Prima generazione: antivirus
La prima generazione di prodotti antivirus si basava solo sul rilevamento delle definizioni.
Questo tipo di tecnologia è stato utilizzato in gran parte negli anni '90 e comprendeva sistemi polimorfici e soluzioni per macro, MS-DOS e Win32 basate su regole di base e, successivamente, moduli di analisi euristica basati su script. Questo periodo è stato contraddistinto anche dalla comparsa dei primi Trojan win32 a elevata diffusione, tra cui NetBus e BackOrifice.
Seconda generazione: antimalware
A partire dal 2000, hanno cominciato ad emergere nuovi tipi di malware e si sono diffusi spyware e worm di rete senza l'utilizzo file, causando epidemie diffuse.
I motori antivirus principali si sono evoluti grazie all'integrazione di firewall personali per l'identificazione e il blocco dei worm di rete basati sulle definizioni dei pacchetti, nonché utilità di pulizia del sistema per il ripristino delle impostazioni del sistema operativo modificate, ad esempio voci di registro, file HOST, oggetti BHO (Browser Helper Objects) e così via. È in questa fase tecnologica di seconda generazione che Panda Software ha integrato nel sistema antimalware la funzionalità SmartClean, progettata per disinfettare e ripristinare il sistema operativo infettato da uno spyware o da un Trojan backdoor.
Terza generazione: tecnologie proattive
TruPrevent
Panda ha rilasciato le tecnologie comportamentali TruPrevent nel 2004, dopo oltre tre anni di intensa attività di ricerca e sviluppo.
Da allora, TruPrevent si è evoluto fino a comprendere una serie di tecnologie comportamentali che hanno dimostrato un'efficacia mai riscontrata in precedenza nel blocco di malware "zeroday" in maniera proattiva senza dipendere dalle definizioni dei virus. TruPrevent viene costantemente adattato alle nuove tecniche malware e ai nuovi sistemi di sfruttamento delle vulnerabiltà. Questa tecnologia è stata creata sulla base del sistema antimalware. Attualmente è installata su oltre 5 milioni di computer. Tutti questi computer agiscono come nodi honeypot ad elevata interazione che segnalano a PandaLab i nuovi programmi malware contrassegnati da TruPrevent come sospetti e non rilevati mediante le comuni definizioni antivirus.
Dal punto di vista tecnico, TruPrevent si compone di due tecnologie principali: analisi comportamentale (collegamento) e blocco comportamentale (collegamento), dette anche "system hardening" e "application hardening".
Analisi comportamentale
L'analisi comportamentale funge da estrema linea di difesa contro nuovi malware in esecuzione nel computer, in grado di essere ignorati dalle definizioni, le analisi euristiche e il blocco comportamentale. Proteus intercetta, in fase di runtime, le operazioni e le chiamate API effettuate da ciascun programma e le confronta prima di consentire l'esecuzione completa del processo. Grazie a un confronto in tempo reale, l'esecuzione dei processi viene consentita o negata unicamente in base al comportamento dei processi stessi.
Diversamente da altre tecnologie comportamentali, questa tecnologia è autonoma e non comporta domande di argomento tecnico all'utente finale (ad esempio "Consentire al processo xyz di introdurre un thread in explorer.exe o nell'abc dell'indirizzo di memoria?"). Questa tecnologia non richiede gli aggiornamenti delle definizioni e si basa unicamente sul comportamento delle applicazioni. Un bot non è un bot se non si comporta come tale, ma se lo è viene rilevato da questa tecnologia indipendentemente dalla forma o dal nome che assume.
Blocco comportamentale
Il blocco comportamentale di TruPrevent è il secondo componente principale. Gli hacker e il malware sfruttano i privilegi delle applicazioni legittime per attaccare i sistemi tramite l'inserimento del codice. Per impedire tali tipi di attacchi in genere è conveniente utilizzare tecnologie di blocco basate su regole in grado di limitare le azioni che le applicazioni autorizzate possono eseguire nel sistema.
