Indice dei contenuti

Perché gli endpoint non dovrebbero affidarsi completamente alla scansione?

Indice dei contenuti

L'antivirus è stato senza dubbio la soluzione predefinita per proteggere gli endpoint per decenni. La maggior parte delle soluzioni antivirus esegue una scansione dell'endpoint, incrociando i file con un database di firme di minacce conosciute. Sebbene sia adeguata per identificare le minacce note, la tecnologia di scansione non è in grado di tenere il passo con le minacce avanzate che oggi colpiscono gli endpoint. Ecco i quattro motivi principali per cui la scansione non dovrebbe essere la sua prima linea di difesa nella protezione degli endpoint.

 

1. Affidamento sul database delle firme

Nell'attuale panorama delle minacce, il malware può cambiare a rotta di collo, il che significa che i database delle firme devono essere aggiornati continuamente con le firme più recenti per evitare di diventare obsoleti. Come la scansione, questi aggiornamenti possono ridurre le prestazioni del sistema. Le soluzioni antivirus spesso consentono agli utenti di programmare gli aggiornamenti in orari più convenienti, ma questo può lasciare i database non aggiornati per periodi prolungati, durante i quali le minacce possono facilmente aggirare ed eludere il rilevamento da parte degli scanner.

Ottenere la Guida XDR per principianti

 

2. Identifica solo le minacce conosciute

Gli scanner si limitano a ciò che è già noto su un campione. Tutto ciò che è sconosciuto, come le minacce zero-day o il malware polimorfico, non viene individuato. Gli aggressori spesso apportano lievi modifiche alle minacce esistenti che consentono loro di aggirare il rilevamento da parte dei motori di scansione, dando vita a malware polimorfi, o varianti. Queste varianti richiedono firme completamente nuove per essere rilevate, rendendo inutili gli scanner. La creazione di nuove firme richiede molto lavoro e non può tenere il passo con la velocità con cui gli aggressori possono modificare le minacce.

 

3. Impatto sulle prestazioni

Le soluzioni antivirus eseguono una scansione periodica alla ricerca di file dannosi o minacce, indipendentemente dall'attività del sistema in quel momento. Questo consuma risorse significative, consumando spazio su disco e rallentando i dispositivi. Per minimizzare l'impatto, gli utenti spesso bypassano o riprogrammano le scansioni, cambiano la frequenza di scansione o disattivano completamente l'antivirus. Sebbene una qualsiasi di queste azioni possa evitare temporaneamente il degrado delle prestazioni, lascia i sistemi vulnerabili al malware che le scansioni precedenti potrebbero non aver rilevato. Inoltre, la scansione periodica aumenta il rischio di perdere il malware introdotto nel sistema tra una scansione e l'altra.

 

4. I file a riposo non sono visti come minacce

I file dannosi non rappresentano una minaccia effettiva per un sistema, finché non vengono eseguiti. Le soluzioni antivirus scansionano i file potenzialmente dannosi, con un impatto notevole sulle prestazioni, alla ricerca di elementi che non minacciano il sistema.

I file dannosi non rappresentano una minaccia effettiva per un sistema, finché non vengono eseguiti. Le soluzioni antivirus scansionano i file potenzialmente dannosi, con un impatto notevole sulle prestazioni, alla ricerca di elementi che non minacciano il sistema.

Quando viene identificato un malware, il servizio basato sul cloud crea e condivide automaticamente misure preventive a tutti gli endpoint protetti. Questo garantisce che gli endpoint possano prevenire il malware conosciuto o appena identificato, senza richiedere aggiornamenti periodici. Tuttavia, i team addetti alla sicurezza possono ancora scansionare facoltativamente i file malware, se necessario, per garantire la conformità o la sicurezza.

XDR, o rilevamento e risposta estesi, è un approccio innovativo alla sicurezza degli endpoint. XDR può raccogliere praticamente tutti i dati, come quelli della rete, del cloud e degli endpoint, riconoscendo che non è efficace investigare le minacce in silos isolati. I sistemi XDR utilizzano l'apprendimento automatico, l'analisi e l'automazione per mettere insieme e ricavare informazioni da queste fonti, aumentando la visibilità della sicurezza e la produttività rispetto agli strumenti di sicurezza isolati. Il risultato è un'indagine semplificata e accelerata, che riduce il tempo necessario per trovare, cacciare, indagare e rispondere a qualsiasi forma di minaccia.

Per saperne di più su Cortex XDR, la prima piattaforma XDR del settore che integra i dati provenienti da qualsiasi fonte per bloccare gli attacchi moderni, visitate la pagina del prodotto.

Contenuti correlati
10 requisiti per la protezione degli endpoint.
La sicurezza degli endpoint storicamente significava utilizzare strumenti antivirus inefficaci. Legga i dieci requisiti per proteggere efficacemente sistemi, utenti ed endpoint.
Che cos'è il Cortex Extended Detection and Response (XDR)?
XDR, o rilevamento e risposta estesi, estende il rilevamento e la risposta degli endpoint per fornire una protezione olistica. Esplori la soluzione XDR di Palo Alto Networks.
Cosa c'è di nuovo nella prossima generazione di antivirus Whitepaper
Scopra perché le strategie di sicurezza degli endpoint efficaci vanno oltre le soluzioni antivirus aziendali e perché investire in XDR può offrire maggiori capacità di prevenzione ...
Guida essenziale al rilevamento e alla risposta estesi (XDR)
Legga la Guida essenziale all'XDR per conoscere l'XDR, le sue applicazioni e i suoi casi d'uso, e come investire in esso oggi può proteggerla dalle minacce di domani.

Ricevi aggiornamenti sulle ultime novità, inviti per eventi e avvisi relativi alle minacce