¿Existen medidas en toda la industria que identifiquen cuánto tiempo lleva normalmente identificar, desarrollar y distribuir nuevas firmas de malware? Quiero comprender por cuánto tiempo las organizaciones suelen estar expuestas a un nuevo malware antes de que haya una firma disponible para ellas.
La información exacta sobre el tiempo que demoran las organizaciones en detectar y publicar firmas en sus productos de AV será de propiedad exclusiva y estará protegida por los distintos proveedores de AV.
Sin embargo, hay un número de pistas en el marco de tiempo general que se encuentra alrededor. El libro de Countdown to Zero Day de Kim Zetters, realizó una investigación exhaustiva para contar la historia de stuxnet, en el libro que profundiza sobre el funcionamiento de la industria del malware. En un pasaje específicamente sobre Symantec, ella dice lo siguiente:
"Cuando la compañía entró por primera vez en el negocio de antivirus, fue considerado un buen momento para responder a una amenaza, desde Descubrimiento a entrega de firmas- dentro de una semana. Pero apuntó Symantec para reducir esto a menos de un día. Para lograr esto la empresa. analistas necesarios en múltiples zonas horarias para detectar virus en la naturaleza cuando aparecieron por primera vez y para sacar firmas a los clientes en el Antes de que se despertaran y comenzaran a hacer clic en correos electrónicos maliciosos archivos adjuntos. "
Symantec y yo suponemos que sus principales competidores en el mercado tienen un giro muy rápido, cuando detectan con éxito nuevos programas maliciosos o nuevas variedades de programas maliciosos.
En 2010, lo que en términos de tecnología también podría haber pasado toda una vida, hubo ciertas circunstancias en las que al menos una semana aún era posible publicar firmas en algunos productos AV para malware conocido.
Kaspersky Lab creó 10 archivos inofensivos y los marcó con agregadores de malware VirusTotal que Kaspersky consideró como maliciosos.
Según la agencia de noticias Reuters;
"Dentro de una semana y media, los 10 archivos fueron declarados peligrosos por muchos como 14 compañías de seguridad que habían seguido ciegamente a Kaspersky liderar, de acuerdo con una presentación en los medios de comunicación de Kaspersky El analista Magnus Kalkuhl en Moscú en enero de 2010. "
Otra organización admitió haber realizado un experimento similar hace 3 años, también citaron una semana hasta que vieron que se estaban publicando firmas. Así que no había cambiado mucho desde el experimento de 2010, lo que sugiere que los procedimientos y las prácticas de algunas compañías de AV no cambian mucho con el tiempo.
En base a esto, sugeriría que las firmas AV desde la detección de malware hasta la publicación de una firma podrían estar en cualquier lugar entre 1 día y 1 semana, según el proveedor de AV. Claramente esto incluye muchas suposiciones, sin embargo.
Lea otras preguntas en las etiquetas malware antivirus antimalware