L’evoluzione degli antivirus

L’evoluzione degli antivirus

Immagina di giocare a nascondino con i tuoi amici, dove un amico che “sta sotto” rappresenta il software di difesa sul tuo computer (come un antivirus) e gli altri che si nascondono sono come i malware, o i “virus” che cercano di nascondersi e fare disordine nel tuo computer.

Ora, l’amico che “sta sotto” è diventato super bravo a trovare tutti. Allora, che cosa fanno i “virus” cattivi per non farsi trovare? Beh, iniziano ad essere molto astuti:

Come i camaleonti che cambiano colore per nascondersi, alcuni malware cercano di cambiare piccole parti di se stessi.

Talvolta, i malware provano a fare cose che non hanno mai fatto prima

Come quando ti nascondi dietro un altro amico per non farti trovare, alcuni malware si attaccano a programmi legittimi e si fanno portare dentro il sistema senza destare sospetti.

Invece di correre rumorosamente e attirare l’attenzione, alcuni malware cercano di fare le cose molto lentamente e silenziosamente.

I creatori di questi malware sono sempre alla ricerca di nuovi trucchi per evitare di essere scoperti. Nel frattempo, gli sviluppatori cercano sempre di aggiornare gli antivirus e insegnare loro nuovi modi per trovare i virus, anche quando fanno qualcosa di completamente nuovo o si nascondono meglio.

Vediamo quali tecniche sono state realizzate nel tempo:

  • I metodi basati sulle firme
  • Il rilevamento euristico
  • L’intelligenza artificiale

Le firme

I metodi basati su firme sono una forma tradizionale di protezione informatica.

Il principio alla base di questo approccio è il rilevamento di pattern di codice noti, chiamati “firme”, che sono caratteristici di software malevoli come virus, worm e trojan. Detto in termini semplici,

una firma è una sorta di impronta digitale univoca per ogni specifico malware.

Quando un nuovo malware viene identificato da ricercatori in sicurezza informatica, essi analizzano il codice per trovare stringhe di byte che lo distinguono. Queste stringhe sono usate per creare la firma del malware.

Le firme vengono immagazzinate in un database centrale dall’azienda che fornisce il software antivirus. Gli utenti devono scaricare regolarmente gli aggiornamenti di queste firme affinché il loro software antivirus possa rilevare i malware più recenti.

L’antivirus esegue scansioni regolari dei file presenti sul sistema dell’utente, confrontando i contenuti di questi file con il database delle firme. Se trova corrispondenze, il file è identificato come malevolo.

Una volta che un malware è identificato, il software antivirus può isolarlo, eliminarlo o mettere in quarantena il file per prevenire danni.

Poiché si basano su malware noti, i metodi basati su firme non possono rilevare minacce di zero-day (malware appena creati per i quali non esiste ancora una firma).

Le firme devono essere continuamente aggiornate per mantenere l’efficacia dell’antivirus. Gli utenti che non aggiornano il loro antivirus regolarmente sono vulnerabili a nuove minacce.

Alcuni malware sono in grado di alterare il proprio codice ogni volta che si replicano, rendendo inefficace il riconoscimento basato su firme. Questi malware richiedono metodi di rilevamento più avanzati basati sull’analisi comportamentale [1].

La scansione basata su firme può essere risorsa-intensiva specialmente quando i database delle firme diventano estremamente grandi a causa dell’enorme quantità di malware conosciuti.

il rilevamento euristico

il rilevamento euristico si basa su regole e cerca di identificare malware analizzando comportamenti sospetti o potenzialmente dannosi che potrebbero indicare la presenza di una minaccia, anche se non è mai stata osservata prima.

Il software esegue l’analisi del comportamento di applicazioni o file eseguibili in ambiente controllato, noto come sandbox. In questa sandbox, l’antivirus monitora l’attività del programma alla ricerca di comportamenti anomali che siano caratteristici dei malware, come la modifica di file di sistema importanti, la replica di sé stesso o la tentativa di nascondere la presenza nel sistema.

Può anche comportare l’analisi statica del codice, dove l’antivirus cerca patterns o strutture anomale nel codice che possano indicare un tentativo di eludere il rilevamento tradizionale o di svolgere attività dannose.

Gli antivirus euristici assegnano spesso un punteggio di rischio ai file o ai comportamenti basati su vari fattori. Quando un punteggio supera certa soglia, il sistema può allertare l’utente o prendere misure preventive per bloccare il file dal causare danni.

Le regole euristiche possono includere criteri come la presenza di routine di criptazione, modifiche sospette alle chiavi nel registro di Windows, la manipolazione di autostart entries per garantire la persistenza dopo il riavvio, e tentativi di connessione a server remoti sospetti.

L’intelligenza artificiale

I vantaggi dell’utilizzo dell’Intelligenza Artificiale (AI) nel rilevamento dei virus rispetto ai tradizionali metodi basati su firme e metodi euristici possono essere diversi.

Un aspetto cruciale nell’uso dell’AI è la sua capacità di essere proattiva piuttosto che reattiva. I metodi basati su firme richiedono la conoscenza pregressa di un virus per poterlo identificare e bloccare. Al contrario, l’AI può teoricamente rilevare anche virus mai incontrati prima (zero-day threats) analizzando pattern e comportamenti anomali.

L’AI è capace di apprendere dai nuovi virus e di adattarsi continuamente. Utilizzando algoritmi di machine learning, sistemi di AI possono essere addestrati su vasti dataset e migliorare la propria capacità di rilevamento nel tempo.

Il rilevamento euristico, benché non faccia affidamento su firme, è generalmente meno flessibile rispetto all’AI poiché si basa su regole statiche che non si adattano automaticamente ai cambiamenti del panorama delle minacce.

I tradizionali antivirus basati su firme o metodi euristici possono generare falsi positivi se un file legittimo somiglia ad una firma nota. L’AI può limitare questi errori identificando meglio i contesti e i comportamenti dei file, riducendo sia i falsi positivi che i falsi negativi attraverso l’apprendimento.

L’AI, una volta addestrata, può continuare ad apprendere autonomamente, riducendo la necessità di aggiornamenti manuali. Questi software possono anche essere utilizzati per garantire la sicurezza dei dati attraverso il rilevamento di anomalie che potrebbero indicare tentativi di accesso non autorizzati o fughe di dati, senza dover contare sul riconoscimento di firme specifiche.

Invece di cercare specifici pattern di bit, l’AI analizza il comportamento delle applicazioni e dei processi. Se un software inizia ad agire in modo insolito, ad esempio tentando di criptare file in massa (un comportamento comune dei ransomware), l’AI può intervenire per fermare questi processi sospetti.

Risorse utili

Antivirus AI di Protectstar: Questo antivirus sfrutta l’intelligenza artificiale per rimanere sempre un passo avanti alle minacce di malware e proteggere in modo proattivo. La tecnologia AI impara e si adatta continuamente a nuove minacce. Se viene rilevato spyware sospetto sullo smartphone di un utente, ad esempio a Parigi, viene analizzato approfonditamente nel Cloud AI​

Sophos AI: Fondato nel 2017, Sophos AI si concentra sullo sviluppo di tecnologie innovative nel campo della data science e dell’apprendimento automatico per la sicurezza informatica​

McAfee’s Antivirus and Threat Detection Defense: Questo sistema di rilevamento delle minacce si adatta per incorporare le ultime intelligenze di minaccia e l’analisi comportamentale guidata dall’AI. L’intelligenza artificiale è impiegata per andare oltre i metodi tradizionali di protezione degli utenti online​