Kaspersky Security Network: la protezione dalle… nuvole

26 Ago 2013

Updated: Gli attuali principi per l’ elaborazione dei dati degli utenti da parte delle soluzioni di sicurezza di Kaspersky Lab possono essere consultati qui.

In base ai dati di Kaspersky Lab, emergono ogni giorno più di 200.000 campioni malware. Questo significa che ogni secondo appaiono circa 2-3 oggetti malware: nemmeno un armata di analisti specializzati potrebbe gestire tale invasione – sopratutto se processati con metodi tradizionali. Ecco perché Kaspersky Lab ha creato un nuovo approccio: invece di assumere più personale, abbiamo creato un centro di trattamento delle informazioni basata sul cloud, nonché rete antivirale, chiamata Kaspersky Security Network. Questa potente tecnologia è in grado di  individuare velocemente le nuove minacce della rete e proteggere ogni computer connesso a KSN. Questo aiuta a prevenire le epidemie e bloccare le fonti di infezioni in pochi minuti.

KSN

Kaspersky Security Network si occupa di diversi compiti importanti: monitoraggio globale delle attività sospette nei computer degli utenti, invio istantaneo dei dati (niente di confidenziale!) ai server di Kaspersky Lab, analisi delle informazioni ottenute, blocco dei file pericolosi o, al contrario, annessione alla whitelist. Per usare questo servizio basato sul cloud, l’utente deve avere installato un prodotto Kaspersky Lab, per esempio, Kaspersky Internet Security e dare il suo consenso alla partecipazione a KSN.  La ricompensa per la partecipazione arriva quasi immediatamente: tutti i computer connessi a KSN ricevono informazioni sulle minacce in meno di un minuto dopo la prima rilevazione.

Come lavora Kaspersky Security Network?

  • Le informazioni circa le attività sospette vengono inviate dal computer dell’utente al cloud di KSN. Non raccogliamo file, solo le informazioni sui file: quali sono i file che cercano di realizzare operazioni pericolose, quali sono le fonti di tali file, quali sono le applicazioni che vengono lanciate, ecc.
  • Non è sempre facile decidere se decidere se un file è dannoso oppure no basando il verdetto sui dati di un computer solo. La questione cambia radicalmente quando è possibile analizzare il comportamento dell’applicazione su di un grande numero di computer e compararlo con i data base di milioni di file e applicazioni legittime. Usando questi dati, KSN riesce a dare un giudizio preliminare rappresentativo circa i file sospetti.
  • Se il comportamento di un file appare pericoloso, KSN lo aggiunge immediatamente al data base UDS (Urgent Detection System), immediatamente disponibile a tutti gli utenti. Se così on fosse, il file verrà annesso alla whitelist.
  • Se altri utenti lanciano questo file pericoloso, Kaspersky Anti-Virus controllerà sul suo computer il file usando il data base cloud di UDS e lo bloccherà immediatamente.
  • I nostri esperti controllano i file e li elencano come pericolosi. Per ogni file, determinano il livello della minaccia, gli assegnano una descrizione e lo caricano nel data base antivirale classico. Questo processo può durare molto tempo, fino a diverse ore, ma gli utenti connessi a KSN saranno protetti durante questo periodo perché questo file è già elencato nel data base UDS.
  • Le informazioni circa i file bloccati e pericolosi vengono aggiornate nel data base e inviate a tutti gli utenti, incluso quelli che non sono connessi a KSN.

La principale caratteristica di questa soluzione antivirus basata su cloud è la duplice connessione tra l’utente e il laboratorio antivirus. Nei metodi tradizionali, sono necessarie alcune ore per reagire ad un nuovo malware – e prima di tutto bisogna venire a conoscenza della sua nascita. Tuttavia, nei sistemi moderni, è un tempo troppo lungo. Per quanto riguarda KSN, il primo sistema, che trova nuove minacce, comunicherà direttamente con il laboratorio e offrirà i dati necessari per l’analisi. Tuttavia, questa tecnologia  non solo individua nuove minacce, ma è anche in grado di individuare la fonte (in genere, un sito pericoloso) e di bloccarla.

Ma c’è dell’altro. Grazie alle informazioni acquisiste, ogni file acquista immediatamente una “reputazione”, che può essere controllata con i  prodotti Kaspersky Lab. In base alla popolarità del file, è possibile decidere se fidarsi di lui. Questo può essere utile nel momento in cui si deve decidere se lanciare un file oppure no. Per esempio, alcune applicazioni come Opera o Flash Player sono ampiamente popolari. Se hai un file che si chiama “Flash Update” ed è stato scaricato solo migliaia di volte, e non milioni, è facile dedurre che si tratta di un falso.