Lavorando nel settore della sicurezza informatica e nella ricerca di malware mi capita spesso di leggere comparative e test di software antivirus tenuti da compagnie o siti web piu o meno famosi. Ultimamente il trend sembra essere quello di redigere comparative indipendenti per mostrare come i software di sicurezza reagiscano male alle nuove minacce informatiche.

Ogni giorno vengono creati migliaia di nuovi codici malevoli utilizzati spesso per attacchi mirati, uno dei fenomeni di primaria importanza da controllare per ogni società di sicurezza.

L’ultimo articolo che ho letto riguardo l’efficacia di soluzioni antivirus è redatto dalla società di sicurezza FireEye, nel proprio blog ufficiale. Sebbene l’articolo sia molto interessante e ben scritto, sarei stato personalmente molto più attento nel trarre le conclusioni finali.

L’opinione dell’autore dell’articolo è che le soluzioni di sicurezza siano efficaci contro malware più vecchi rispetto che contro i nuovi malware, dove la percentuale media di inviduazione è di un 40% dei prodotti. Essenzialmente, le parole dell’autore sono: “gli AV sono verosimilmente in grado di individuare un bot realmente in azione meno della metà delle volte“.

Sebbene condivida che l’individuazione e il blocco di nuove minacce sia una sfida molto difficile, perché necessita di tecnologie di prevenzione e engine euristici particolarmente efficaci, tuttavia mi sorgono parecchi dubbi sulle conclusioni raggiunte.

Dove non concordo assolutamente è l’utilizzo del servizio online VirusTotal come tool primario per verificare l’efficacia dei prodotti antivirus. VirusTotal è un utile servizio che permette di ottenere alcune statistiche, non può assolutamente essere utilizzato come strumento per la stesura di comparative e come metro di giudizio dell’efficacia di antivirus.

Purtroppo un bel numero di quelle che si definiscono come “comparative indipendenti” fanno riferimento ai risultati ottenuti da VirusTotal per giudicare un prodotto antivirus.

L’individuazione di nuovi malware sganciandosi dall’utilizzo di signature è un tema particolarmente caldo che è stato ampiamente discusso anche all’interno di conferenze internazionali. Chiunque lavori nel settore della sicurezza informatica sà che, ad oggi, l’individuazione per mezzo di firme virali non è più sufficiente. Lo sviluppo di nuove tecnologie per prevenire e bloccare attacchi mirati e nuovi malware è uno dei principali obiettivi di ogni produttore di software di sicurezza informatica. Non potrebbe essere differente.

Per noi alla Prevx è il nostro primo obiettivo. Appena rilasciato Prevx Edge, molti utenti ci hanno comunicato come Edge sia riuscito a bloccare nuove minacce anche se, scansionati su VirusTotal, questi file sospetti non erano individuati dall’engine Prevx incluso nello scanner online VirusTotal.

Un esempio su tutti: un famoso sito web è stato attaccato qualche giorno fa e la home page è stata modificate inserendovi all’interno del codice malevolo. Mentre molti utenti hanno testato il malware su VirusTotal traendo le conclusioni errate, Prevx Edge è stato in grado di bloccare euristicamente l’infezione dall’inizio.

Questo perché molte nuove tecnologie euristiche che utilizziamo non possono essere incluse in uno scanner on-demand, il quale controllerà esclusivamente se in un file è riscontrabile una precisa signature.

Questa è la situazione per Prevx, ma è anche una situazione comune per molte altre società di sicurezza. Spesso gli antivirus includono nuove tecnologie – behavior blockers, heuristic behavior analyzers, dynamic heuristic engine e così via – che sono utilizzate per mitigare (o addirittura colmare, la maggior parte delle volte) il gap che si viene a formare tra la creazione di un malware e il rilascio di firme virali.

Se qualche volta, analizzando un file su VirusTotal, viene fuori qualche individuazione euristica, ciò non implica necessariamente che tutta la tecnologia euristica di un determinato prodotto è stata inclusa nello scanner on-demand. Semplicemente, ci sono alcune tecnologie che non possono essere incluse in uno scanner on-demand. Ciò però non toglie che queste tecnologie giochino un ruolo cruciale nell’intercettazione di attacchi 0day.

Fare riferimento esclusivamente ai risultati di VirusTotal rischia di far perdere la reale efficacia delle soluzioni antivirus testate.

Questo è il motivo per il quale utilizzare VirusTotal per redigere comparative e test di prodotti antivirus è un approccio sbagliato.

Prevx Blog