Che cos'è l'analisi euristica?

L'aggettivo "euristico" deriva da un verbo che in greco antico significava "scoprire"; l'analisi euristica è un approccio volto a scoprire, apprendere e risolvere usando regole, stime o ipotesi in cerca di una risposta soddisfacente a un problema specifico. Sebbene questo metodo per risolvere i problemi possa non essere perfetto, resta comunque altamente efficace se applicato a processi informatici in cui occorrono risposte rapide o segnalazioni tempestive basate sull'intuito.

L'analisi euristica è presente nella maggior parte delle principali soluzioni antivirus presenti sul mercato oggi. Simile alla scansione delle firme, che rileva le minacce cercando stringhe specifiche, l'analisi euristica cerca particolari comandi o istruzioni che solitamente non sono presenti in un'applicazione.

Se lasciati indisturbati, questi comandi potenzialmente dannosi possono eseguire funzioni come:

• Il payload di un Trojan
• La replicazione meccanica di un virus
• Il modello di distribuzione di un worm

La maggior parte dei processi antivirus euristici utilizza un sistema ponderale o basato su regole per determinare la pericolosità di un programma. Se queste regole superano una soglia predeterminata, viene generato un allarme e viene eseguita un'azione preventiva. A seconda delle impostazioni dell'antivirus, questo allarme può limitarsi a inviare un avviso a un amministratore di server o mettere automaticamente un file in quarantena

Da decenni le società che producono antivirus e i criminali informatici si rincorrono in un gioco come il gatto con il topo. L'analisi euristica degli antivirus aiuta i fornitori di software e i clienti a tenersi un passo avanti, rilevando virus prima sconosciuti e a difendersi dai nuovi malware non ancora aggiunti ai file di definizione dei virus.

Gli strumenti antivirus basati sull'euristica utilizzano varie tecniche di scansione, tra cui:

• Analisi dei file. Durante l'analisi dei file, il software di scansione ispeziona attentamente un file per determinarne lo scopo, la destinazione e l'intento. Ad esempio, se lo scopo di un file è eliminare file specifici, può essere contrassegnato come virus.
• Emulazione di file. Nota anche come scansione dinamica o analisi sandbox, l'emulazione testa un file in un ambiente virtuale controllato per vedere cosa succede. Se il file si comporta come un virus, probabilmente lo è!
• Rilevamento della firma genetica. Studiato per individuare diverse variazioni di un virus, il rilevamento della firma genetica utilizza le precedenti definizioni di file per scoprire i virus che appartengono alla stessa famiglia.

Queste tecniche possono essere utilizzate per rilevare virus a riposo nell'archivio file o in transito tra due endpoint. Ad esempio, l'agente antispam in Forcepoint Email Security può essere impostato in modo da analizzare l'intestazione e il corpo di un'e-mail per determinare quanto i contenuti assomigliano a uno spam. Di tanto in tanto l'analisi euristica segnala dei falsi positivi, ma questo problema può essere risolto impostando filtri e regole personalizzati che aggiungono i falsi positivi a una whitelist.

Nonostante i difetti e la sporadica segnalazione di falsi positivi, l’analisi euristica e i processi di rilevamento sono un metodo di scansione proattiva dei virus molto efficace e un valido complemento alle tradizionali soluzioni di analisi delle firme. I software antivirus con analisi euristica sono in costante miglioramento, per garantire che i processi funzionino in modo più efficiente e sfruttino al meglio le risorse dei computer. Per le organizzazioni che cercano una protezione ottimale da malware e virus noti e sconosciuti, l’analisi euristica dell’antivirus è certamente un investimento conveniente.

L’approccio di Forcepoint alla sicurezza informatica è fondato su decenni di esperienza. Le nostre soluzioni sono progettate per scalare in base alle esigenze di ogni azienda e offrire il massimo livello di sicurezza. Ci piacerebbe molto dirti di più sui vantaggi dell’analisi euristica dell’antivirus e su come possiamo adattare le nostre soluzioni alla tua azienda. Contatta subito il nostro team per una demo gratuita.