Invio di registri, avvisi e dati di telemetria tramite un diodo di dati

Scopri come
Per le traduzioni dei siti utilizziamo l'intelligenza artificiale e, sebbene ci sforziamo di essere accurati, non sempre le traduzioni sono precise al 100%. La vostra comprensione è apprezzata.

Le reti governative necessitano di un'emulazione a livello di istruzioni per bloccare le minacce zero-day a livello di perimetro

MetaDefender offre un rilevamento deterministico e scalabile delle vulnerabilità zero-day per ambienti governativi ad alta produttività
Di Vivien Vereczki
Condividi questo post

Il rilevamento zero-day è il processo di identificazione di malware sconosciuto, per il quale non esistono firme né precedenti registrazioni di analisi. Ai perimetri delle reti governative, dove i file eseguibili, i file di patch e i documenti soggetti a regolamentazione devono superare i controlli senza subire modifiche, un efficace rilevamento zero-day richiede un’emulazione a livello di istruzione per smascherare le minacce che acquisiscono le impronte digitali degli ambienti virtuali e bloccano l’analisi prima dell’esecuzione.

In breve: punti chiave

  • I tradizionali sandbox basati su macchine virtuali sono vulnerabili al “fingerprinting” dell’ambiente, ai ritardi temporali e ai controlli del debugger, mentre il malware moderno utilizza queste tecniche per eludere l’analisi prima di eseguire azioni dannose
  • MetaDefender raggiunge un tasso di rilevamento delle minacce zero-day del 99,9% grazie a un processo articolato in quattro fasi: reputazione delle minacce, analisi dinamica, valutazione delle minacce e ricerca proattiva delle minacce
  • L'emulazione a livello di istruzione elabora i file 20 volte più velocemente rispetto alle sandbox tradizionali, con un tempo P90 inferiore a 15 secondi e una produttività di 25.000 file al giorno per server
  • MetaDefender rileva comportamenti dannosi in relazione alle tattiche e alle tecniche del modello MITRE ATT&CK, fornendo un quadro di riferimento standardizzato per accelerare la valutazione iniziale degli incidenti, la segnalazione degli stessi e la condivisione delle informazioni sulle minacce
  • Gli output IOC leggibili automaticamente vengono integrati direttamente nei flussi di lavoro SIEM e SOAR, tra cui Splunk, Cortex XSOAR e CEF Syslog

Perché le reti governative sono obiettivi zero-day di grande valore

Le reti governative sono tra gli ambienti più presi di mira dagli attacchi zero-day proprio per ciò che ospitano: sistemi sensibili, dati riservati e servizi critici a cui gli aggressori non possono accedere in modo affidabile tramite vulnerabilità già note.

Secondo il “Global Cybersecurity Outlook 2026” del WEF, il 23% delle organizzazioni del settore pubblico segnala una resilienza informatica insufficiente, il che le rende sproporzionatamente vulnerabili quando minacce sofisticate aggirano le difese perimetrali. Anche la fiducia nella preparazione nazionale si sta erodendo: lo stesso rapporto rileva che il 31% degli intervistati a livello globale dichiara di nutrire scarsa fiducia nella capacità del proprio Paese di rispondere a gravi incidenti informatici, in aumento rispetto al 26% del 2025.

L'intelligenza artificiale sta ampliando la superficie di attacco. Secondo lo stesso rapporto, l'87% degli intervistati ha identificato le vulnerabilità legate all'intelligenza artificiale come il rischio informatico in più rapida crescita. Gli autori degli attacchi stanno utilizzando l'intelligenza artificiale per migliorare la precisione degli attacchi, automatizzare la generazione di exploit e adattare gli attacchi quasi in tempo reale, superando in rapidità gli strumenti di rilevamento statici su cui molte reti governative continuano a fare affidamento.

