Protezione Antivirus in Tempo Reale: Cos'è e Quando Usarla
La protezione in tempo reale dell’antivirus (on-access) è solo uno dei moduli che compongono le moderne suite di sicurezza ma è anche il più importante. Un antivirus può avere un ottimo scanner su richiesta o aggiornare velocemente le firme antivirali ma se la protezione in tempo reale è lenta o inefficace si perderà ogni vantaggio di avere un software del genere installato.
Con la protezione in tempo reale è possibile mettere al sicuro efficacemente ogni dispositivo in uso, senza dover rimanere costantemente vigili su ciò che si scarica e sulle pagine web aperte.
Nei capitoli che seguono è possibile scoprire come funziona un antivirus con protezione in tempo reale, quali minacce informatiche riesce a bloccare, cosa lo differenzia dagli altri moduli di sicurezza e come scegliere uno dei migliori antivirus.
Cos’è la protezione in tempo reale di un antivirus
La protezione in tempo reale è uno dei moduli principali di un antivirus installabile su PC, Mac o dispositivi mobile. Questo modulo fa parte della “triade di sicurezza” tipico di ogni software di sicurezza in commercio:
- modulo on-access: protegge il sistema in tempo reale, analizzando i file aperti, i file nuovi e i file modificati alla ricerca di minacce nascoste durante l’utilizzo del computer o dopo aver scaricato link e file;
- modulo on-demand: è il sistema di scansione su richiesta dei dischi interni, delle aree critiche del sistema o dell’intero computer; può essere attivato dall’utente oppure programmato tramite l’interfaccia dell’antivirus;
- sistema di aggiornamento: tiene aggiornate tutte le componenti del software, scarica le nuove definizioni dei virus e impedisce ai malware di disattivare la protezione senza il consenso dell’utente.
Accanto a questi è possibile trovare anche il modulo per la protezione euristica (per intercettare le nuove minacce non ancora identificabili tramite firme virus) e quello di protezione dai ransomware, specifici per bloccare queste minacce tra le più pericolose del web.
Per esempio l’antivirus con protezione in tempo reale Kaspersky, già dalla sua versione gratuita, dispone di un efficace modulo di protezione on-access affiancato da un modulo contro i ransomware molto efficaci, in grado di bloccare velocemente qualsiasi malware che osa modificare i file del dispositivo o attivarsi in auto-avvio.
Come funziona una antivirus in tempo reale
Un antivirus con protezione in tempo reale controlla tutte le azioni eseguite dall’utente, dal sistema operativo e dai programmi attivi in quel preciso momento. Rappresenta quindi una sorta di “guardiano” sempre attivo e vigile, che si piazza in memoria RAM e si avvia prima di molti altri file e processi di sistema.
Il modulo on-access può proteggere efficacemente il sistema operativo e i file dell’utente agendo sulle seguenti azioni:
- apertura file: ogni volta che viene aperto un file sul sistema esso viene analizzato e confrontato con le firme dei virus già noti, alla ricerca di frammenti di codice nocivi e di malware nascosti all’interno dei file innocui;
- modifica file: se un file viene modificato da un malware o da un programma sospetto il modulo interverrà bloccando la modifica, effettuando un controllo sul processo o sul file che ha richiamato questa modifica;
- creazione file: se viene creato un nuovo file esso viene analizzato, così come viene analizzato il processo o il file che ha creato il nuovo file, alla ricerca di minacce note o di nuovi virus appena scaricati dalla posta elettronica o dai link nocivi presenti sul web;
- apertura link: anche l’apertura dei link dalla posta elettronica può diventare bersaglio dell’analisi del modulo on-access, ma solo se l’antivirus è dotato di un modulo aggiuntivo per la salvaguardia dai link web.
Per esempio sul sito ufficiale di Kaspersky sono presenti i moduli Anti-Virus File (il modulo di protezione in tempo reale), Esplorazione protetta (in grado di analizzare tutti i link e i siti web visitati durante l’utilizzo del PC), Anti-virus posta (che analizza i file allegati presenti su Outlook in entrata e in uscita) e il sistema per prevenire attacchi di rete e per mostrare subito le impostazioni vulnerabili presenti sul computer.
Quali minacce rileva la protezione in tempo reale
La protezione in tempo reale protegge da tutte le minacce informatiche: virus e worm, trojan, ransomware, spyware, virus della tastiera o keylogger, cookie traccianti e cryptominer. Queste minacce possono nascondersi all’interno di file legittimi, di link e di allegati mail e, sempre più spesso, dentro una pagina web.
La protezione in tempo reale deve essere decisamente più reattiva rispetto a qualsiasi altro modulo presente all’interno dell’antivirus: un malware può attivarsi in pochissimi secondi, con un’interazione minima da parte dell’utente (apertura mail, apertura sito web o fine download di un file infetto).
La prima “barriera” dell’antivirus deve quindi riuscire a identificare correttamente ogni file o attività sospetta installandosi nella memoria RAM e agendo ad un livello più “elevato” rispetto agli altri processi, per controllare anche i file di sistema (i primi ad essere presi di mira da un moderno malware).
Differenza tra protezione in tempo reale e scansione on demand
La protezione in tempo reale di un antivirus e la scansione on-demand presentano caratteristiche comuni: entrambe utilizzano il database antivirale per identificare le minacce, presentano un sistema di scansione dei file e possono riconoscere anche i file che hanno già scansionato (per velocizzare le future scansioni).
A fare la differenza è dove operano a livello di sistema: il modulo di protezione on-access agisce nella memoria RAM e interagisce con tutti i file e i processi che entrano ed escono dalla memoria stessa, analizzando e bloccando ogni minaccia prima che possa infettare l’intero sistema operativo. Si caratterizza quindi dall’essere molto veloce e reattivo, avendo pochissimo tempo a disposizione per agire.
