Informazioni personali

Cerca nel blog

Translate

lunedì 26 aprile 2010

Security for dummies: Appendix ONE antivirus, antimalware o antitarme?

Colgo l’occasione di un thread che mi ha coinvolto in altra sede per fare un post fuori piano pubblicazione per quello che riguarda security for dummies.
Pur dovendo introdurre da piano editoriale le botnet mi soffermo un attimo su un argomento specifico, la necessità di usare antivirus ed antimalware in un sistema di sicurezza.
Innanzi tutto vorrei chiarire cosa intendo per i termini antivirus ed antimalware, in quanto faccio un discorso non di prodotto ma di tecnologie.
Molti prodotti in commercio sono security suite che hanno funzioni tanto di antivirus quanto di antimalware. La stessa classificazione di virus e malware è oggetto di discussione e va ben oltre gli scopi di questoi post, vi rimando per l’eventuale approfondimento a letteratura specialistica (nonché ai miei post in questo blog sui rudimenti di web security).
Fondamentalmente per antimalware intendo un insieme di tecnologie che si occupino della analisi delle transazioni client side serve side, per identificare comportamenti che possano essere ricondotti a infezioni o attacchi. In questa famiglia, per esemplificare il concetto, riconduco ad esempio hijacking effettuati tramite la modifica del file host piuttosto che legati a DNS poisoning o man in the middle.
Per antivirus invece intendo quell’insieme di tecnologie volte ad analizzare un oggetto di cui si sta facendo download, installazione od esecuzione ed è fonte di comportamenti anomali o illeciti.
L’ambito dell’antivirus è quindi leggermente diverso da quello definito dal malware anche se vi sono ampie aree di sovrapposizione soprattutto nei prodotti attualmente in commercio.

La effettiva utilità di un prodotto in luogo di un altro dipende da considerazioni diverse.
1) Innanzi tutto occorre identificare il layer di protezione cui si sta facendo riferimento: end point, gateway, intermediate security host e cosi via hanno caratteristiche diverse e quindi sono indicati all’impiego di una tecnologia piuttosto che un’altra.
Ad esempio un file server o qualunque entità dia accesso promiscuo al file systems (in questa categoria rientrano sicuramente i personal computer, indipendentemente da sistema operativo utilizzato) sicuramente necessita di essere coperto da tecnologie antivirus.
Ad un proxy gateway o un Next Generation Firewall invece sono più consone, per la natura intrinseca della loro posizione sulla rete ed il loro ruolo nella gestione dei flussi di informazione,  le analisi transazionali e quindi l’integrazione di tecnologie antimalware torva in quest’ambito la migliore applicazione.
Questo, ovviamente, non significa che non vi debbano essere  tecnologie antimalware sugli end point e antivirus sui gateway, ou contraire un approccio multilayered offre di solito una area di copertura maggiore.
Vi sono pero constrain che possono dover portare ad una scelta diversa;  questi vincoli possono essere, ad esempio, di ordine economico o prestazionale.
Rimando a prossimi post sulla analisi dei costi di rischio un approfondimento.
Quindi serve l’antivirus?
la mia risposta è assolutamente si sugli endpoint, quali che essi siano.
Serve l’antimalware?
ancora una volta la mia risposta è assolutamente si, in particola modo sui security gateway.
Quale sia invece il prodotto adatto dipende dalle caratteristiche della rete, dalla propensione al rischio, dalla superficie di esposizione al rischio medesimo e , non ultimo, dalla disponibilità economica e dal valore degli asset da proteggere.
Esistono in commercio soluzioni molteplici in termini di costi, superficie di protezione offerta, impatto sulla rete. In alcune situazioni l’uso di prodotti opensource o commercial freeware può essere più che adatto a coprire taluni aspetti, cosi come l’uso di tecnologie UTM, in altri può essere invece più indicato intervenire con gateway specializzati e approcci multilayered che offrono sicuramente un maggior livello di protezione a fronte, ovviamente, di maggiori costi implementativi.
ciaps
AI