Come funziona un anti-malware

Il crimine informatico si è evoluto notevolmente in questi anni, la velocità con cui vengono sviluppati nuovi malware è elevata ed anche le tecniche di rilevamento devono essere costantemente aggiornate per garantire una certa efficacia.

Sugli endpoint si utilizzano due tecniche di rilevamento del malware: una basata su firma ed un’altra basata sull’analisi comportamentale.

La prima tecnica utilizzata per individuare un malware è l’analisi statica, meglio conosciuta come firma. Questa tecnica consiste nel riconoscere un file come malevolo per la sua corrispondenza ad un hash di file giudicatoidentity-theft-2708855_1920 in precedenza come malevolo, oppure individuare all’interno del file delle sequenze di istruzioni che riconducono ad una famiglia specifica di malware. Questa tecnica permette di rilevare il malware con un basso consumo di risorse hardware e con una certa sicurezza del verdetto generando un numero basso di falsi positivi (rilevamenti errati in cui un file non infetto viene giudicato infatto). Purtroppo l’efficacia è limitata a quei malware che sono già stati analizzati ed inseriti nel database delle firme. E’ sufficiente modificare leggermente, anche aggiungendo una semplice riga vuota nel codice, per rendere le firme differenti.

All’evoluzione dei malware è seguita l’evoluzione dei sistemi di individuazione e sono stati introdotti dei sistemi di analisi comportamentale (euristica) che esprimono un verdetto sulla base del comportamento tenuto dall’oggetto in analisi. Queste tecniche di analisi controllano il comportamento e lo confrontano con quello tenuto da oggetti non infetti e con oggetti infetti.

L’analisi comportamentale permette di dare un verdetto anche su campioni di malware mai analizzati prima, munder-the-hood-featureda non è possibile definire un verdetto preciso, ma solo una probabilità che l’oggetto analizzato sia un malware. Per verificare il comportamento è necessario creare un ambiente isolato all’interno dell’endpoint, in cui eseguire l’oggetto in analisi, con un consumo di risorse hardware.

Inoltre i malware più evoluti sono in grado di individuare delle caratteristiche delle sandbox usate per l’analisi comportamentale e potrebbero usare delle tecniche per confonderle e non essere riconosciuti come malware.

Inizia una prova gratuita senza limitazioni della soluzione Kaspersky Endpoint Security for Business oppure scrivi all’indirizzo rivenditori@questar.it o telefona allo 035-6666.399