KRE è costituito da un insieme di criteri definito da una serie di regole che descrivono le azioni consentite e quelle negate per una particolare applicazione di gruppo. È possibile impostare regole per controllare l'accesso di un'applicazione ai file, agli account utente, al registro, agli oggetti COM, ai servizi Windows e alle risorse di rete.
Genetic Heuristic Engine
Le tecnologie “genetiche” sono ispirate al campo della genetica in biologia e all'utilizzo di tale campo per comprendere in che modo gli organismi vengono identificati singolarmente e associati ad altri organismi. Tali tecnologie si basano sull'elaborazione e l'interpretazione di "geni digitali", rappresentati nel nostro caso da alcune centinaia di caratteristiche di ogni file sottoposto ad analisi.
Il rilascio iniziale di Genetic Heuristic Engine è avvenuto nel 2005. L'obiettivo di questo sistema è quello di correlare gli aspetti genetici dei file utilizzando un algoritmo proprietario. Gli aspetti genetici definiscono la potenzialità di un software di compiere azioni dannose quando esso viene eseguito su un computer. GHE è in grado di stabilire se un file è innocuo, se si tratta di un worm, uno spyware, un Trojan, un virus e così via.
Collective Intelligence. La nuova generazione.
Attualmente la diffusione del malware è 10 volte superiore a quella di due anni fa. Di conseguenza, una soluzione di protezione deve essere in grado di rilevare un numero di malware 10 volte maggiore per fornire agli utenti una protezione adeguata. Anche se una soluzione HIPS completa è in grado di rilevare e bloccare la maggior parte del malware con tecnologie proattive, è ancora possibile che malware sconosciuti riescano ad aggirarne le difese.
La tecnologia Collective Intelligence è stata rilasciata per la prima volta alla fine del 2006 in un numero limitato di programmi pilota, con l'obiettivo di rilevare in maniera affidabile un numero di malware "10 volte superiore a quello attuale con uno sforzo 10 volte inferiore".
I punti cardine di questo sistema sono:
Raccolta di dati dalla comunità: il sistema consente in modo centralizzato di raccogliere e archiviare tipologie di programmi, tracce di file, esempi di nuovi malware e così via. Tali dati provengono da utenti Panda e da altre aziende e collaboratori. Questa vasta capacità di raccolta di informazioni conferisce una maggiore visibilità delle minacce attive in Internet.
Elaborazione dei dati automatizzata: il sistema consente di analizzare e classificare automaticamente i migliaia di nuovi esempi ricevuti quotidianamente. A tale scopo, i dati ricevuti dalla comunità vengono confrontati con quelli contenuti nella vasta Knowledge Base di PandaLab relativa ai malware. Il sistema restituisce automaticamente i risultati (software dannoso o innocuo) sui nuovi file ricevuti dalla comunità, riducendo in tal modo al minimo le attività che devono essere eseguite manualmente da PandaLabs.
Diffusione della conoscenza derivata: le informazioni ottenute vengono distribuita agli utenti tramite servizi Web o aggiornamenti dei file delle definizioni.
Abbiamo sviluppato e distribuito alcuni servizi già esclusivamente basati sulla piattaforma Collective Intelligence. Tali servizi online sono stati progettati per eseguire controlli approfonditi dei computer e per rilevare malware non individuato dalla soluzione di protezione installata.
Per gli utenti di PC autonomi abbiamo sviluppato NanoScan, che consente di ricercare nel PC malware in esecuzione, e TotalScan, che esegue l'analisi dell'intero PC, inclusi disco rigido, memoria, database di posta elettronica e così via.
Nelle infrastrutture aziendali, i requisiti per l'esecuzione di verifiche antimalware approfondite sono più complessi. Per tale motivo abbiamo creato uno servizio gestito specifico, denominato Malware Radar. Grazie a questo servizio, le aziende possono eseguire rapidamente controlli completi degli endpoint dell'intera rete per verificare il livello di sicurezza, evidenziare fonti di infezione non rilevate o scoprire computer soggetti ad attacchi mirati.