AVZ: analisi euristiche senza falsi positivi per combattere le future minacce

Come si possono individuare e distruggere TUTTE le minacce nascoste nella giungla silenziosa di ogni computer?

In particolare, parliamo di tutte quelle minacce che non si sono mai viste prima, che spesso sono estremamente sofisticate (e promosse anche dai governi).

La risposta è semplice: non è possibile.

Beh, qualcosa si può fare ma per trovare quel famoso ago nel pagliaio ci vogliono tantissimi esperti a disposizione capaci di analizzare i dati manualmente ed è un costo eccessivo da affrontare. Si può optare per un’analisi automatica alla base di un qualsiasi prodotto antivirus: ci si può avvicinare all’identificazione di infezioni super sofisticate, ma non di più. Questi sono i risultati che si ottengono adottando l’approccio classico degli antivirus che fa affidamento sulle firme e sulla scansione dei file.

Allora, qual è la soluzione?

Anche in questo caso la risposta è semplice: mettere al lavoro tanti mega sistemi per rendere automatiche quelle sofisticate funzionalità che in un prodotto antivirus si occupano di cercare e distruggere i malware.

E come si fa?

Questi mega sistemi lavorano sullo sviluppo della protezione antivirus mediante l’analisi dei segnali provenienti da decine di sensori Kaspersky Lab posizionati nei computer protetti. Quest’analisi sistemica e onnisciente è molto più efficace di quella comunemente usata dagli altri antivirus, che potrebbe essere paragonata alla previsione del futuro leggendo i fondi di caffè. In sostanza, meglio adottare un approccio pratico per garantire una protezione proattiva piuttosto che una sfera di cristallo, no? Io direi proprio di sì.

Allora, parliamo di questi sensori… una funzionalità che si trova praticamente in tutti i prodotti Kaspersky Lab è l’analisi euristica, attiva nel campo della virologia informatica da ormai 25 anni. Alcune aziende che producono antivirus hanno deciso di non avvalersene in quanto si tratta di una tecnologia che richiede uno sviluppo costante, altre invece ne hanno ridotto la portata o per il momento è un argomento che hanno lasciato in sospeso. Nel caso vi foste dimenticati cosa sia l’euristica o non lo sappiate, vi spiego un po’ di cosa si tratta.

I codici maligni possono essere identificati in maniera diretta o indiretta.

In maniera diretta vuol dire mediante le classiche firme: sapendo come è fatto un codice maligno, sviluppiamo una firma per ogni codice, che poi cercheremo durante la scansione di un oggetto sospetto.

In maniera indiretta, ovvero mediante l’analisi euristica. Possiamo rilevare la presenza di un malware basandoci sulla conoscenza di una tipica sequenza di comandi in codice, di metadata (analisi statica) o di azioni e comportamenti determinati (analisi dinamica).

Un esempio dell’approccio indiretto: un programma entra nel codice autorun del registro di sistema, intercetta i tasti digitati dall’utente, apre una porta e trasmette i dati raccolti via Internet. Inoltre, il programma scrive alcuni dati sull’hard disk, ovvero modifica il MBR (Master Boot Record). Beh, è molto improbabile che questo comportamento provenga da un programma inoffensivo, no?

Il vantaggio più importante dell’euristica sulle firme classiche è che non abbiamo bisogno di sapere come è fatto il malware per individuarlo, in sostanza non dobbiamo conoscere il suo codice.

Invece noi bombardiamo a tappeto un ampio spettro di malware (anche quelli sconosciuti) analizzando determinati comportamenti che sono considerati propri di un malware.

Tra l’altro, tali azioni e comportamenti sono di numero molto inferiore rispetto alle possibili combinazioni di codici dei malware. Ad esempio, con un solo record euristico riusciamo a individuare circa 600.000 varianti di worm WBNA! Potete capire bene quanto l’analisi euristica possa velocizzare la scansione (si possono bypassare ben 600.000 record!).

