Η ανίχνευση για malware με τα κλασικά προγράμματα είναι μάλλον μία προσέγγιση στο θέμα κάθε άλλο παρά επαρκή, ιδίως σε εταιρικά περιβάλλοντα, αφού τα antivirus software χρειάζονται μήνες ώστε να υιοθετήσουν τις απαραίτητες ρουτίνες για την αναγνώριση μερικών από των πιο σύνθετων απειλών.
Μια μελέτη από τη Damballa, εταιρεία ασφαλείας που προσφέρει λύσεις ενάντια στις πιο προηγμένες απειλές στον κυβερνοχώρο, αποκάλυψε ότι το κακόβουλο λογισμικό θα μπορούσε να υπάρχει για έξι μήνες σε ένα σύστημα πριν προσδιοριστεί, αν το σύστημα χρησιμοποιεί μία signature-based μέθοδο ανίχνευσης.
Σε μια περίοδο εννέα μηνών, οι ερευνητές ανέλυσαν ένα σύνολο δειγμάτων από χιλιάδες αρχεία που πήραν από εταιρικούς πελάτες και τα έβαλαν για ανίχνευση με τέσσερα από τα πιο δημοφιλή προϊόντα προστασίας από ιούς, που κυκλοφορούν σήμερα στην αγορά.
Ghost: Εξάρθρωση της πλατφόρμας κρυπτογραφημένων επικοινωνιών
Η εταιρεία διαπίστωσε ότι την πρώτη ώρα, μόνο το 30% των δεδομένων του κακόβουλου λογισμικού μπόρεσαν να αναγνωριστούν από τα προϊόντα ως απειλή. Μετά από μια μέρα, το ποσοστό ανίχνευσης αυξήθηκε σε 66% και η βελτίωση συνεχίστηκε μετά από μια εβδομάδα, όταν 72% από τις ενδείξεις των κακόβουλων δεδομένων είχαν πλέον αναγνωριστεί ως απειλή.
Οι ερευνητές έκαναν συστηματικά εκ νέου σάρωση των αρχείων για να δουν το χρόνο που απαιτείται από τους developers των προϊόντων προστασίας από ιούς, να προσθέσουν τα σωστά δεδομένα στη βάση.
Ένα μήνα μετά, το 93% των δειγμάτων εντοπίστηκαν ως κακόβουλα. Όσο περισσότερο χρόνο παραμένει το malware σε ένα σύστημα, τόσο υψηλότερες είναι οι πιθανότητες ότι οι επιτιθέμενοι κατάφεραν να φθάσουν σε ευαίσθητες περιοχές του συστήματος. Σύμφωνα με τη Damballa, το 100% του εντοπισμού επιτεύχθηκε μετά το πέρας των έξι μηνών.