Il modulo di protezione on-demand è presente all’interno dell’antivirus e può essere attivato manualmente dall’utente oppure programmato (per avviare una scansione ad intervalli regolari). Questo scanner analizza ogni file presente sui device e può utilizzare anche moduli e funzioni “più lente” ma maggiormente efficaci nel rilevare anche le minacce più nascoste.
I due moduli quindi si completano a vicenda: servono entrambi per proteggere il dispositivo ma lo fanno con tempistiche diverse.
Antivirus free con protezione in tempo reale: conviene?
Un antivirus gratis con protezione in tempo reale generalmente ha un modulo molto elementare, spesso basato esclusivamente sulle firme antivirali. Un tale livello può essere utile su dispositivi poco utilizzati o destinati solo alla produzione di contenuti multimediali (video e audio), ma è decisamente inadeguato per l’utilizzo quotidiano (navigazione web, posta elettronica, social network etc.).
Come scegliere un antivirus con protezione in tempo reale
Per scegliere un buon antivirus con protezione in tempo reale è sufficiente tenere bene in mente i seguenti parametri, da analizzare attentamente confrontando le diverse soluzioni online:
- frequenza aggiornamenti: la presenza di un database antivirus aggiornato è di fondamentale importanza per poter bloccare tutte le minacce informatiche;
- impatto sulle prestazioni: un software di sicurezza deve essere leggero in memoria, per evitare di rallentare troppo il computer durante le attività più pesanti;
- analisi intelligente: un buon modulo di protezione in tempo reale riconosce i file che ha già scansionato recentemente e che non hanno subito modifiche (tramite controllo dell’hash); in questo caso i file non verranno analizzati, velocizzando l’accesso a quei file e in generale migliorando le prestazioni del software (minimizzando l’impatto sul sistema);
- blocco ransomware: i ransomware possono nascondersi ovunque e agire così velocemente da bloccare anche l’azione dell’antivirus. Un buon software quindi deve fornire contromisure efficaci nel modulo on-access, monitorando l’accesso alle cartelle sensibili e impedendo così di cifrare e bloccare l’accesso ai file;
- pulizia automatica: un ottimo antivirus può pulire automaticamente le principali minacce, richiedendo pochissime azioni all’utente (che, nella maggior parte dei casi, non sa come muoversi in autonomia);
- modalità non disturbare: durante una videoconferenza o durante l’esecuzione di un programma a schermo intero l’antivirus pulisce automaticamente e non mostra notifiche visibili, proteggendo i dispositivi in maniera “invisibile”.
Tutte queste caratteristiche sono disponibili in un prodotto completo come Kaspersky (recensione completa), in grado di fornire da subito una protezione in tempo reale completa ed efficace contro qualsiasi minaccia.
Possibili problemi della protezione in tempo reale dell’antivirus
Dal momento che un antivirus con protezione in tempo reale è reattivo può bloccare anche file, programmi o processi totalmente innocui, magari perché agiscono su file o su porzioni di disco su cui normalmente accedono solo i malware.
In questo caso di parla di falsi positivi ed è probabilmente il difetto più grande che accompagna praticamente qualsiasi software di sicurezza. L’eccesso di prudenza non è mai troppo (meglio qualche file bloccato in più che un modulo on-access “colabrodo”) ma esistono sicuramente degli scenari in cui è consigliabile disattivare la protezione in tempo reale, anche solo per pochi minuti.
Quando disattivare la protezione in tempo reale
In alcuni scenari specifici, che spesso coinvolgono solo gli utenti più esperti, può essere utile disattivare la protezione in tempo reale dell’antivirus.
Chi scarica molti file da Internet può disattivare la funzione per aprire un file scaricato da un server aziendale sicuro (a sua volta scansionato da un antivirus aziendale) oppure necessita di provare nuovi programmi o nuove app appena sviluppate: l’interferenza del software in questo caso può compromettere il lavoro di uno sviluppatore.
Nel dubbio conviene non disattivare la protezione in tempo reale quando si scaricano file sconosciuti da Internet, dai canali P2P o da altre fonti poco raccomandabili: nella maggior parte dei casi nascondono sempre dei virus e il rischio di infettare il sistema è davvero molto elevato.
Come disattivare la protezione in tempo reale
Per disattivare la protezione in tempo reale di un qualsiasi antivirus è necessario premere sull’icona o sul nome del programma, identificare la sezione o il menu dove si configura questo tipo di funzione e scegliere di disattivarla temporaneamente.
L’antivirus non consentirà questa modifica con facilità, mostrando avvisi e avvertimenti; per proteggere l’utente il software si prenderà anche la briga di riattivarlo automaticamente dopo un po’.
Su Kaspersky è possibile disattivare il modulo premendo con il tasto destro sull’icona in basso a destra (nella barra di sistema) e premendo su Sospendi la protezione, scegliendo il periodo in cui applicare questa sospensione.
In alternativa è possibile anche aprire il programma, premere di lato su Sicurezza, cliccare su Anti-virus File e disattivare l’interruttore accanto alla voce presente nella parte superiore della finestra.
Conclusione
La protezione in tempo reale è un elemento da non sottovalutare durante la scelta di un antivirus, visto che rappresenta la prima barriera decisiva per evitare un’infezione in grado di bloccare completamente un dispositivo.
Ad oggi tutti gli antivirus hanno protezione in tempo reale ma solo pochi possono vantare un livello di sicurezza così elevato da poter tranquillamente ignorare la presenza del software stesso; tra i migliori spicca Kaspersky, che può essere provato in versione totalmente gratuita (con limitazioni) e un versione free trial della versione a pagamento (30 giorni di prova senza impegno, con tutte le funzioni attive).