analisi euristica

Analisi Euristica

La analisi euristica è una metodologia di scansione utilizzata dai più avanzati sistemi di rilevamento malware (o virus informatici)

L’Heuristic analysis non è certo un argomento facile da trattare e nel contempo da comprendere. Sarà difficile per voi parlare di analisi euristica con il vostro barista di fiducia, magari sorseggiando un caffè.

Ma non temete, ci siamo impegnati per raccogliere tutte le informazioni necessarie sull’argomento e per fornirvi tutte le chicche necessarie alla conoscenza di questa materia.

Oggi parlare di questa tipologia di analisi informatica è complesso se non siete degli esperti di settore e sopratutto, se siete interessati a saperne di più, sul web troverete scarsi, se non scarsissimi risultati per il termine analisi euristica.

Ecco per quale motivo, noi di Onorato Informatica abbiamo deciso di scrivere un breve seppur inciso articolo nel quale affronteremo le caratteristiche delle tecniche euristiche e perché al giorno d’oggi, possiamo considerarla una tecnologia non sufficiente per la protezione perimetrale.

Che cosa vuol dire euristico

Se siete alla ricerca di qualche informazione su questa metologia, sicuramente sarete incappati in qualche articolo di analisi euristica antivirus. 

Ebbene, l’analisi euristica viene utilizzata nel settore dell’informatica, ed in particolare della cyber security, per la ricerca dei virus. L’analisi euristica informatica serve all’interno dei software anti-virus per riuscire a riconoscere qualsiasi programma infetto.

Nello specifico, l’analisi ricerca comportamenti insoliti e comandi pericolosi nei software, attraverso lo studio del loro codice sorgente.

Euristica dell’ancoraggio e accomodamento: la tecnica sfruttata

Infatti, un’analisi euristica prevede lo studio del codice del software sospetto: in semplici parole, il vostro antivirus analizza il modo in cui un’applicazione è stata scritta e si mette alla ricerca di pezzettini di codice sospetto o conosciuto come pericoloso.

Se il vostro anti-virus riconosce l’effettiva presenza di pezzetti di codice malevolo, lo blocca o segnala la pericolosità dell’applicazione direttamente all’utente.

Di conseguenza, sappiamo che l’analisi euristica è una delle tecniche di base dei software anti-virus.

Uno dei vantaggi di questa analisi è che si presenta estremamente rapida nell’identificazione di virus o programmi indesiderati. Il grosso limite di questa tecnica è che al giorno d’oggi esistono una quantità pressoché sconfinata di virus informatici e soprattutto, non tutti i codici sono identificabili come malevoli dalle tecniche euristiche.

Dove agisce la tecnologia euristica o heuristic analysis

L’attività di un’analisi euristica si concentrerà principalmente su due elementi:

  • File sospetti: sono l’oggetto principale attorno al quale gira l’analisi euristica. Nel momento in cui un’utente decide si scaricare sul proprio computer aziendale un file, il vostro anti-virus euristico lo scansionerà attentamente alla ricerca di codici sospetti.
  • Firme generiche: o meglio, le più avanzate analisi euristiche sono in grado di identificare un certo numero di varianti di un virus informatico, una famiglia di virus.

Perché l’analisi euristica è un buon metodo di analisi contro i virus informatici

Con tutti i limiti del caso, l’analisi euristica dei virus per molto tempo è stata impiegata come unico metodo di identificazione degli attacchi informatici. Nel tempo, i vantaggi delle tecniche euristiche si sono palesati in tre differenti gruppi:

  • Questa tecnica ha avuto modo di svilupparsi e di costruirsi una memoria strutturata del comportamento dei malware: numerosi database contenenti le informazioni riguardanti intere famiglie di malware.
  • L’attività dell’analisi euristica per anni ha contribuito a mantenere protetti i device di tutto il mondo, collocandosi come unico metodo di identificazione anti-virus rapido e oggettivo.
  • Infine, i database euristici nel tempo sono sempre stati aggiornati da developer e dai produttori degli antivirus.
virus euristico onorato informatica

Limiti della tecnologia euristica

Può questa tecnologia sbarazzarsi in modo esclusivo dei virus informatici?

Come già anticipato nell’articolo, la tecnica euristica contiene numerose lacune tale per cui i maggiori sviluppatori di software anti-virus oggi, propendono per tecniche ben più avanzate per l’identificazione di malware e attacchi informatici.

In primis, la scansione euristica può essere definita come tecnica limitata. L’analisi di virus euristici infatti funziona solo ed esclusivamente per rilevare virus informatici conosciuti. Qual’ora un anti-virus che utilizza solo tecniche euristiche dovesse trovare un malware di nuova generazione, non sarebbe in grado di riconoscerlo e di conseguenza di proteggere il device.

L’analisi euristica può generare falsi positivi. Poiché l’analisi euristica rileva porzioni di codice malevolo, capita che indichino file potenzialmente dannosi quando in realtà non lo sono. Nello specifico con file .exe o Torrent.

Ogni volta che viene eseguita un heuristic analysis e il vostro software rileva comportamenti sospetti dà all’utente la possibilità di gestire l’oggetto: cancellarlo, metterlo in quarantena oppure eseguirlo (a vostro rischio e pericolo).

Sandbox: ecco come si superano le lacune dell’analisi euristica

Analisi euristica? Oggi preferiamo il metodo Sandbox.

sandbox analisi euristica

I moderni sistemi di rilevamento virus hanno implementato una nuova metodologia: la sandbox.

Per comprendere a pieno tutti i limiti del sistema euristico, vi spieghiamo come funziona la tecnica sandbox. Non parliamo della vaschetta di sabbia nella quale giocano i vostri figli, bensì di un ambiente virtuale nel quale vengono testati i software potenzialmente pericolosi.

I moderni sistemi anti-virus registrano i comportamenti dei software eseguiti in questo ambiente e determinano se i file sono effettivamente malware.

Scansione euristica e Sandbox: conclusioni

Ecco quali sono le conclusioni di Onorato Informatica sull’argomento

Dopo esserci confrontati a lungo con il nostro reparto SOC security interno, possiamo affermare che entrambi i metodi di analisi hanno vantaggi e limiti unici.

Per questo motivo, Onorato Informatica integra entrambe le metodologie nei propri sistemi Endpoint: solo in questo modo riusciamo ad ottenere la massima sicurezza dai nostri servizi.

Utilizzando simultaneamente tecniche euristiche e sandbox, riusciamo a garantire i massimi livelli di sicurezza ai sistemi informatici nelle aziende.

Il miglior sistema antivirus per la tua azienda

Contatta Onorato Informatica

Onorato Informatica è un’azienda di sicurezza informatica. Siamo specializzati nella difesa delle aziende dagli attacchi informatici e forniamo i migliori servizi di sicurezza informatica gestiti in Lombardia.

Onorato Informatica è un’azienda certificata ISO9001 e ISO27001. Contattaci per avere tutte le informazioni sull’analisi euristica e sandbox presente nei nostri servizi.

Puoi vedere tutti i nostri contatti e l’indirizzo delle nostre sedi cliccando qui.