Esistono misure a livello di settore che identificano il tempo necessario per identificare, sviluppare e distribuire nuove firme di malware? Voglio capire per quanto tempo le organizzazioni sono normalmente esposte a nuovi malware prima che una firma sia disponibile per loro.
Le informazioni esatte su quanto tempo impiegano le organizzazioni per rilevare e pubblicare le firme sui loro prodotti AV sono di proprietà e strettamente sorvegliate dai vari fornitori di AV.
Ci sono un certo numero di indizi per la cornice temporale generale punteggiata però. Kim Zetters prenota Countdown to Zero Day, condotto una ricerca approfondita per raccontare la storia di stuxnet, nel libro che approfondisce il funzionamento dell'industria del malware. In un passaggio specifico su Symantec, afferma quanto segue;
"When the company first entered the antivirus business, it was considered a good response time to turn around a threat -from discovery to delivery of signatures- within a week. But Symantec aimed to reduce this to less than a day. To accomplish this the company needed analysts in multiple time zones to spot viruses in the wild when they first appeared and to get signatures out to customers in the US before they woke up and began clicking on malicious e-mail attachments."
Quindi Symantec e io presumiamo che i loro principali concorrenti sul mercato abbiano una svolta molto veloce, quando riescono a rilevare nuovi malware o nuovi ceppi di malware.
Nel 2010, che in termini tecnologici potrebbe anche essere una vita fa, c'erano alcune circostanze in cui almeno una settimana era ancora possibile che le firme fossero pubblicate su alcuni prodotti AV per malware noto.
Kaspersky Lab ha creato 10 file innocui e li ha segnalati agli aggregatori di malware VirusTotal che Kaspersky li considera come dannosi.
Secondo l'agenzia di stampa Reuters;
"Within a week and a half, all 10 files were declared dangerous by as many as 14 security companies that had blindly followed Kaspersky's lead, according to a media presentation given by senior Kaspersky analyst Magnus Kalkuhl in Moscow in January 2010."
Un'altra organizzazione ha ammesso di aver condotto un esperimento simile 3 anni fa, hanno anche citato una settimana fino a quando non sono state pubblicate le firme. Quindi non è cambiato molto dall'esperimento del 2010, il che suggerisce che le procedure e le pratiche di alcune aziende AV non cambiano molto nel tempo.
In base a ciò suggerirei che le firme AV dal rilevamento di malware alla pubblicazione di una firma potrebbero variare da 1 giorno a 1 settimana, a seconda del fornitore di AV. Ovviamente questo include molte ipotesi.
Leggi altre domande sui tag malware antivirus antimalware