Minaccia zero-day

Una minaccia zero-day (a volte chiamata anche minaccia zero-hour) è una che non è mai stata vista prima e non corrisponde a nessuna firma di malware nota. Questo la rende impossibile da rilevare tramite le soluzioni tradizionali di corrispondenza delle firme. Può sfruttare una vulnerabilità software precedentemente sconosciuta (a volte chiamata vulnerabilità zero-day), oppure può essere una nuova variante di malware veicolata tramite mezzi tradizionali.

Nei giorni in cui la corrispondenza delle firme era l'unica strategia disponibile per rilevare il malware, ogni nuova minaccia zero-day reclamava almeno una vittima (e spesso molte di più). Una volta che una rete era stata penetrata con successo e colpita dal malware, le organizzazioni di sicurezza raccoglievano un campione, lo analizzavano per creare un file di firma, e poi distribuivano un aggiornamento per i prodotti antivirus per poterlo identificare.

Il numero di nuove minacce informatiche è in continuo aumento con dozzine di nuove minacce zero-day che si originano ogni giorno. Per proteggere la tua rete, le applicazioni e i dati, devi disporre di un sistema di prevenzione delle minacce avanzato che possa testare file, link ed e-mail non affidabili prima che raggiungano la tua rete.

Oggi, tuttavia, mentre il matching delle firme rimane uno strumento di importanza cruciale, sono disponibili tecniche più avanzate per rilevare le minacce zero-day prima che abbiano la possibilità di causare danni o infettare vittime. Una tecnica comune è sandboxing, o analisi in sandbox, in cui e-mail e file sospetti possono essere "detonati" in un ambiente di test isolato per assicurarsi che siano sicuri prima che raggiungano la tua rete.

Sfortunatamente, il sandboxing è relativamente intensivo in termini di risorse e richiede tempo. Eseguire tutto il traffico attraverso l'analisi sandbox è impraticabile. Un approccio più efficace e praticabile è utilizzare tecniche analitiche multiple e sequenziali per pre-filtrare il traffico, in modo che solo una percentuale molto piccola di file venga analizzata in un ambiente sandbox.

Barracuda Advanced Threat Protection è un servizio in hosting nel cloud disponibile come abbonamento aggiuntivo per più prodotti e servizi di sicurezza Barracuda. Utilizza il matching delle firme, l'analisi euristica e comportamentale e l'analisi del codice statico per pre-filtrare il traffico e identificare la stragrande maggioranza delle minacce. Infine, invia i file sospetti rimanenti a una sandbox di emulazione CPU per identificare in modo definitivo le minacce zero-day e impedirne l'accesso alla tua rete. Advanced Threat Protection può essere aggiunto ai seguenti prodotti Barracuda:

• Barracuda Email Security Gateway
• Barracuda Email Protection
• Barracuda Web Security Gateway
• Barracuda CloudGen Firewall
• Barracuda Web Application Firewall