L’antivirus finalmente si sveglia

7

Il vecchio modo è morto. Ricordi quando l’antivirus funzionava come un buttafuori con un album fotografico laminato? Presentarsi nella lista? Fatti sballottare. Non? Cammina dritto indossando occhiali da sole finti. Quel modello è crollato. Le minacce si muovono più velocemente dei database.

Ora il software controlla come ti comporti, non solo chi dici di essere. Machine learning, monitoraggio in tempo reale, analisi comportamentale. Si tratta meno di abbinare le firme e più di catturare l’atmosfera. Individuazione dei problemi prima dell’esecuzione. Oppure si diffonde. Oppure mangia il tuo disco rigido a colazione.

Dalla fototessera al linguaggio del corpo

Una volta era un riconoscimento. Puro e semplice. Le società di sicurezza hanno trovato un malware, ne hanno estratto il DNA, hanno inviato un aggiornamento al tuo telefono, fatto. Se il file X corrispondeva al modello Y, boom, allarme. Logica semplice.

Ha funzionato. Fino a quando non è stato così.

I cattivi attori si annoiavano di essere la stessa persona due volte. Il malware polimorfico modifica il proprio codice ogni volta che si copia. Metamorphic si riscrive così completamente che sembra a malapena un parente dell’originale. Il giorno zero colpisce i punti ciechi prima che qualcuno si accorga dell’esistenza di una finestra. Il risultato? Un tapis roulant infinito di nuove minacce che superano l’analisi manuale. Le firme reagiscono alla storia. La cronologia è inutile se vieni hackerato in tempo reale.

Il sospetto sulla certezza

Quindi l’industria ha spostato lo sguardo. Il comportamento conta più dell’identità. Perché un’app calcolatrice tenta di crittografare l’intero C-Drive alle 3 del mattino. Perché un editor di testo contatta un server in un paese in cui non sei mai stato?

Gli strumenti moderni tengono traccia delle chiamate API, dell’accesso alla memoria, del traffico di rete. Costruiscono una linea di base normale per la tua macchina specifica. Le deviazioni vengono segnalate. Il rilevamento delle anomalie è il nuovo watchdog. Non è necessario conoscere il nome del criminale. Ha solo bisogno di vedere il ladro che fa leva sulla porta.

Prendi il ransomware. I ceppi si evolvono troppo velocemente per gli elenchi di firme. Ma il modello rimane costante: crittografia di massa, escalation dei privilegi, beacon di rete silenziosi. Se un programma inizia a bloccare i tuoi documenti senza motivo, il software stacca la spina. Non è necessaria alcuna firma. Solo buon senso codificato.

L’obiettivo non è identificare la minaccia, ma identificare l’intento.

Insegnare ai robot a riconoscere le bugie

Entra nell’apprendimento automatico. Sistemi come Microsoft Defender, CrowdStrike, SentinelOne si addestrano su miliardi di campioni. Sia nel bene che nel male. Imparano modelli invisibili agli umani. Gli alberi decisionali dividono le scelte in base a regole. Le reti neurali elaborano i dati per trovare correlazioni nel caos.

L’output non è sempre bianco o nero. È un punteggio. Una valutazione del rischio. Sicuro. Sospettoso. Dannoso.

La brillantezza? Cattura le cose nuove. Il nuovissimo malware che imita il comportamento delle minacce conosciute viene contrassegnato. Non hai bisogno di una corrispondenza perfetta. Hai solo bisogno di un indice di somiglianza sufficientemente alto.

La trappola della sabbia

A volte il software va sul sicuro. Letteralmente. Il sandboxing apre file sospetti in una stanza di isolamento digitale. Guardali correre. Guardali fallire. Se si comportano come mostri, muoiono nella scatola. Analisi dinamica in azione.

Ciò rende confuso il confine tra antivirus ed EDR (Endpoint Detection and Response). Il piccolo scudo verde nel tuo vassoio è sparito. Al suo posto? Una rete di sicurezza più ampia che caccia le minacce attraverso le reti. L’antivirus non è più solo uno scanner. È un sistema immunitario.

La spada a doppio taglio

Ecco il kicker. Anche gli aggressori hanno l’intelligenza artificiale. 🤖

Gli stessi modelli che addestrano i difensori possono addestrare gli attaccanti. I ricercatori vedono già malware progettati specificamente per ingannare gli algoritmi ML. Per volare sotto il radar. Malware ad autoapprendimento che si adatta al volo? Ancora per lo più teoria, ma sta arrivando. E quando ciò accadrà, i trucchi attuali non saranno sufficienti.

Inoltre, questi sistemi commettono errori. I falsi positivi fanno male. Il software innocente viene bloccato. Le preoccupazioni sulla privacy aumentano. È necessario inviare dati di telemetria per mantenere il sistema intelligente, il che significa che i tuoi dati fluiscono da qualche parte. Ad alcuni utenti non piace questo compromesso.

Non essere l’anello più debole

Il tuo antivirus è migliore. Windows Defender e Xprotect di Apple ora sono effettivamente decenti. Le suite di terze parti offrono livelli aggiuntivi: gestori di password, VPN, controllo genitori. Ma attenzione alle cose gratuite. Gratuito spesso significa che i tuoi dati sono il prodotto, oppure annunci aggressivi vendono l’upselling.

Tuttavia, il software è solo metà dell’opera. Gli attacchi moderni prendono di mira tu. Phishing. Credenziali rubate. Pagine di accesso false. Se l’hacking avviene nel tuo browser prima che un file arrivi sul disco, l’antivirus è irrilevante.

Aggiorna il tuo sistema operativo. Usa le passkey. Se puoi, blocca il tuo credito.

Il codice diventa ogni giorno più intelligente. La domanda è: tu?