La parte anti-virus del software che ha lo scopo di proteggere un endpoint è ancora molto efficace, ma è solo una parte della soluzione. La componente antivirus di una buona soluzione di protezione degli endpoint blocca tutto ciò che corrisponde a una firma. Il vantaggio è il rilevamento rapido e la prevenzione di tutto il malware conosciuto. Da solo, è inefficace, ci sono troppe nuove minacce che senza altri componenti sarete compromessi. Le firme basate sulla rete sono molto veloci, per noi velocità di linea, e bloccano le minacce conosciute a livello di rete. Questo si aggiunge alla protezione in totale bloccando oltre il 70% di tutte le minacce che raggiungono un endpoint.
Per le altre minacce è necessaria una tecnologia più sofisticata. L'euristica guarda come un file interagisce con il sistema e quando una certa soglia viene raggiunta, quel file viene bloccato e, possibilmente, rimosso. Permette il rilevamento di minacce precedentemente sconosciute.
Poi avete il punteggio di reputazione. Non posso parlare per altri fornitori, ma per @symantec, abbiamo valutato miliardi o più di file e li abbiamo valutati in base a più criteri, centinaia in effetti, e in base a questi criteri determiniamo se un file è buono o cattivo. In base a questi criteri, il file viene bloccato o autorizzato a procedere. È molto efficace ed è stato in giro per anni.
Quando si implementano tutte queste tecnologie insieme si ha una migliore possibilità di fermare il malware, ma l'anti-virus da solo è una cattiva idea.