light che usano poca RAM… ma a discapito di cosa?

Il mondo del business informatico, conscio di questo malcontento generale nei confronti degli antivirus pesanti, ad un certo punto ha iniziato ad offrire quelle che possiamo chiamare soluzioni di sicurezza “light.

Tali soluzioni di solito vengono presentate come una rivoluzione nella sicurezza informatica e, secondo le assicurazioni dei promoter o dei vendor stessi, ci permettono di ottenere un ottimo risultato e, allo stesso tempo, un consumo di risorse minimo, addirittura impercettibile!

Facciamo però attenzione… una quantità significativa di RAM accanto ad un processo di un antivirus, non sempre è un sintomo negativo.

Come ben sappiamo, dal nulla non si crea nulla: dietro la cortina fumogena degli slogan pubblicitari si nascondono importanti lacune in termini di protezione.

Alcune strategie che rendono l’antivirus leggero

Nei precedenti paragrafi, abbiamo detto che ogni antivirus ha naturalmente bisogno di utilizzare le risorse – RAM, CPU e Disco – della macchina sui cui è installato.

Le strategie di ottimizzazione dei consumi che si possono adottare sono molte… ma alcune sono certamente più rischiose di altre!

Database caricato da disco

Alcuni antivirus usano il cosiddetto mapping: invece di caricare il database dei virus in memoria, questo viene caricato direttamente sul disco rigido. Tale approccio, se da un lato ci permette di mostrare percentuali molto basse di carico della RAM, dall’altro lato rallenterà il computer e farà diminuire la durata degli SSD – se presenti – dato che software si troverà ad accedere costantemente ai DB presenti sul disco. 

Database in Cloud

Ci sono gli antivirus che non hanno un database in locale sul disco fisso del computer ma utilizzano un database remoto, in cloud. È vero che l’antivirus così utilizza poca memoria… ma questa tecnica fa incorrere in rischi.

Infatti, se un antivirus trasmette le informazioni relative ad un file verso il cloud ma queste informazioni vengono trasmesse per intero perché il file non è stato decodificato in tutte le sue componenti, è impossibile rilevare la presenza di crittografie malevoli innestate all’interno dei file non eseguibili, negli archivi o nei documenti dell’utente.

Scansione parziale dei processi

Altri prodotti famosi per la loro leggerezza, evitano di scansionare i processi attivi. Cosa significa?

Significa che il nostro sistema non ha più una protezione preventiva ma è esposto, permettendo una facile introduzione di codici malevoli (exploit) all’interno dei nostri processi o un lancio di programmi sospetti.

Mancanza del servizio di File Monitor di basso livello

Abbiamo anche gli antivirus che ci “costringono” ad effettuare più di una scansione per eliminare tutte le minacce… questo succede in assenza di un file monitor che blocca o controlla le nuove istanze di eventuali programmi malevoli lanciati nelle aree del sistema già analizzate.

Scansione solo di piccoli file

Alcuni antivirus poi, si limitano a scansionare solo file di piccole dimensioni e non effettuano invece controlli su quelli di dimensioni elevate.

Mancanza di funzioni preventive nella scansione di minacce sconosciute

Infine, uno degli elementi più critici. Diciamocelo, al giorno d’oggi chiunque può realizzare una soluzione antivirus… e infatti è così che accade, vista la quantità di vendor presenti sul mercato. Alla fine ci basta acquistare in licenza un engine di scansione da una delle tante aziende produttrici, uno o più database delle signatures e poi pacchettizzare il tutto in un applicativo. Voilà, l’antivirus è pronto!

Allora come mai le molte soluzioni che si basano quasi esclusivamente sulle signature non sono poi in grado di bloccare un processo o individuare una minaccia che non abbia un’impronta digitale presente nel database delle firme?

Semplice! Un database delle signature contiene tanti record, ognuno con una propria sequenza di 1 e 0. Un engine che si basa solo su database delle signature fa un confronto tra la “firma” del file da scansionare e i record presenti nel DB. Per semplificare, quando c’è una corrispondenza, vuol dire che quel file processato contiene al suo interno un virus.

Ma attenzione, sono i vendor degli antivirus che alimentano i database delle definizioni, hanno studiato il comportamento del virus, tutte le azioni che fa, come si muove e come infetta il computer… In pratica hanno l’identikit o, addirittura meglio, un’analisi comportamentale del virus stesso. Avete presente il film Minority Report con Tom Cruise in cui i criminali vengono presi prima che commettano un reato?

Le logiche dell’analisi comportamentale, di individuazione e predizione sono un bene intrinseco e unico dei soli vendor che hanno un laboratorio di ricerca, e questo non è in vendita, perché rappresenta il vero valore aggiunto che differenzia una soluzione antivirus da un’altra.

Con la speranza di aver solleticato la vostra attenzione, vi invitiamo a leggere il prossimo articolo dove tratteremo in dettaglio questo argomento.

Arrivati a questo punto, potremmo anche affermare che NESSUN prodotto light è in grado di proteggere completamente un sistema… ma i produttori delle soluzioni di sicurezza leggere spesso omettono questi dettagli… forse perchè molto tecnici, o forse perché parlandone, farebbero fatica a distinguersi dai loro competitors!

Antivirus Dr.Web

Dopo l’excursus sui principali stratagemmi che vengono adottati per rendere il nostro software sì leggero, ma di certo poco sicuro, vediamo come l’antivirus Dr.Web prodotto dall’azienda russa Doctor Web ci permette di ottenere molti vantaggi per una protezione multi-layer senza però andare ad appesantire troppo la nostra postazione.

Innanzitutto, è di ESTREMA importanza capire sino a che punto si spinge il nostro antivirus… e quanto è profonda la scansione di Dr.Web ce lo mostra questo semplice diagramma:

Lo schema indica chiaramente che la protezione effettuata da Dr.Web parte dalle nostre applicazioni ed arriva sino al livello più basso della nostra macchina, garantendoci una sicurezza totale.

I software cosiddetti “leggeri” sono in grado di dimostrarci questo?

In termini di performance, a differenza degli antivirus che caricano parti del motore sul disco rigido, il motore Dr.Web è del tutto residente nella memoria operativa del nostro sistema. Come risultato, abbiamo una velocità massima di ricerca nel database dei virus ed inoltre non andiamo a deteriorare il disco rigido per via dei continui accessi.

Una velocità ottimale dipende anche da molti altri fattori…

Ad esempio, una buona riorganizzazione dei database sottostanti volta all’eliminazione dei record superflui o doppi, ha permesso a Doctor Web di ridurre di un terzo le dimensioni dei propri virus DB e la loro specifica struttura garantisce una velocità di interrogazione sempre costante, che non cambia con l’aumentare delle quantità dei programmi malevoli conosciuti.

Infine, l’antivirus Dr.Web monitora le risorse del sistema durante la scansione e modifica dinamicamente il proprio consumo in modo da rimanere sotto un determinato livello e non sovraccaricare la macchina.

Nonostante questa accortezza, c’è da dire che l’utilizzo della RAM resta pur sempre consistente… dal nostro punto di vista, questo è comunque un prezzo ragionevole da pagare dato che, come abbiamo visto nei precedenti paragrafi, nessun prodotto light può assicurarci una vera protezione dai programmi malevoli.

Conclusioni: scelte consapevoli

Con questo articolo speriamo di aver spinto il lettore a farsi qualche domanda in più quando si trova di fronte alla scelta di una soluzione per la protezione dei propri Computer e Server. Fermarsi alle apparenze e sottovalutare gli elementi che abbiamo trattato può rappresentare un errore con delle gravi conseguenze.