Home > Informatica > Antivirus “next-gen”: Virustotal non è sempre un buon indicatore del tasso di rilevamento di malware

Antivirus “next-gen”: Virustotal non è sempre un buon indicatore del tasso di rilevamento di malware

Antivirus “next-gen”: Virustotal non è sempre un buon indicatore del tasso di rilevamento di malware

Le soluzioni antivirus di nuova generazione non funzionano più solo con le signature anti-malware bensì si avvalgono di tecnologie di rilevamento euristiche non misurabili con Virustotal.

Virustotal è stato per anni uno strumento affidabile per chiunque abbia a che fare con i malware a livello professionale. La piattaforma consente di caricare rapidamente un file o utilizzare un valore hash per verificare se i motori di scansione degli antivirus già rilevano i malware più attuali. Allo stesso modo, Virustotal viene anche utilizzato dai media per verificare se esiste una protezione antivirus efficace contro eventuali campagne malware in circolazione.

Tuttavia, e soprattutto quando ci si confronta con attacchi repentini e di breve durata, il servizio presenta spesso un quadro inesatto: nei primi giorni della diffusione di nuovi software dannosi - come nel caso della campagna ransomware ai danni dei dipartimenti delle risorse umane con GandCrab - il malware viene rilevato dai programmi antivirus della maggior parte delle società di sicurezza attraverso tecnologie di rilevamento euristico e tramite confronto dei valori hash dei file con i servizi cloud dei rispettivi produttori. Virustotal mostra però solo il "classico" riconoscimento dei malware, basato sulle firme. Detto questo, "Virus Total è un buon indicatore generale del tasso di rilevamento dei malware, ma è inadatto a determinare se un malware in circolazione proprio in questo momento sia identificato o meno”, afferma Ralf Benzmüller, Executive Speaker dei G DATA Security Labs.

Mentre quindi la panoramica Virustotal – prendendo ad esempio la campagna GandCrab - indicava anche che solo pochi produttori erano in grado di riconoscere i campioni forniti come dannosi, G DATA e certamente altri produttori sono stati in grado di prevenire con successo le infezioni. "Grazie alla nostra tecnologia Filecloud e ad altre tecnologie NGAV (next generation Antivirus), rispondiamo rapidamente alle nuove campagne malware. In alcuni dei casi più recenti ad esempio abbiamo bloccato l'11,6% dei tentativi di infezione solo con questi strumenti", afferma Thomas Siebert, responsabile delle tecnologie di protezione di G DATA.

Software antivirus: da tempo più che solo semplici signature

L'industria antivirus ha vissuto un’enorme evoluzione negli ultimi 20 anni. Poiché i campioni di malware vengono modificati a ritmi sempre più serrati per evitarne il rilevamento, quasi tutti i produttori si affidano a componenti antivirus di prossima generazione. “Noi impieghiamo il Filecloud precedentemente menzionato per bloccare eventuali campioni sospetti molto più velocemente che tramite meri aggiornamenti delle firme, ma Filecloud è solo una parte del nostro sistema di apprendimento automatico” commenta Siebert. Ne fa parte anche la tecnologia anti-ransomware sviluppata da G DATA, che protegge gli utenti in modo affidabile contro la cifratura del disco rigido. Per l’utenza privata, questo componente è attivato di fabbrica, i clienti aziendali invece ne possono beneficiare – se lo desiderano – attivando manualmente la funzione inclusa nelle suite Business G DATA. “Una scelta che non possiamo che raccomandare”, conclude Siebert.

Questa tecnologia monitora in background se vengono attivati comandi sospetti come una cifratura di massa dei file senza alcun ordine preciso da parte dell’utente. "Oltre ad essere un ottimo strumento per la protezione degli utenti, la tecnologia anti-ransomware rappresenta per noi un sistema di allarme precoce", afferma Sana. “Ci consente infatti di bloccare a priori eventuali azioni di danneggiamento da parte di software non riconosciuti e di guadagnare tempo per condurre le analisi necessarie a fornire un'ampia protezione per tutti gli utenti."

Rilevamento euristico del malware

Anche il G DATA Behavior Blocker - ovvero la difesa contro il malware basata sul comportamento dello stesso - rientra nell'area delle tecnologie di prossima generazione. Qui, azioni sospette possono essere bloccate in base a indicatori specifici. Questo tipo di rilevamento euristico dei malware identifica la creazione non autorizzata di nuove voci di avvio automatico o l’alterazione sospetta di stringhe nel registro di sistema di Windows, la moltiplicazione di file .exe o .dll nella directory system32 o la modifica dei file di host. Un processo con cui in passato, ad esempio, venivano eseguiti attacchi ai servizi di online banking. Quando alcuni di questi comportamenti si palesano, si innesca il rilevamento.

