Bastano alcune semplici accortezze per operare il corretto posizionamento di una soluzione antivirus distribuita e bloccare i virus più diffusi. Ecco qualche suggerimento per rendere più efficace la protezione aziendale.
In questo momento storico si sta vivendo in maniera diretta il fenomeno del
cosiddetto mass mailing, cioè della diffusione di worm anche non
direttamente distruttivi dal punto di vista logico, ma che generano comunque
problematiche di tipo Denial of Service. Il motivo per cui il mass
mailing (che in letteratura viene definito con il suffisso @mm) è in continua
espansione è che le contromisure adottate in certi ambienti non sono
successivamente granulari.
In uno scenario aziendale, infatti, la tendenza
consulenziale di Architecture Engineering suggerisce di:
1. Distribuire la protezione antivirus con un punto perimetrale, operante a
livello firewall, e in grado di interagire con quest’ultimo per analizzare tutto
il traffico inbound verso la rete locale. A tal proposito, alcune
soluzioni prevedono l’analisi anche del traffico di tipo outbound cioè
in partenza dalla Lan diretto verso l’esterno. Questo perché molto spesso alcuni
worm vengono introdotti nella rete dalle postazioni a mezzo floppy disk o altri
media non direttamente collegati in rete;
2. Pianificare una protezione a livello di stazione di lavoro. Partendo dal
principio evidenziato nel punto 1, appare evidente l’esigenza di dover
proteggere anche le singole workstation dalle possibili infezioni. In questa
maniera si potrà implementare un numero maggiore di strati di protezione anti
malicious code.
Le caratteristiche che la soluzione implementata dovrà avere saranno
principalmente tre. La prima concernerà la possibilità data all’amministratore
di sistema di stabilire policy centralizzate di distribuzione degli
aggiornamenti del prodotto. Questo è un fattore di grande importanza, in quanto
la totalità del malicious code approfitta per diffondersi dell’obsolescenza
dell’antivirus, che genera il mancato riconoscimento e l’inizio
dell’infezione.
La seconda feature che il prodotto dovrà avere consisterà nel
poter controllare eventuali tentativi di violazione commessi dall’utente nel
campo della riconfigurazione del proprio workstation antivirus. Molto spesso,
infatti, un utente (più o meno rientrante nella categoria dei power
user) può avere interesse a modificare la configurazione del prodotto per
vari motivi, come, per esempio, l’adozione di Macro di Word non autorizzate.
Questo comportamento è sicuramente dannoso in quanto, se si vede per esempio il
recente problema segnalato sulle macro di Word anche su documenti Rtf,
l’attività dei word processor deve essere sempre vincolata a parametri di
utilizzo ben precisi.
Last but not least, la componente di script
checking. Si tratta di un modulo che deve essere in grado di controllare
gli allegati alla posta elettronica (per esempio quelli contenenti più o meno
celate forme di Vbs) e di inibirne l’esecuzione senza un esplicito warning. In
attesa che le aziende inseriscano definitivamente nel proprio ciclo biologico It
Outlook 2002 (che dovrebbe risolvere gran parte di questi problemi), è
conveniente operare con un prodotto che effettui anche quel tipo di analisi.
