Últimamente, he leído varios artículos sobre software antimalware y una cosa me llamó la atención: la capacidad de detectar ataques de día cero.
En resumen, ¿cómo prueba la industria de antimalware / antivirus su propio software contra las amenazas de día cero? ¿Cómo puede alguien afirmar que AV X protege el sistema contra el 93% de los virus de día cero?
En primer lugar, prácticamente todas las compañías de AV tienen varias "trampas para moscas" o "honeypots". Una trampa para moscas es una red de computadoras de escritorio con acceso a Internet y protección cero que existe para "atrapar" el malware. Los bot-scripts en las computadoras rastrean la web en busca de sitios riesgosos, y rompen todas las reglas para una navegación segura que se realiza en las personas normales. Como resultado, prácticamente se convierten en placas de Petri para virus informáticos.
Estas trampas para moscas sirven dos propósitos valiosos para los expertos en seguridad; En primer lugar, estas cajas detectan un nuevo malware que puede que nunca se haya visto antes, y los expertos notan que existe una amenaza de día cero. Segundo, una vez que han aislado algo nuevo, pueden introducirlo en una trampa para moscas "limpia" completamente aislada, con muchas herramientas de monitoreo, y ver cómo hace su trabajo; vea cómo se replica, qué protocolos y puertos usa, qué archivos modifica, qué efectos dañinos puede tener; en general, todo lo que necesitan saber para poder proteger a los suscriptores de AV de esta nueva amenaza. También pueden introducirlo en una computadora protegida por su software AV y ver qué tan bien funciona; cualquier cosa que el virus haga que el AV no detecte y prevenga se puede buscar específicamente mediante la modificación de sus archivos de definición de virus o sus algoritmos heurísticos para agregar esta amenaza conocida.
Además, los expertos en AV han estado en esto durante años. Décadas incluso. A pesar de las noticias que informan sobre gusanos como Confickr, Storm, Stuxnet, etc., estos son los dos o tres por año que son notables; miles de nuevos virus por año no se reportan, porque en realidad son solo una repetición de algo que los chicos de AV ya sabían. Como dijo Techbrunch, la mayoría de los AV tienen un algoritmo de detección heurística superpuesto a la búsqueda de virus conocidos específicos. Hay áreas de una computadora que son objetivos obvios (kernel, controladores de dispositivos, adaptadores de red, enlaces de E / S) y existen formas bien conocidas de intentar llegar a ellos. Los algoritmos AV escanean continuamente un sistema protegido en busca de estas banderas rojas generales. Esos miles de virus nuevos pero no originales disparan la detección heurística, el AV interroga a la fuente, recopila información, pone en cuarentena cualquier cosa que pueda haber sido afectada de manera maliciosa y llama a su hogar para informar sobre este nuevo malware potencial. Este algoritmo heurístico básicamente convierte a cada computadora AV protegida del mundo en una gran trampa para la compañía que escribe el AV; ¿Qué mejor manera de ver contra qué es necesario defenderse que ver cómo ocurren infecciones en el mundo real?
Lea otras preguntas en las etiquetas zero-day antivirus antimalware