Home > Informatica > Antivirus “next-gen”: Virustotal non è sempre un buon indicatore del tasso di rilevamento di malware

Antivirus “next-gen”: Virustotal non è sempre un buon indicatore del tasso di rilevamento di malware

articolo pubblicato da: SABMCS | segnala un abuso

Antivirus “next-gen”: Virustotal non è sempre un buon indicatore del tasso di rilevamento di malware

Le soluzioni antivirus di nuova generazione non funzionano più solo con le signature anti-malware bensì si avvalgono di tecnologie di rilevamento euristiche non misurabili con Virustotal.

Virustotal è stato per anni uno strumento affidabile per chiunque abbia a che fare con i malware a livello professionale. La piattaforma consente di caricare rapidamente un file o utilizzare un valore hash per verificare se i motori di scansione degli antivirus già rilevano i malware più attuali. Allo stesso modo, Virustotal viene anche utilizzato dai media per verificare se esiste una protezione antivirus efficace contro eventuali campagne malware in circolazione.

Tuttavia, e soprattutto quando ci si confronta con attacchi repentini e di breve durata, il servizio presenta spesso un quadro inesatto: nei primi giorni della diffusione di nuovi software dannosi - come nel caso della campagna ransomware ai danni dei dipartimenti delle risorse umane con GandCrab - il malware viene rilevato dai programmi antivirus della maggior parte delle società di sicurezza attraverso tecnologie di rilevamento euristico e tramite confronto dei valori hash dei file con i servizi cloud dei rispettivi produttori. Virustotal mostra però solo il "classico" riconoscimento dei malware, basato sulle firme. Detto questo, "Virus Total è un buon indicatore generale del tasso di rilevamento dei malware, ma è inadatto a determinare se un malware in circolazione proprio in questo momento sia identificato o meno”, afferma Ralf Benzmüller, Executive Speaker dei G DATA Security Labs.

Mentre quindi la panoramica Virustotal – prendendo ad esempio la campagna GandCrab - indicava anche che solo pochi produttori erano in grado di riconoscere i campioni forniti come dannosi, G DATA e certamente altri produttori sono stati in grado di prevenire con successo le infezioni. "Grazie alla nostra tecnologia Filecloud e ad altre tecnologie NGAV (next generation Antivirus), rispondiamo rapidamente alle nuove campagne malware. In alcuni dei casi più recenti ad esempio abbiamo bloccato l'11,6% dei tentativi di infezione solo con questi strumenti", afferma Thomas Siebert, responsabile delle tecnologie di protezione di G DATA.

Software antivirus: da tempo più che solo semplici signature

L'industria antivirus ha vissuto un’enorme evoluzione negli ultimi 20 anni. Poiché i campioni di malware vengono modificati a ritmi sempre più serrati per evitarne il rilevamento, quasi tutti i produttori si affidano a componenti antivirus di prossima generazione. “Noi impieghiamo il Filecloud precedentemente menzionato per bloccare eventuali campioni sospetti molto più velocemente che tramite meri aggiornamenti delle firme, ma Filecloud è solo una parte del nostro sistema di apprendimento automatico” commenta Siebert. Ne fa parte anche la tecnologia anti-ransomware sviluppata da G DATA, che protegge gli utenti in modo affidabile contro la cifratura del disco rigido. Per l’utenza privata, questo componente è attivato di fabbrica, i clienti aziendali invece ne possono beneficiare – se lo desiderano – attivando manualmente la funzione inclusa nelle suite Business G DATA. “Una scelta che non possiamo che raccomandare”, conclude Siebert.

Questa tecnologia monitora in background se vengono attivati comandi sospetti come una cifratura di massa dei file senza alcun ordine preciso da parte dell’utente. "Oltre ad essere un ottimo strumento per la protezione degli utenti, la tecnologia anti-ransomware rappresenta per noi un sistema di allarme precoce", afferma Sana. “Ci consente infatti di bloccare a priori eventuali azioni di danneggiamento da parte di software non riconosciuti e di guadagnare tempo per condurre le analisi necessarie a fornire un'ampia protezione per tutti gli utenti."

Rilevamento euristico del malware

Anche il G DATA Behavior Blocker - ovvero la difesa contro il malware basata sul comportamento dello stesso - rientra nell'area delle tecnologie di prossima generazione. Qui, azioni sospette possono essere bloccate in base a indicatori specifici. Questo tipo di rilevamento euristico dei malware identifica la creazione non autorizzata di nuove voci di avvio automatico o l’alterazione sospetta di stringhe nel registro di sistema di Windows, la moltiplicazione di file .exe o .dll nella directory system32 o la modifica dei file di host. Un processo con cui in passato, ad esempio, venivano eseguiti attacchi ai servizi di online banking. Quando alcuni di questi comportamenti si palesano, si innesca il rilevamento.