"Per assicurare la massima capacità di rilevamento, i G DATA SecurityLabs elaborano diverse centinaia di migliaia di campioni al giorno, inclusa l'esecuzione automatica dei campioni tramite un ampio cluster di sistemi di analisi ("sandbox"). Le caratteristiche rilevate sono archiviate sotto forma di svariati milioni di nuovi nodi e connessioni tra i nodi in una enorme banca dati grafica", spiega Siebert. In questo modo è possibile determinare quali caratteristiche in quale combinazione e ponderazione danno luogo all’identificazione del malware. Un’attività a cui contribuiscono anche i processi di apprendimento automatico.

In tal senso, gli utenti privati come aziendali che fruiscono di soluzioni antivirus di nuova generazione, possono sentirsi ben protetti anche contro nuove famiglie di malware, a dispetto di quanto può essere segnalato in primo acchito su Virustotal.

Antivirus next-gen | Filecloud | G DATA Security Labs | GandCrab malware | NGAV | ransomware | Sicurezza informatica | Virustotal |



Commenta l'articolo

 

Potrebbe anche interessarti

NASCE REFPLACE, L'UNICO PORTALE PROFESSIONALE AL MONDO CHE VALORIZZA IL PROFILO DEI CANDIDATI ATTRAVERSO REALI REFERENZE


Poltrone himolla, il design non è mai stato così comodo


Acronis annuncia la partnership con VirusTotal di Google


REFPLACE.COM: I POTENZIALI PROFILI PROFESSIONALI PRESENTI NEL MERCATO LAVORO VALORIZZABILI E VALUTABILI CON UN SEMPLICE CLICK


Come attivare il Motion Detection nelle teecamere Foscam


Come attivare il Motion Detection nelle teecamere Foscam


 

Se ritieni meritevole il nostro lavoro fai una donazione


Ieri...

Stesso autore

Al via la nuova EVA per la cybersecurity firmata Stormshield

Al via la nuova EVA per la cybersecurity firmata Stormshield
 Con la nuova linea di soluzioni per la sicurezza IT virtualizzate il produttore offre sostegno concreto ai reparti IT incaricati di ottimizzare i costi operativi dell’infrastruttura cloud attraverso una gestione più appropriata delle risorse.   Con la nuova gamma di firewall UTM/IPS modulari e ad alte prestazioni SN2100, SN3100 e SN6100 per la tutela proattiva delle reti (continua)

Orange si unisce alla ULE Alliance

Orange si unisce alla ULE Alliance
Orange entra a far parte della ULE Alliance e opta per la tecnologia ULE per la propria proposta di dispositivi per la casa interconnessa.   In occasione del DECT Forum annuale e dell'incontro dei membri della ULE Alliance a Norimberga, Orange ha annunciato il suo ingresso nella ULE Alliance. Questa decisione segue l'intenzione formulata dal Gruppo di focalizzarsi sull'impiego della tecnolo (continua)

Fiducia: una parola dalle mille implicazioni nel mondo della cybersecurity

Fiducia: una parola dalle mille implicazioni nel mondo della cybersecurity
L’opinione dell’esperto – Matthieu Bonenfant – CMO Stormshield La questione della fiducia è oggi al centro di numerosi dibattiti nel settore della sicurezza informatica e assume una dimensione strategica, poiché foriera di costanti questioni irrisolte anche lato tensioni geopolitiche, fortemente percettibili nel 2018, che hanno avuto numerose ripercussioni ne (continua)

Snom e TELES: una partnership tecnologica tutta europea

Snom e TELES: una partnership tecnologica tutta europea
Snom, pioniere tedesco del VoIP e produttore leader di telefoni IP per aziende, e TELES, sviluppatore di piattaforme UCaaS (Unified Communications as a Service) leader a livello europeo, hanno avviato una nuova partnership tecnologica. Alla base della collaborazione vi è l'obiettivo congiunto delle due aziende di assicurare l'interoperabilità e l'integrazione delle proprie soluzioni (continua)

Apple e il mito dell'ecosistema inespugnabile

Apple e il mito dell'ecosistema inespugnabile
Con il suo ecosistema blindato e una strategia di comunicazione orchestrata ad arte, Apple alimenta la propria reputazione di fortezza inespugnabile. Tuttavia, quando si tratta di cybersecurity, nessuno è invulnerabile.     “Ciò che fai col tuo iPhone rimane nel tuo iPhone”. Numerosi i visitatori del CES imbattutisi in questo messaggio, presentato a caratteri (continua)