新しいマルウェアシグネチャを特定、開発、配布するのに通常かかる時間を特定する業界全体の対策はありますか?組織が署名を利用できるようになるまでに、通常、組織が新しいマルウェアにさらされる期間を理解したいと思います。
組織がAV製品の署名を検出して公開するのにかかる時間に関する正確な情報は独自のものであり、さまざまなAVベンダーによって厳重に保護されます。
しかし、一般的な時間枠には多くの手がかりが点在しています。 KimZettersの著書Countdownto Zero Dayは、stuxnetのストーリーを伝えるために徹底的な調査を実施しました。この本では、マルウェア業界の仕組みについて深く掘り下げています。特にSymantecに関する一節で、彼女は次のように述べています。
「同社が最初にウイルス対策ビジネスに参入したとき、脅威の発見から署名の配信まで、1週間以内に対処するのに適した応答時間と考えられていました。しかし、ノートンライフロックはこれを1日未満に短縮することを目指しました。これを達成するために同社は、ウイルスが最初に出現したときに野生のウイルスを発見し、目が覚めて悪意のある電子メールの添付ファイルをクリックし始める前に米国の顧客に署名を出すために、複数のタイムゾーンのアナリストを必要としていました。」
したがって、Symantecと私は、市場の主要な競合他社が新しいマルウェアまたは新しいマルウェアの種類を正常に検出した場合、非常に迅速に回復すると推測しています。
2010年には、技術的には一生前かもしれませんが、既知のマルウェアの一部のAV製品に署名を公開するために少なくとも1週間はまだ可能であった特定の状況がありました。
Kaspersky Labは、10個の無害なファイルを作成し、Kasperskyがそれらを悪意のあるものと見なしたマルウェアアグリゲーターVirusTotalにフラグを付けました。
「2010年1月にモスクワでカスペルスキーの上級アナリスト、マグナスカルクールが行ったメディアプレゼンテーションによると、1週間半以内に、カスペルスキーの先導に盲目的に従った14ものセキュリティ会社によって10個のファイルすべてが危険であると宣言されました。」
別の組織は、3年前に同様の実験を行ったことを認めました 彼らも1週間を引用しました 署名が公開されるのを見るまで。 2010年の実験からあまり変わっていません。これは、一部のAV企業の手順と慣行が時間の経過とともにそれほど変わらないことを示唆しています。
これに基づいて、マルウェアの検出から署名の公開までのAV署名は、AVベンダーに応じて、1日から1週間の間のどこかにある可能性があることをお勧めします。明らかに、これには多くの仮定が含まれています。