I governi sono obiettivi di alto valore per gli attacchi zero-day

Il rischio cumulativo per i difensori del settore pubblico

I responsabili della sicurezza governativa devono affrontare condizioni strutturali che amplificano il rischio di attacchi "zero-day" ben oltre quanto riscontrato nella maggior parte degli ambienti del settore privato. Le infrastrutture obsolete, i budget limitati e la crescente convergenza tra OT e IT creano lacune nel rilevamento che sono difficili da colmare in modo graduale. Gli aggressori, coadiuvati dall'intelligenza artificiale, sfruttano tali lacune con precisione e velocità sempre maggiori.

La dimensione geopolitica aggiunge ulteriore pressione. Secondo il rapporto del WEF, il 64% delle organizzazioni a livello globale sta ora facendo i conti con attacchi informatici motivati da ragioni geopolitiche, tra cui l’interruzione delle infrastrutture critiche e lo spionaggio, con il settore pubblico costantemente identificato come obiettivo primario. Lo stesso rapporto evidenzia che la crescente diversificazione dei fornitori e i trasferimenti di file lungo la catena di approvvigionamento rappresentano una superficie di attacco in espansione e poco monitorata ai margini della rete, in particolare ora che i governi stanno riconfigurando gli accordi di hosting dei dati in risposta alle pressioni geopolitiche.

I sandbox tradizionali basati su macchine virtuali non riescono a contrastare le tecniche di elusione in continua evoluzione

Le sandbox tradizionali basate su macchine virtuali eseguono i file all’interno di un ambiente operativo virtualizzato e registrano il comportamento che ne deriva. Il malware avanzato è progettato per identificare tale ambiente prima dell’esecuzione, utilizzando una serie di tecniche di rilevamento per riconoscere le condizioni di analisi e sopprimere l’attività dannosa. Il risultato sono dati comportamentali incompleti, verdetti incoerenti e minacce che superano il perimetro senza essere rilevate.

Un’agenzia governativa nazionale con oltre 3.000 dipendenti, operante in contesti sia civili che riservati, ha riscontrato proprio questo tipo di problema con la propria sandbox legacy basata su macchine virtuali. Un malware evasivo ha rilevato l’ambiente virtuale e ne ha soppresso il comportamento, lasciando gli analisti con dati incompleti e report che richiedevano un’interpretazione manuale. Nel corso del tempo, ciò ha rallentato le indagini e indebolito l’affidabilità delle conclusioni sia per i team SOC che per quelli CERT.

Tecniche di elusione che le sandbox basate su macchine virtuali non riescono a contrastare in modo affidabile

  • Ritardi temporali: il malware sfrutta il fatto che gli ambienti basati su macchine virtuali presentano modelli temporali osservabili e attende che la finestra di analisi della sandbox si chiuda prima di eseguire il codice
  • Istruzioni "Red Pill": il malware interroga i registri hardware, le caratteristiche della CPU e la struttura della memoria, che si comportano in modo diverso negli ambienti virtualizzati, e utilizza i risultati per confermare di essere oggetto di analisi
  • Controlli del debugger: il malware esamina gli elenchi dei processi, i modelli API e i flag di sistema per verificare la presenza di strumenti di analisi e interrompe l'esecuzione qualora ne rilevi la presenza
  • Blocco dell'esecuzione: il malware attende specifiche interazioni da parte dell'utente o stati di inattività del sistema che si verificano raramente nelle esecuzioni automatizzate in sandbox, impedendo l'attivazione dei trigger comportamentali

Risultati delle operazioni di sicurezza condotte dalle autorità governative

Capacità

Sandbox basata su macchina virtuale

MetaDefender

Resistenza all'elusione delle macchine virtuali

Vulnerabile al “fingerprinting” ambientale; il malware è in grado di rilevare l’hardware virtualizzato e di bloccare l’esecuzione prima che si verifichino comportamenti dannosi

Neutralizzato; l'emulatore non utilizza né l'hardware reale né i tempi del sistema operativo, eliminando così i segnali su cui il malware fa affidamento per identificare gli ambienti di analisi

