Perché il rilevamento zero-day deve cambiare
Ogni giorno, le organizzazioni sono esposte ad attacchi informatici mai visti prima. