Perché sono necessarie l'analisi statica, l'analisi dinamica e l'apprendimento automatico?

Di seguito sono riportati i tre metodi di identificazione delle minacce che, lavorando insieme, possono prevenire attacchi informatici di successo:

Analisi dinamica

L'unico strumento che può rilevare una minaccia zero-day

Con l'analisi dinamica, un file sospetto viene fatto esplodere in una macchina virtuale, come un ambiente di analisi del malware, e analizzato per vedere cosa fa. Il file viene valutato in base a ciò che fa al momento dell'esecuzione, piuttosto che affidarsi alle firme per l'identificazione delle minacce. Ciò consente un'analisi dinamica per identificare le minacce che non sono mai state viste prima.

Per ottenere i risultati più accurati, il campione deve avere pieno accesso a Internet, proprio come un endpoint medio di una rete aziendale, in quanto le minacce spesso richiedono il comando e il controllo per potersi liberare completamente. Come meccanismo di prevenzione, l'analisi del malware può proibire la connessione a Internet e fingere chiamate di risposta per cercare di ingannare la minaccia a rivelarsi, ma questo può essere inaffidabile e non è un vero sostituto dell'accesso a Internet.

Gli ambienti di analisi del malware sono riconoscibili e il processo richiede molto tempo.

Per eludere il rilevamento, gli aggressori cercheranno di identificare se l'attacco viene eseguito in un ambiente di analisi del malware, profilando la rete. Cercheranno gli indicatori che il malware si trova in un ambiente virtuale, come ad esempio la detonazione in orari simili o dagli stessi indirizzi IP, la mancanza di attività valide dell'utente come la pressione della tastiera o il movimento del mouse, o la tecnologia di virtualizzazione come quantità insolitamente grandi di spazio su disco. Se si stabilisce che è in esecuzione in un ambiente di analisi del malware, l'aggressore interromperà l'esecuzione dell'attacco. Ciò significa che i risultati sono suscettibili di qualsiasi errore nell'analisi. Ad esempio, se il campione telefona a casa durante il processo di detonazione, ma l'operazione è interrotta perché l'attaccante ha identificato l'analisi del malware, il campione non farà nulla di dannoso e l'analisi non identificherà alcuna minaccia. Allo stesso modo, se la minaccia richiede una versione specifica di un particolare software per funzionare, non farà nulla di identificabile come dannoso nell'ambiente di analisi del malware.

Possono essere necessari diversi minuti per avviare una macchina virtuale, inserire il file, vedere cosa fa, smontare la macchina e analizzare i risultati. Sebbene l'analisi dinamica sia il metodo più costoso e lungo, è anche l'unico strumento in grado di rilevare efficacemente le minacce sconosciute o zero-day.

Analisi statica

Risultati rapidi e nessun requisito per l'analisi

A differenza dell'analisi dinamica, l'analisi statica esamina il contenuto di un file specifico così come esiste su un disco, piuttosto che nel momento in cui viene esploso. Analizza i dati, estraendo modelli, attributi e artefatti, e segnala le anomalie.

L'analisi statica è resistente ai problemi che presenta l'analisi dinamica. È estremamente efficiente - richiede solo una frazione di secondo - e molto più conveniente. L'analisi statica può funzionare anche per qualsiasi file, perché non ci sono requisiti specifici, ambienti che devono essere adattati o comunicazioni in uscita necessarie dal file per l'analisi.

I file impacchettati comportano una perdita di visibilità

Tuttavia, l'analisi statica può essere elusa con relativa facilità se il file è impacchettato. Mentre i file impacchettati funzionano bene nell'analisi dinamica, la visibilità del file effettivo viene persa durante l'analisi statica, poiché il reimpacchettamento del campione trasforma l'intero file in rumore. Quello che si può estrarre staticamente è quasi nulla.

Apprendimento automatico

Nuove versioni di minacce raggruppate con minacce note in base al comportamento.

Piuttosto che eseguire una specifica corrispondenza di modelli o distruggere un file, l'apprendimento automatico analizza il file ed estrae migliaia di caratteristiche. Queste caratteristiche vengono eseguite attraverso un classificatore, chiamato anche vettore di caratteristiche, per identificare se il file è buono o cattivo in base agli identificatori conosciuti. Piuttosto che cercare qualcosa di specifico, se una caratteristica del file si comporta come qualsiasi cluster di file valutato in precedenza, la macchina contrassegnerà quel file come parte del cluster. Per un buon apprendimento automatico, sono necessari set di formazione di verdetti buoni e cattivi, e l'aggiunta di nuovi dati o caratteristiche migliorerà il processo e ridurrà i tassi di falsi positivi.

L'apprendimento automatico compensa ciò che manca all'analisi dinamica e statica. Un campione inerte, che non esplode, che è paralizzato da un packer, che ha il comando e il controllo disattivato o che non è affidabile, può comunque essere identificato come dannoso con l'apprendimento automatico. Se sono state avvistate e raggruppate numerose versioni di una determinata minaccia e un campione presenta caratteristiche simili a quelle del cluster, la macchina presumerà che il campione appartenga al cluster e lo contrassegnerà come dannoso in pochi secondi.

È in grado di trovare solo di più di ciò che è già noto.

Come gli altri due metodi, l'apprendimento automatico deve essere visto come uno strumento con molti vantaggi, ma anche alcuni svantaggi. In altre parole, l'apprendimento automatico addestra il modello basandosi solo su identificatori noti. A differenza dell'analisi dinamica, l'apprendimento automatico non troverà mai nulla di veramente originale o sconosciuto. Se si imbatte in una minaccia che non assomiglia a nulla di ciò che ha visto in precedenza, la macchina non la segnalerà, poiché è addestrata solo a trovare più di ciò che è già noto.

Tecniche stratificate in una piattaforma

Per contrastare qualsiasi cosa gli avversari avanzati possano lanciarle contro, ha bisogno di più di un pezzo del puzzle. Servono tecniche stratificate, un concetto che un tempo era una soluzione multivendor. Sebbene la difesa in profondità sia ancora appropriata e pertinente, deve superare le soluzioni puntuali multivendor per passare a una piattaforma che integri analisi statica, analisi dinamica e apprendimento automatico. Tutti e tre, lavorando insieme, possono realizzare la difesa in profondità attraverso soluzioni integrate a più livelli.

Palo Alto Networks Next-Generation Security Platform si integra con WildFire^® servizio di analisi delle minacce basato sul cloud per fornire ai componenti intelligence sulle minacce contestuale e azionabile, fornendo un'abilitazione sicura attraverso la rete, l'endpoint e il cloud. WildFire combina un motore di analisi dinamica personalizzato, analisi statica, apprendimento automatico e analisi bare metal per tecniche avanzate di prevenzione delle minacce. Mentre molti ambienti di analisi del malware sfruttano la tecnologia open source, WildFire ha eliminato tutta la virtualizzazione open source all'interno del motore di analisi dinamico, sostituendola con un ambiente virtuale costruito da zero. Gli aggressori devono creare minacce del tutto uniche per eludere il rilevamento in WildFire, separate dalle tecniche utilizzate contro altri fornitori di cybersicurezza. Per la piccola percentuale di attacchi che potrebbero eludere i primi tre livelli di difesa di WildFire - analisi dinamica, analisi statica e apprendimento automatico - i file che mostrano un comportamento elusivo vengono indirizzati dinamicamente in un ambiente bare metal per l'esecuzione hardware completa.

All'interno della piattaforma, queste tecniche lavorano insieme in modo non lineare. Se una tecnica identifica un file come dannoso, viene segnalato come tale in tutta la piattaforma, per un approccio multilivello che migliora la sicurezza di tutte le altre funzioni.