I calcoli euristici vengono impiegati praticamente in tutti i moduli di protezione (ad esempio nei moduli anti-blocker, anti-rootkit e anti-phishing) e aiutano tecnologie importanti come System Watcher e servizi di reputazione su cloud per comprendere meglio ogni caratteristica del computer e scoprire anche gli attacchi più insidiosi. Inoltre, c’è anche il nostro modulo speciale AVZ per l’analisi euristica automatica del sistema. A questo punto,vale la pena spendere due parole su questo modulo innovativo…

AVZ è stato introdotto a pieno regime nel 2007. Effettua varie operazioni (esegue backup, elimina i contenuti nel cestino, controlla l’integrità dei file, assiste nelle operazioni di ripristino del sistema ecc.) a seconda del prodotto in cui è incluso. Dal punto di vista dell’analisi euristica e della protezione dalle minacce sconosciute, ha essenzialmente due compiti: fa da supporto ai tecnici informatici durante la diagnosi in remoto, curando alcune infezioni particolarmente insidiose e difficili, e offre una serie di strumenti per far sì che gli utenti più esperti e gli amministratori di sistema possano individuare autonomamente eventuali anomalie nei computer o nelle reti che gestiscono.

La caratteristica più importante di AVZ è il suo strumento di analisi euristica (aggiornato quotidianamente), davvero valido nel monitorare tutto ciò che accade all’interno del computer. In sostanza, metà del lavoro è già stato fatto! AVZ interpreta diversi parametri che rendono possibile l’individuazione dei malware; inoltre, analizza il sistema, utilizza i risultati per creare un’area di quarantena per gli oggetti sospetti e fornisce un report dettagliato su tutti i file.

La caratteristica più sorprendente è che questo report può essere letto sia da un esperto che da una… macchina! Dopo aver analizzato il report, si può diagnosticare il problema e definire la cura, oppure un sistema automatizzato può indicare la soluzione al problema lanciando un interprete script integrato.

Nei nostri prodotti abbiamo uno speciale interprete di linguaggio script, appositamente creato per operazioni di questo tipo. Comprende tutto ciò che serve per i metodi di “chirurgia” antivirus (individuare i file, collocare oggetti sospetti in quarantena, svuotare il registro dei file, chiudere determinate operazioni ecc.), e si avvale dell’aiuto di altre importanti tecnologie (cancellazione differita, lotta contro le infezioni attive durante il processo di cura ecc.).

Un’altra caratteristica importante del report è che contiene solo informazioni sul sistema estremamente rilevanti ai fini diagnostici. Gli oggetti su cui non si ha il minimo sospetto vengono collocati direttamente in una whitelist così gli specialisti non dovranno perdere tempo nell’analizzarli.

Schermata

È tutta una questione di tecnica: la soluzione dello script viene inviata al computer danneggiato e vengono adottate le misure di ripristino. L’utente deve solo copiare il testo nella finestra dello script. L’esperienza dimostra che si tratta di una funzionalità indispensabile sia per l’installazione di una protezione su un sistema già infetto (incluso da minacce sconosciute), sia per correggere gli effetti di una infezione.

Qualsiasi analisi euristica ha i suoi limiti quando ha a che fare con i falsi positivi. È logico, dal momento che l’analisi euristica lavora su ciò che si presume, in base a esperienze pregresse, sia un oggetto sospetto, ma non ci si basa su fatti concreti. Attraverso i test e le whitelist questo inconveniente viene parzialmente compensato, ma ci possono essere comunque degli errori. Purtroppo, la tecnologia non è ancora arrivata a risolvere questo problema una volta per tutte, ma ci stiamo lavorando! 🙂 Nel frattempo, la prima cosa da fare è correggere gli errori il prima possibile e pubblicare gli aggiornamenti di correzione, anche quelli il prima possibile. Ma con AVZ… questo problema non esiste più!

Innanzitutto, AVZ lavora autonomamente e non disturba l’utente con domande altamente tecniche o con avvisi fastidiosi. I risultati del suo lavoro sono visualizzati unicamente dai tecnici che li ricevono (o dalle macchine che se ne occupano). Inoltre, sono proprio gli esperti che i sistemi automatizzati che riescono a eliminare i falsi positivi! Sì, avete letto bene, è proprio così! A ogni scansione dei dati, si possono individuare (manualmente o automaticamente, a seconda se si tratta di una persona o una macchina) i falsi positivi e i record non utili, e poi apportare le dovute modifiche!

Chi aveva detto che tutto questo non era ancora stato inventato?

LEGGI I COMMENTI 0
Scrivi un commento