Combatti gli Zero Day con DriveSentry

Chi si occupa di sicurezza o chi legge PillolHacking.Net sa che le vere minacce di Internet sono gli Zero Day. Scenario: avete l’antivirus installato, con gli ultimi aggiornamenti disponibili e dopo una scansione non viene rilevata la presenza di malware. Significa forse che il computer è sicuro? No. Significa che l’antivirus non ha rilevato minacce conosciute. Però potrebbero esserci virus appena usciti non ancora riconosciuti dagli antivirus.

Gli antivirus basano il loro funzionamento sul concetto di black-list. Vengono rilevate le firme dei file e confrontate con quelle della black-list. Se le firme coincidono vuol dire che è stato trovato un virus. La black-list vengono create nei laboratori di ricerca, dove vengono analizzati i virus.

A grandi linee si procede estrapolando una “firma” che permette di riconoscere il virus e la si aggiunge al database. Infine i produttori di antivirus distribuiscono gli aggiornamenti agli utenti. Naturalmente i virus che non sono ancora inseriti nella black-list hanno campo libero. Il tempo che intercorre tra l’apparizione di un virus e la sua rilevazione da parte degli antivirus espone gli utenti alla minaccia dell’infezione.

Una soluzione a questo problema tenta di fornirla DriveSentry. DriveSentry è un antivirus che offre un approccio diverso dagli antivirus convenzionali, dispiegando tre linee di difesa. Questo antivirus lavora controllando gli accessi ai file; inoltre è in grado di rilevare i dispositivi mobili (chiavi usb) e proteggerli.

Le tre linee di difesa di DriveSentry sono le seguenti:

Black-list:
La classica black-list, una collezione di firme dei malware attualmente conosciuti. Nulla di nuovo, si comporta come gli altri antivirus. Da notare comunque che la lista è abbastanza corposa, essendo composta da oltre 2 milioni di firme, in continua crescita.

While-list:
Questa è la lista delle applicazioni conosciute che possono legittimamente accedere alle risorse (disco, registro).

Advisor Community:
L’innovazione. Vengono raccolte informazioni in tempo reale dagli utenti. Questi dati vengono utilizzati come statistiche per capire come comportarsi di fronte a file sconosciuti, file che non appartengono allablack-list ma neppure alla white-list.

Queste sono le caratteristiche di DriveSentry. Segnalo anche che il prodotto è free, l’occupazione in memoria contenuta; inoltre  non mi sembra particolarmente intrusivo.
Affiancando DriveSentry ad un personal firewall e ad un antivirus convenzionale si accresce decisamente il grado di sicurezza del PC.
Chi volesse provarlo può scaricarlo dal sito http://www.drivesentry.com/.