Che cos'è una firma basata sul carico utile?
Le firme basate sul payload rilevano i modelli nel contenuto del file piuttosto che gli attributi, come l'hash, consentendo di identificare e bloccare il malware alterato.
Gli strumenti di sicurezza spesso utilizzano firme basate su variabili facilmente modificabili come hash, nomi di file o URL per identificare e impedire a malware noti di infettare i sistemi. Con questo tipo di firma, l'identificazione delle minacce richiede essenzialmente una corrispondenza uno-a-uno con le variabili specifiche che la firma sta cercando.
Sebbene un tempo fosse un mezzo efficace per identificare il malware, oggi è una pratica debole, in quanto gli aggressori hanno adottato mezzi più sofisticati per eludere il rilevamento. Gli autori di malware possono ora creare facilmente migliaia di varianti di malware esistenti, contenenti solo lievi modifiche, al fine di aggirare la corrispondenza delle firme. Poiché le firme tradizionali richiedono una corrispondenza statica uno-a-uno per ogni file unico, queste piccole modifiche consentono al malware di non essere individuato.
Con l'evoluzione degli aggressori, si sono evolute anche le protezioni, e le organizzazioni dovrebbero prendere in considerazione l'utilizzo di protezioni di sicurezza che sfruttano le firme basate sul payload, che rilevano i modelli nel contenuto effettivo del file piuttosto che un semplice attributo come l'hash. Se un pezzo di malware noto è stato alterato in qualche modo, risultando in un hash completamente nuovo o in un'altra piccola modifica, le firme basate sul payload sarebbero comunque in grado di identificare e bloccare ciò che altrimenti sarebbe stato trattato come una nuova minaccia sconosciuta.
Sebbene le firme basate sul payload richiedano più prove e set di dati più ampi da produrre, i team addetti alla sicurezza hanno in definitiva meno firme da creare e distribuire, in quanto ogni firma è più efficace nel bloccare le varianti e il malware polimorfico e fornisce una rete di protezione più ampia. Con le firme basate sul payload, una firma può bloccare decine di migliaia di varianti della stessa famiglia di malware. Il risultato è un rilevamento di malware uno-a-molti, con una prevenzione significativamente più rapida e di successo.
Palo Alto Networks Next-Generation Security Platform sfrutta il Threat Intelligence Cloud, compreso il rilevamento di minacce sconosciute tramite WildFire, nonché l'applicazione della Threat Prevention sottoscrizione, per distribuire automaticamente firme basate su payload in tutta l'organizzazione. La piattaforma è in grado di prevenire in modo unico molteplici varianti di malware, nonché il traffico di comando e controllo, grazie all'alta fedeltà del suo formato proprietario, basato sulle firme.