Microsoft Defender ha raggiunto un ottimo livello di affidabilità come antivirus quindi ora l’azienda lo imposta di default come gestione completa/automaticamente sulle minacce rilevate nei computer aziendali.
Microsoft Defender per Endpoint ha dimostrato di essere molto più efficace di Windows Defender nel trattare i malware. Microsoft spiega come Defender sia sempre stato fornito con il livello di automazione predefinito impostato su “Semi”. Significa che il software ispezionerà automaticamente “file, processi, servizi, chiavi di registro e qualsiasi area che potrebbe contenere prove relative a minacce” e creerà azioni correttive per contenere la minaccia dannosa. Tuttavia, non eseguirà l’azione senza l’approvazione del team delle operazioni di sicurezza di una determinata organizzazione. Questa configurazione di default sarà ora “Completo”, il che significa che la minaccia dannosa verrà gestita automaticamente e senza approvazione. In questo modo, il malware può essere arrestato prima di causare ulteriori danni, il che porta a risparmiare tempo agli operatori della sicurezza.
Già da tempo l’antivirus (AV) Defender di Microsoft ha dimostrato di essere all’altezza di tutti gli altri antivirus presenti sul mercato, forse anche migliore per alcuni aspetti. Dal punto di vista economico, inoltre, essendo del tutto gratuito per i clienti business risulta di gran lunga la soluzione da adottare per le aziende come antivirus.
In affiancamento ad esso è poi opportuno inserire una soluzione zerotrust in grado di rilevare attacchi non-noti, evoluti, zero-day che un antivirus non riesce a rilevare. Infatti, CheckPoint ha pubblicato il risultato di un recente studio che prova che gli antivirus sono in grado di rilevare il 39% degli attacchi, in quanto gli altri non sono individuabili da tecnologie “signature” come i normali antivirus. La soluzione innovativa utilizzabile in affiancamento a Defender, come un ulteriore layer di sicurezza a completamente delle lacune di un AV è l’israeliana DECEPTIVE BYTES.
A differenza degli AV, la metodologia “deceptive” (metodologia dell’inganno) non cerca di riconoscere un “modello di attacco” noto ma osserva e riconosce “un attaccante” grazie alle diverse tecniche di evasione delle difese che ogni attaccante mette in campo. Oggi infatti in media ogni malware applica 10 tecniche di evasion tecniques. Quindi DECEPTIVE BYTES non rileva un attacco quando esso è già iniziato, ma rileva un attaccante già nella sua prima fase di ricognizione dell’ambiente da attaccare (fase recon) osservando se effettua tecniche di evasione delle difese. Di fatto opera come agente di contro-spionaggio rispetto ad una spia (malware). Successivamente DECEPTIVE BYTES opera in modo pro-attivo e preventivo su tutta la Kill-Chain (Cyber-Attack Chain) ingannando (da qui il nome della tecnologia) sia sull’ambiente che l’attaccante sta investigando, sia sui risultati che un tentativo d’attacco realmente raggiungono.