Perché Microsoft Defender è un antivirus meno abile nella scansione offline

È di questi giorni la pubblicazione di un report firmato AV-Comparatives che getta un’ombra su molti prodotti antimalware ritenuti ormai poco adeguati per effettuare scansioni offline.

Nel caso di Microsoft Defender abbiamo visto cos’è e come funziona la scansione offline spiegando anche come essa può essere richiamata al bisogno.

Nel caso della scansione offline non solo Microsoft Defender ma anche gli altri prodotti concorrenti lavorano utilizzando un approccio più tradizionale basato sulle firme virali e sull’analisi comportamentale. Alcuni comportamenti posti in essere dai file e dai processi in esecuzione sul sistema, cioè, possono essere la spia di un’attività malevola.

Nei test di AV-Comparatives Defender ha ottenuto una valutazione bassa per quanto riguarda il riconoscimento delle minacce usano esclusivamente la scansione online. Sono comunque molti gli antimalware che incassano una valutazione negativa. Perché?

Il motivo è dovuto al fatto che la stragrande maggioranza dei prodotti per la sicurezza si appoggia al cloud.
Le società sviluppatrici di antimalware che storicamente hanno investito di più sulle tecnologie di scansione basate sul cloud sono quelle che nelle prove di AV-Comparatives hanno ottenuto risultati meno incoraggianti in tema di scansione offline.

L'”intelligenza collettiva” derivante dal cloud permette di beneficiare del contributo degli altri dispositivi: le nuove minacce che appaiono su un numero limitato di device possono essere analizzate in tempo reale e utilizzate per bloccare proattivamente il medesimo tentativo di attacco su altri host, a livello mondiale.

Il fatto che i dispositivi, di qualunque tipologia, siano ormai always-connected permette di beneficiare di importanti vantaggi sfruttando proprio le informazioni in tempo reale che vengono gestite sui server dello sviluppatore della soluzione di sicurezza.

Digitando Sicurezza di Windows nella casella di ricerca, cliccando su Protezione da virus e minacce e infine su Gestisci impostazioni, è possibile verificare come Microsoft Defender attivi di default la Protezione fornita dal cloud.
Disattivando l’opzione Invio automatico file di esempio si può eventualmente negare a Defender l’autorizzazione di condividere file necessari per il miglioramento della protezione cloud. Nel caso in cui il file che viene ritenuto rilevante da parte di Defender per contribuire al miglioramento della protezione contenesse dati personali, l’utente viene allertato: questi può decidere se autorizzare o bloccare il trasferimento delle informazioni.

Quanto sono importanti oggi le performance di scansione in modalità offline? Francamente poco perché, come detto, i dispositivi sono ormai sempre connessi e anche se il pericolo arrivasse da una chiavetta USB malevola la protezione online offrirebbe una linea di difesa adeguata.

In un altro articolo abbiamo messo in evidenza le principali differenze tra i migliori antivirus a pagamento e gratuiti.
Come “seconda opinione” si può sempre usare l’ottimo Malwarebytes che diversamente rispetto ad altri prodotti, che si sostituiscono a Defender usando le API Microsoft, può essere utilizzato anche in contemporanea con l’antivirus preinstallato in Windows 10 e in Windows 11. Malwarebytes è un prodotto che viene fornito in prova: al termine del test si può comunque continuare a usare la scansione del sistema on-demand ovvero “su richiesta” per esaminare situazioni dubbie.