Approccio multilivello alla sicurezza

Dal momento che i cyberattacchi più recenti e sofisticati si prefiggono di superare la protezione IT esistente, risulta di fondamentale importanza allestire e organizzare difese multilivello, in grado sia di coprire i diversi layer dell'infrastruttura, sia di applicare molteplici layer di protezione di varia natura a ogni risorsa salvaguardata. Ciò consente di ottenere una protezione efficace nei confronti delle più svariate tipologie di malware, rendendo il sistema troppo ben difeso per la maggior parte degli autori degli attacchi. L'immagine qui sopra inserita mostra il modo in cui le minacce vengono bloccate attraverso i vari livelli del nostro modulo Anti-Virus File.

Il primo livello è costituito da una tecnologia affidabile e ultra veloce, capace di rilevare il malware mediante l'impiego di maschere e hash.

Il secondo livello si avvale dell'emulazione, per eseguire codice sospetto in un ambiente isolato. Vengono emulati sia i file binari che gli script: si tratta di un fattore di primaria importanza per quanto riguarda la protezione dalle minacce web.

Il terzo livello è rappresentato da una classica routine di rilevamento. Questo strumento consente agli esperti Kaspersky di scrivere un codice, fornito poi direttamente all'utente tramite i database. Si tratta di una tecnologia assolutamente insostituibile; integra la soluzione di sicurezza con appositi decryptor per il ransomware e vari unpacker destinati ai packer legittimi.

Il quarto livello presuppone l'utilizzo di determinati modelli di machine learning da parte del cliente. L'elevata capacità di generalizzazione di tali modelli consente di prevenire la perdita di qualità nelle attività di rilevamento delle minacce sconosciute, anche nel caso in cui non risulti disponibile, per oltre due mesi, l'aggiornamento dei database.

Il quinto livello è rappresentato dal rilevamento cloud-based mediante l'utilizzo di Big Data. Sfrutta l'analisi delle minacce proveniente da tutti gli endpoint facenti parte del Kaspersky Security Network: ciò consente a sua volta di ottenere una reazione senza precedenti nei confronti delle nuove minacce, riducendo inoltre ai minimi termini i falsi positivi.

Il sesto livello è costituito da funzionalità euristiche basate sui log di esecuzione . Per catturare un criminale non esiste metodo più efficace del cogliere sul fatto il malintenzionato. Il backup istantaneo dei dati sottoposti a un processo sospetto e il rollback automatico neutralizzano il malware nel momento stesso in cui viene rilevato.

Il settimo livello prevede la raccolta in tempo reale di dettagliate informazioni comportamentali sui file, allo scopo di creare modelli di deep learning . I modelli in questione sono in grado di rilevare la natura dannosa di un file durante l'analisi di una quantità minima di istruzioni. Ciò consente di ridurre al minimo la persistenza delle minacce; inoltre, il machine learning fornisce elevati tassi di rilevamento anche quando l'aggiornamento del modello non risulta disponibile per un lungo periodo di tempo.

Come si può vedere, l'utilizzo del machine learning su vari livelli del sottosistema basato sul modulo Anti-Virus File costituisce, nella sua essenza più profonda, la prova inconfutabile dell'approccio multilivello che contraddistingue la protezione Next Generation di Kaspersky. Internamente, tale concetto viene semplicemente espresso con il termine "machine learning multilivello". Utilizziamo lo stesso identico approccio anche quando realizziamo altre soluzioni di sicurezza.