Ultimamente, ho letto diversi articoli sul software anti-malware e una cosa mi ha catturato l'attenzione: la capacità di rilevare attacchi zero-day.
In breve: in che modo l'industria anti-malware / anti-virus mette alla prova il proprio software contro le minacce zero-day? Come può qualcuno affermare che AV X protegge il sistema dal 93% dei virus zero-day?
Prima di tutto, praticamente tutte le compagnie AV hanno diverse "trappole" o "honeypot". Una trappola per mosche è una rete di computer desktop con accesso a Internet e protezione zero che esiste per "catturare" il malware. I bot-script sui computer eseguono la scansione del Web alla ricerca di siti rischiosi e infrangono tutte le regole per la navigazione sicura che vengono eseguite su di noi persone normali. Di conseguenza, diventano praticamente capsule di Petri per i virus informatici.
Queste trappole per voli servono a due scopi preziosi per gli esperti di sicurezza; in primo luogo, queste scatole catturano nuovi malware che potrebbero non essere mai stati visti prima, dando agli esperti la consapevolezza che esiste una minaccia zero-day. Secondo, una volta che hanno isolato qualcosa di nuovo, possono introdurlo in una trappola per mosche "completamente pulita" completamente isolata con un sacco di strumenti di monitoraggio, e guardarlo fare le sue cose; vedere come si replica, quali protocolli e porte utilizza, quali file modifica, quali effetti dannosi può avere; generalmente, tutto ciò che devono sapere per essere in grado di proteggere gli abbonati AV da questa nuova minaccia. Possono anche introdurlo in un computer protetto dal loro software AV e vedere come funziona; tutto ciò che fa il virus che l'AV non cattura e impedisce può essere cercato in modo specifico modificando i file di definizione dei virus oi loro algoritmi euristici per aggiungere questa minaccia conosciuta.
Inoltre, gli esperti AV hanno lavorato per anni. Decenni anche. Nonostante le notizie che riportano worm come Confickr, Storm, Stuxnet ecc, questi sono i due o tre all'anno che sono notevoli; migliaia di nuovi virus all'anno non dichiarati, perché in realtà sono solo un rifacimento di qualcosa che gli AV già conoscevano. Come ha detto Techbrunch, la maggior parte degli AV ha un algoritmo di rilevamento euristico stratificato in cima alla ricerca di specifici virus noti. Ci sono aree di un computer che sono obiettivi ovvi (kernel, driver di dispositivo, adattatore di rete, hook di I / O) e ci sono modi ben noti per provare a raggiungerli. Gli algoritmi AV eseguono continuamente la scansione di un sistema protetto alla ricerca di queste bandiere rosse generali. Quelle migliaia di virus nuovi ma non originali colpiscono il rilevamento euristico, l'AV interroga la fonte, raccoglie informazioni, mette in quarantena tutto ciò che potrebbe essere stato maltrattato e chiama a casa per segnalare questo nuovo potenziale malware. Questo algoritmo euristico trasforma fondamentalmente ogni computer protetto AV nel mondo in un'enorme trappola per volare per la società che scrive l'AV; quale modo migliore per vedere ciò che deve essere difeso piuttosto che vedere le infezioni che accadono nel mondo reale?
Leggi altre domande sui tag zero-day antivirus antimalware