Il System Watcher diventa più intelligente

Come funzionano l’analisi euristica e il System Watcher in Kaspersky Internet Security

Le soluzioni di sicurezza devono essere in grado di svolgere due funzioni: prevenzione e, se necessario, riparazione. L’ultimo brevetto di Kaspersky Lab è una tecnologia che rende entrambe le funzioni più efficienti.

L’approccio più comune in materia di prevenzione è tracciare quello che succede nei vostri computer e neutralizzare gli oggetti dannosi. Se il programma di sicurezza rileva un Trojan, una mail di phishing o spam o un sito web dannoso, questo fa del suo meglio per proteggere l’utente.

Quando la prevenzione fallisce, la soluzione di sicurezza deve far fronte a un computer infetto. Pulire un sistema infetto non vuol dire eliminare semplicemente i file dannosi. Per pulire un PC infetto, l’antivirus deve rimuovere il codice dannoso e ripristinare le funzioni normali del PC danneggiato. Non basta rimuovere il danno; dovete risanare il computer (ed è difficile).

È proprio questo il motivo per cui i test indipendenti realizzati sui prodotti di sicurezza mostrano che sebbene molti fornitori di sicurezza si comportino relativamente bene in materia di prevenzione, la perfezione si riduce un po’ quando si tratta di disinfettare un sistema già danneggiato.

Miglior rilevamento…

Le liste delle firme del virus ed altri metodi tradizionali di rilevamento occupano un posto importante nelle soluzioni di sicurezza. Anche i metodi euristici giocano però un ruolo fondamentale. L’euristica, o avvalersi dell’esperienza per imparare e crescere, consente al software antivirus di cercare non solo oggetti pericolosi, ma anche attività sospette.

Il rilevamento delle attività dannose è al centro della tecnologia che è stata sviluppata da Mikhail Pavlyuschik, Alexey Monastyrsky e Denis Nazarov di Kaspersky Lab e che ha ottenuto da poco il brevetto. Questa tecnologia è in grado di tracciare le interazioni tra un programma ed altri componenti e software dell’OS. In questo caso, le interazioni stanno a significare che un programma lavora con la memoria utilizzata da altri processi.

Non è necessario tracciare tutte le attività (il che è un bene perché controllare tutto potrebbe risucchiare le risorse del computer). La tecnologia che traccia le interazioni è un precisissimo controllo del comportamento e blocca molti programmi dannosi prima sconosciuti.

…e prevenzione

Prendete in considerazione un computer attaccato da un malware che memorizza le battute dei tasti (un keylogger).

Se un keylogger è riuscito a infettare il computer, questo vuol dire che ha bypassato la protezione o si è infiltrato utilizzando una configurazione di sicurezza difettosa (una situazione frequente). Deve essere fermato prima che invii i dati (può essere la password della vostra mail, i dati di accesso della banca, una fotografia della webcam e molto altro) alla persona che sta dietro all’attacco.

È qui che entra in gioco l’analisi comportamentale. La tecnologia è incorporata al nostro modulo System Watcher e, con l’aiuto di altri componenti di sicurezza, rileva le interazioni dannose conosciute che il software non affidabile causa prima che il danno sia irreversibile. Inoltre, può annullare le modifiche effettuate dal malware perché traccia il comportamento di quest’ultimo.

Una buona soluzione di sicurezza come Kaspersky Internet Security permette raramente ai malware di penetrare nel sistema che richiede un rollback. Inoltre, aggiungiamo molto velocemente nuove minacce al nostro database di virus; Kaspersky Security Network ci aiuta a scoprire nuovi campioni di malware dal cloud. Ma quando si tratta di sviluppo di antivirus, non potete essere mai completamente protetti. Il continuo lavoro sullo sviluppo di nuove tecnologie per il rilevamento e la riparazione costituisce una differenza fondamentale tra una buona soluzione di sicurezza e una mediocre: le misure di sicurezza complete dipendono da questo.
Consigli