L’Advanced Malware Protection (AMP) è una soluzione di sicurezza proattiva che va oltre i tradizionali strumenti di protezione eutilizza intelligenza artificiale, analisi comportamentale e cloud per bloccare in tempo realeminacce complesse, zero-day e ransomware
Oggi gli attacchi cyber hanno ormai superato le capacità di difesa delle tradizionali soluzioni di sicurezza. Secondo l’AV-TEST Institute, ogni giorno i ricercatori registrano oltre 450.000 nuovi malware e applicazioni potenzialmente indesiderate (PUA). Il volume e la velocità con cui nascono le nuove varianti rendono le strategie di protezione degli endpoint basate esclusivamente sul confronto delle firme — cioè sul controllo di un file rispetto a un database statico di minacce note — strutturalmente incapaci di tenere il passo. La protezione avanzata dal malware (AMP) è stata sviluppata per colmare questo divario.
Come funziona la protezione avanzata dal malware?
La protezione avanzata dal malware funziona attraverso una gerarchia di rilevamento strutturata supiù livelli. Poiché nessun metodo da solo è in grado di intercettare tutte le minacce, le soluzioni AMP combinano diversi tipi di controllo: così, se un livello viene aggirato, interviene quello successivo per bloccare la minaccia. I tre livelli sono: allowlisting, blocklisting e analisi comportamentale. L’allowlisting è la prima linea di controllo: se un file, un processo o un’applicazione è presente in una lista di elementi autorizzati, viene eseguito senza ulteriori verifiche, riducendo il carico sugli altri livelli. A questo segue il blocklisting. Quando una soluzione AMP identifica un file malevolo, ne calcola l’impronta hash e lo inserisce in una lista di blocco. Qualsiasi futura apparizione dello stesso file verrà bloccata prima dell’esecuzione. Questo metodo, però, è efficace solo contro minacce già note, motivo per cui è fondamentale l’analisi comportamentale. Quest’ultimo rappresenta la vera differenza rispetto agli antivirus tradizionali. Invece di analizzare il codice statico, osserva il comportamento del software durante l’esecuzione: modifiche al registro di Windows, creazione di processi sospetti, tentativi di scansione della rete locale o connessioni verso server esterni di comando e controllo (C2). Questi segnali, presi insieme,permettono di identificare minacce sconosciute anche senza disporre di una firma corrispondente.
A supporto di questi tre livelli operano modelli di intelligenza artificiale e machine learning, addestrati e continuamente aggiornati su grandi quantità di dati. Parallelamente, i modelli vengonomonitorati da analisti umani per ridurre i falsi positivi e mantenerli efficaci nel tempo.
Perché è importante la protezione avanzata dal malware?
L’Advanced Malware Protection è fondamentale perché le difese tradizionali non sono più sufficienti rispetto alla velocità con cui nascono le nuove minacce: le vulnerabilità zero-day rappresentano l’esempio più evidente di questo limite. Il Threat Intelligence Group di Google ha rilevato 75 vulnerabilità zero-day sfruttate nel 2024, di cui il 44% ha colpito prodotti aziendali di sicurezza e networking come VPN e firewall. Il report M-Trends 2025 di Mandiant conferma che gli exploit restano il vettore inziale più diffuso per gli attacchi, responsabili del 33% delle intrusioni analizzate. Per definizione, un antivirus basato su firme non può difendere da questo tipo di minacce. Al contrario, l’analisi comportamentale è in grado di individuare attività sospette anche senza conoscere le vulnerabilità.
Inoltre, i cybercriminali utilizzano sempre più spesso l’intelligenza artificiale per sviluppare malware polimorfi, capaci di modificare il proprio codice o il comportamento per eludere i controlli. Le soluzioni Advanced Malware Protection basate su AI sono la risposta migliore per difendersi anche da queste nuove tecniche.
Tipologie di protezione dal malware
Possiamo suddividere le soluzioni di protezione in tre livelli principali. Il primo è rappresentato dalle soluzioni di sola rilevazione. In questo caso gli strumenti, tradizionalmente basati su firme edeuristica, confrontano i file con database di minacce note. Sono efficaci contro malware conosciuti, ma non rilevano minacce nuove o zero-day. Il secondo livello è costituito dalle soluzioni di rilevazione e prevenzione. Si tratta di strumenti avanzati, che aggiungono AI, machine learning e analisi comportamentale: monitorano in tempo reale le attività e possono bloccare ransomware o attacchi zero-day, interrompendo processi sospetti e isolando file dannosi. L’ultimo livello è costituito dalle soluzioni di rilevazione, prevenzione e risposta: in questo caso i sistemi EDR aggiungono capacità investigative e forensi, registrando le attività e permettendo agli analisti di ricostruire l’intera catena degli attacchi. Le piattaforme XDR estendono questa visione a più ambiti (endpoint, email, rete, cloud), correlando tutti i segnali in un unico sistema di risposta.
Di Umberto Zanatta, Senior Solutions Engineer, CISM e CISSP di Acronis