"Per assicurare la massima capacità di rilevamento, i G DATA SecurityLabs elaborano diverse centinaia di migliaia di campioni al giorno, inclusa l'esecuzione automatica dei campioni tramite un ampio cluster di sistemi di analisi ("sandbox"). Le caratteristiche rilevate sono archiviate sotto forma di svariati milioni di nuovi nodi e connessioni tra i nodi in una enorme banca dati grafica", spiega Siebert. In questo modo è possibile determinare quali caratteristiche in quale combinazione e ponderazione danno luogo all’identificazione del malware. Un’attività a cui contribuiscono anche i processi di apprendimento automatico.

In tal senso, gli utenti privati come aziendali che fruiscono di soluzioni antivirus di nuova generazione, possono sentirsi ben protetti anche contro nuove famiglie di malware, a dispetto di quanto può essere segnalato in primo acchito su Virustotal.

Antivirus next-gen | Filecloud | G DATA Security Labs | GandCrab malware | NGAV | ransomware | Sicurezza informatica | Virustotal |



Commenta l'articolo

 

Potrebbe anche interessarti

NASCE REFPLACE, L'UNICO PORTALE PROFESSIONALE AL MONDO CHE VALORIZZA IL PROFILO DEI CANDIDATI ATTRAVERSO REALI REFERENZE


Poltrone himolla, il design non è mai stato così comodo


Acronis annuncia la partnership con VirusTotal di Google


REFPLACE.COM: I POTENZIALI PROFILI PROFESSIONALI PRESENTI NEL MERCATO LAVORO VALORIZZABILI E VALUTABILI CON UN SEMPLICE CLICK


Come attivare il Motion Detection nelle teecamere Foscam


 

Se ritieni meritevole il nostro lavoro fai una donazione


Stesso autore

Snom presenta moderno terminale IP di base con display a colori e sensore di luminosità: il D717

Snom presenta moderno terminale IP di base con display a colori e sensore di luminosità: il D717
 Snom, pioniere e produttore tedesco leader di telefoni IP per l’uso professionale annuncia la disponibilità del suo nuovo D717, il modello “entry level” della serie premium di terminali IP da scrivania D7xx. A dispetto della qualifica di modello di base, lo Snom D717 é paperless, poichè dotato di tasti funzione digitali e di un display a colori, risulta (continua)

Tre scenari d’impiego delle moderne soluzioni per teleconferenze

Tre scenari d’impiego delle moderne soluzioni per teleconferenze
 Snom, produttore internazionale di telefoni IP premium per aziende e professionisti illustra come soluzioni per teleconferenze non invasive nè impattanti sul budget IT consentano di incrementare la produttività di qualsiasi organizzazione, dalle start-up alle PMI, fino alle grandi aziende, grazie alla loro fruibilità nei più diversi scenari d’uso.   S (continua)

Infrastruttura IT ombra: una vera sfida per il reparto IT

Infrastruttura IT ombra: una vera sfida per il reparto IT
 Nelle aziende, i responsabili dell’infrastruttura IT sono solitamente in prima linea quando si tratta di misurare l'impatto di eventuali variazioni del modo di operare dei dipendenti. Nonostante l’assiduo monitoraggio, negli ultimi anni sono emerse nuove pratiche non sicure tra cui la "Shadow IT", ovvero l'uso di applicazioni e servizi, spesso basati su cloud, parallela (continua)

Snom affida a Fabio Albanini la guida dei mercati internazionali

Snom affida a Fabio Albanini la guida dei mercati internazionali
 Il noto produttore tedesco di terminali IP premium conferisce al navigato Manager la leadership sull’intera compagine commerciale EMEA. Obiettivo: armonizzazione e crescita.   Snom Technology affida con decorrenza immediata a Fabio Albanini, attuale Managing Director di Snom Italia e già incaricato di guidare cinque tra i mercati internazionali più rilevanti per il (continua)

Per Stormshield un 2018 in forte accelerazione

Per Stormshield un 2018 in forte accelerazione
 Stormshield, attore europeo di riferimento nel mondo della cybersecurity e azienda di proprietà del gruppo Airbus condivide i risultati del 2018, che ha visto l’azienda incrementare i propri fatturati di oltre il 20% grazie al netto aumento delle proprie vendite in Francia come in Europa. Il produttore pure-play di software per la sicurezza informatica ha altresì consolid (continua)