Il vero motivo per cui il rilevamento delle minacce informatiche è difficile e sottovalutato

Il vero motivo per cui il rilevamento delle minacce informatiche è difficile e sottovalutato

Il vero motivo per cui il rilevamento delle minacce informatiche è difficile e sottovalutato

Il rilevamento di malware da parte degli antivirus viene spesso sottovalutato, ma la verità è che si tratta di un processo difficile, che necessita di un lavoro costante e di miglioramenti per rimanere utile.

 

Come funzionano gli antivirus

Gli antivirus, al fine di rilevare minacce utilizzano una funzionalità nota come euristica di rilevamento del malware, in aggiunta a quella basata sulle firme virali.

L’euristica è un insieme di strategie, tecniche e procedimenti inventivi utile a ricercare un argomento, un concetto o una teoria adeguati a risolvere un problema.

L’analisi euristica utilizzata dagli antivirus consente di scansionare un file ed analizzarne la struttura esaminando il suo codice sorgente. Se nel codice è presente qualcosa che è già stato individuato come malevolo, il codice viene contrassegnato come possibile minaccia.

L’analisi euristica riesce ad essere molto efficace per identificare nuove minacce, ma può produrre falsi positivi.

 

Un tasso di falsi positivi accettabile

L'euristica di rilevamento del malware sembra facile in superficie, ma in realtà è piuttosto complicata.

Sebbene molti credano che l'obiettivo principale sia un alto tasso di rilevamento del malware, un basso tasso di falsi positivi è l'indicatore più importante per la qualità dell'euristica di rilevamento.

L'impatto dei tassi di falsi positivi è spesso sottovalutato a causa della fallacia del tasso di base. Gli attuali documenti di ricerca sul rilevamento delle minacce informatiche hanno spesso la stessa idea sbagliata sui tassi di falsi positivi accettabili.

Molti di essi partono dal presupposto che il numero di file puliti e di file malware sia approssimativamente uguale, ovvero bilanciato. In realtà, i sistemi informatici vedono raramente malware, ma hanno a che fare con file puliti per la maggior parte del tempo.

Ad esempio, per Windows 10 la cartella C:/Windows contiene circa 500.000 file. Se ipotizziamo un tasso di falsi positivi del 5%, la tecnologia di rilevamento determinerà 25.000 di questi file come dannosi.

Questo fraintendimento prende appunto il nome di fallacia del tasso di base.

Quando si tratta di prodotti antivirus, i falsi positivi devono essere gestibili e il corrispondente tasso di tolleranza deve essere sicuramente inferiore allo 0,001%.

Come azienda di sicurezza, G DATA Cyber Defense si dedica a questa missione e lavora ogni giorno per rendere il mondo digitale un po' più sicuro.

Articolo tratto dall’originale:

«The real reason why malware detection is hard and underestimated» .

Per saperne di più a riguardo di G DATA clicca qui