Resistenza all'elusione anti-debug

Vulnerabile al rilevamento da parte del debugger; il malware che identifica gli strumenti di analisi interrompe l'esecuzione prima che vengano generati gli IOC

Neutralizzato a livello di istruzioni; l'emulatore non espone le API dei processi e API che il malware in grado di rilevare i debugger va a verificare

Bypass del ritardo temporale

Attende che il ritardo trascorra; le finestre di analisi sono limitate e il malware che rimane inattivo abbastanza a lungo elude completamente l'osservazione comportamentale

Elimina il ritardo simulando solo i componenti necessari per l'esecuzione, senza essere vincolato dai tempi effettivi del clock

Acquisizione del traffico di rete

Acquisisce il traffico di rete tramite PCAP, che non è in grado di ricavare l'intento dalle comunicazioni crittografate o offuscate

Rileva le intenzioni della rete a livello di API di memoria, consentendo di estrarre gli indicatori C2 e la logica di esfiltrazione anche quando il traffico è crittografato o offuscato

Coerenza dell'analisi

Varia a seconda degli stati della macchina virtuale; le differenze ambientali tra le esecuzioni generano risultati comportamentali incoerenti e un aumento del rumore analitico

Deterministico e ripetibile; lo stesso file produce lo stesso risultato in più esecuzioni e su diversi percorsi del sistema operativo, garantendo il rispetto dei requisiti relativi alle tracce di audit e alla catena di custodia

Velocità di elaborazione

Più lento e con un elevato consumo di risorse; l'emulazione completa del sistema operativo comporta un sovraccarico che limita la produttività in ambienti con volumi elevati

20 volte più veloce rispetto alle sandbox tradizionali, con un obiettivo P90 inferiore a 15 secondi per file

Rischio di falsi positivi

Inoltre, le variazioni dello stato delle macchine virtuali generano risultati incoerenti e un aumento del “rumore” da parte degli analisti, minando nel tempo la fiducia nei risultati del rilevamento

Inoltre, l’analisi deterministica fornisce risultati coerenti tra le diverse esecuzioni, aumentando l’affidabilità dei risultati e riducendo il carico di lavoro derivante dalla revisione manuale a carico degli analisti

Come funziona l'emulazione a livello di istruzione MetaDefender

MetaDefender è la soluzione unificata di rilevamento zero-day OPSWAT, progettata per identificare minacce avanzate e sconosciute sul perimetro di rete attraverso una pipeline di elaborazione delle minacce a quattro livelli che combina reputazione delle minacce, analisi dinamica, valutazione delle minacce e ricerca proattiva delle minacce. Mentre le sandbox basate su macchine virtuali emulano un ambiente completo di sistema operativo, MetaDefender opera a livello di istruzioni, interpretando l’esecuzione dei file componente per componente senza eseguire un vero e proprio sistema operativo né esporre i segnali hardware che il malware evasivo va alla ricerca.

Ambiente di esecuzione realistico

MetaDefender non esegue un sistema operativo completo né si avvale di hardware virtualizzato. L'emulatore simula solo i componenti necessari all'esecuzione di un determinato file, interpretandone il comportamento a livello di istruzioni della CPU. Ciò elimina le impronte del sistema operativo e i segnali hardware che il malware evasivo utilizza per individuare gli ambienti di analisi, consentendo al contempo un rilevamento più rapido e più efficiente in termini di risorse rispetto alla virtualizzazione completa del sistema.

Monitoraggio comportamentale completo

Per raggiungere i propri obiettivi, i campioni di malware devono interagire con l’ambiente ospitante: manipolare le voci del registro di sistema, creare o iniettare processi, richiamare API, allocare memoria e avviare operazioni di rete. MetaDefender monitora tutte queste interazioni durante l’esecuzione. Poiché il comportamento viene intercettato a livello di istruzione, i tentativi di elusione non impediscono l’osservazione. I comportamenti devono comunque verificarsi e l’emulatore li rileva a prescindere.

