Sull'efficacia delle soluzioni antivirus

Stuart Staniford, Chief Scientist presso FireEye, società che sviluppa e commercializza soluzioni per la sicurezza (in particolare “appliance” hardware), ha pubblicato uno studio circa le tempistiche con cui nuovi malware iniziano a diffondersi. Staniford ha illustrato il “modus operandi” seguito dalla maggior parte degli sviluppatori di malware: “il componente dannoso ha un ciclo di vita da qualche giorno ad una settimana, dopodiché viene definitamente messo da parte”. E’ cosa risaputa, quindi, come oggi un software antimalware debba riconoscere e reagire tempestivamente alla comparsa di nuove minacce.
Stando al grafico riportato da Staniford, il 5-10% dei file sospetti o nocivi riconosciuti dalle soluzioni per la sicurezza di FireEye sarebbero rare, relative – con buona probabilità – a minacce altamente polimorfiche. Un altro 5% delle minacce, invece, sarebbe ampiamente conosciute da settimane se non da mesi. Più dell’80% dei casi di file nocivi rilevati dai prodotti di FireEye, invece, riguarderebbe minacce comparse su VirusTotal da qualche giorno prima ad un settimana dopo il riconoscimento da parte delle soluzioni dell’azienda all’interno della quale Staniford riveste il ruolo di Chief Scientist.

Ciò che appare discutibile è però proprio l’utilizzo di VirusTotal come riferimento per la valutazione dell’efficacia dei prodotti antivirus ed antimalware. Il famoso servizio online, infatti, si occupa di analizzare i “file-campione” inviati dagli utenti servendosi unicamente degli archivi delle firme virali utilizzati dai vari produttori. Staniford stesso sostiene che un antivirus deve essere in grado di rilevare con sempre più solerzia minacce nuove, diffuse in Rete anche sotto forma di pochi esemplari. Accanto all’impiego delle firme virali vanno quindi necessariamente impiegati approcci più evoluti, ad esempio quelli basati su analisi di tipo comportamentale. Solo in questo modo i software antimalware possono essere in grado di rilevare e bloccare file maligni, prima ancora che informazioni circa la loro identità vengano inserite negli archivi delle firme virali (per maggiori informazioni sull’argomento, vi suggeriamo di fare riferimento a questo articolo).

Dello stesso avviso è Marco Giuliani, Prevx malware analyst, che osserva: “VirusTotal è uno strumento eccellente che può fornire alcune statistiche a proposito del riconoscimento delle minacce da parte dei vari motori antivirus ma che non può essere usato come base per la stesura di prove comparative, tanto meno per giudicare l’efficacia di un antivirus”.