I comportamenti monitorati da MetaDefender includono:

  • Operazioni di lettura, scrittura ed eliminazione nel Registro di sistema
  • Creazione, terminazione e iniezione di processi
  • API e invocazioni dei servizi di sistema
  • Allocazione e modifica della memoria ed esecuzione di shellcode
  • Tentativi di connessione alla rete, risoluzione DNS e operazioni di trasferimento dati

Anziché restituire API statiche o casuali, MetaDefender adatta dinamicamente API e le caratteristiche ambientali in modo che corrispondano a quanto previsto dal malware, garantendo il corretto funzionamento dell'esecuzione e massimizzando l'affidabilità dell'estrazione degli IOC.

Misure anti-evasione e anti-rilevamento

Poiché MetaDefender non utilizza hardware reale, né un sistema operativo completo, né una temporizzazione reale, le tecniche di elusione che aggirano le sandbox basate su macchine virtuali non hanno alcun effetto:

  • I ritardi basati sul tempo non trovano alcun segnale di sincronizzazione reale con cui confrontarsi
  • Le istruzioni "Red-pill " interrogano i registri hardware che restituiscono valori coerenti con l'emulatore
  • I controlli del debugger non rilevano alcuna firma di processo o API da segnalare
  • I punti di sospensione dell'esecuzione ricevono lo stato di inattività o l'interazione dell'utente che il malware sta aspettando, simulati a livello di istruzione

Il livello API adattivo rafforza ulteriormente questo approccio. Anziché esporre un ambiente statico che il malware può analizzare attraverso ripetute sondaggi, MetaDefender regola dinamicamente API per riflettere un contesto di esecuzione coerente e plausibile, colmando il divario tra ciò che il malware si aspetta e ciò che osserva.

Analisi deterministica e ripetibile

MetaDefender produce lo stesso risultato comportamentale per lo stesso file in più esecuzioni e su diversi percorsi del sistema operativo. L'analisi non è influenzata dalle variazioni dello stato della macchina virtuale, dalle variazioni ambientali o dalle differenze di configurazione della sandbox tra un'esecuzione e l'altra.

Per le operazioni di sicurezza governative, questa coerenza è importante sotto due aspetti. In primo luogo, riduce i falsi positivi, che il sondaggio SANS 2025 su rilevamento e risposta identifica come la principale sfida di rilevamento per il 73% dei team di sicurezza, in aumento rispetto al 64% del 2024. In secondo luogo, i risultati deterministici supportano i requisiti relativi alle tracce di audit e alla catena di custodia, fornendo la documentazione probatoria richiesta dai quadri normativi governativi in materia di risposta agli incidenti e conformità.

Mappatura MITRE ATT&CK

MetaDefender mette in correlazione i comportamenti dannosi osservati con specifiche tattiche e tecniche del modello MITRE ATT&CK, fornendo un quadro standardizzato che i team di sicurezza governativi possono utilizzare per accelerare la valutazione iniziale degli incidenti e allineare i risultati ai requisiti di segnalazione degli stessi. I risultati strutturati basati su ATT&CK supportano inoltre la condivisione interagenzia delle informazioni sulle minacce e i contesti di conformità normativa in cui è richiesto un comportamento documentato delle minacce. I risultati IOC leggibili da macchina vengono inseriti direttamente nelle integrazioni SIEM e SOAR, tra cui Splunk, Cortex XSOAR e CEF Syslog.

Analisi rapida su larga scala per ambienti governativi ad alta produttività

MetaDefender elabora fino a 25.000 file al giorno per server, con un obiettivo P90 inferiore a 15 secondi, garantendo un’ispezione continua su tutte le fonti di acquisizione dei file governativi, quali supporti rimovibili, allegati e-mail, archiviazione cloud e trasferimenti via web. Per gli ambienti governativi isolati (air-gapped), classificati e protetti, MetaDefender supporta un’implementazione flessibile:

  • Configurazioni on-premise, ospitate su cloud e ibride
  • Ubuntu 24.04, Red Hat Enterprise Linux 9 (offline) e Rocky Linux
  • Integrazioni tramite API REST API interfaccia grafica per la connettività SIEM e SOAR
Implementazione flessibile di MetaDefender per le reti governative

Mentre le agenzie governative accelerano la diversificazione dei fornitori e i trasferimenti di dati verso terze parti in risposta alle pressioni geopolitiche, i flussi di file lungo la catena di approvvigionamento rappresentano un requisito di ispezione sempre più importante ai confini della rete. La capacità di throughput MetaDefender è progettata per soddisfare tale esigenza senza creare colli di bottiglia operativi.

OPSWAT con agenzie governative, organizzazioni della difesa e gestori di infrastrutture critiche per implementare soluzioni di rilevamento delle vulnerabilità zero-day in grado di soddisfare le esigenze dell'attuale panorama delle minacce.

Domande frequenti

Che cos’è l’emulazione a livello di istruzione e in che modo si differenzia da una sandbox tradizionale?

L'emulazione a livello di istruzione interpreta l'esecuzione dei file a livello di CPU senza eseguire un sistema operativo completo o hardware virtualizzato, eliminando i segnali hardware, i modelli temporali e le firme dei processi che il malware evasivo utilizza per individuare gli ambienti di analisi. Le sandbox tradizionali basate su macchine virtuali (VM) espongono tali segnali, consentendo al malware di identificare le condizioni di analisi e sopprimere il comportamento dannoso prima che possa essere osservato.

In che modo MetaDefender gestisce il traffico di rete crittografato o offuscato?

MetaDefender rileva le intenzioni di rete a livello API di memoria anziché tramite PCAP, rendendo così estraibili gli indicatori C2, la logica di callback e i modelli di esfiltrazione anche quando il traffico è crittografato, offuscato o non viene mai trasmesso. Ciò lo rende particolarmente adatto agli ambienti “air-gapped” e alle reti soggette a rigidi vincoli di monitoraggio del traffico.

MetaDefender supporta la mappatura MITRE ATT&CK?

MetaDefender analizza tutti i comportamenti dannosi rilevati alla luce delle tattiche e delle tecniche del modello MITRE ATT&CK, favorendo l’accelerazione del triage, la condivisione interagenzia delle informazioni sulle minacce e il rispetto dei requisiti di segnalazione degli incidenti. Gli IOC in formato leggibile dalle macchine vengono inviati direttamente alle integrazioni con Splunk, Cortex XSOAR e CEF Syslog.

Quali opzioni di implementazione sono disponibili per gli ambienti governativi isolati dalla rete o soggetti a classificazione di sicurezza?

MetaDefender supporta implementazioni on-premise, su cloud e ibride, con supporto per i sistemi operativi Ubuntu 24.04, Red Hat Enterprise Linux 9 (offline) e Rocky Linux per ambienti isolati dalla rete (air-gapped) e rinforzati. Un approccio progettuale API REST consente l'integrazione con le architetture di sicurezza governative esistenti.

In che modo MetaDefender riduce i falsi positivi rispetto agli strumenti di rilevamento tradizionali?

L'analisi deterministica MetaDefender produce lo stesso risultato comportamentale per lo stesso file in più esecuzioni e su diversi percorsi del sistema operativo, eliminando la variazione dello stato della macchina virtuale che causa verdetti incoerenti nei sandbox tradizionali. Secondo il sondaggio SANS 2025 Detection and Response Survey, il 73% dei team di sicurezza indica i falsi positivi come la principale sfida in materia di rilevamento, in aumento rispetto al 64% del 2024; verdetti coerenti e supportati da prove riducono direttamente il carico di lavoro degli analisti.

Rimanete aggiornati con OPSWAT!

Iscriviti oggi stesso per ricevere gli ultimi aggiornamenti sull'azienda, storie, informazioni sugli eventi e altro ancora.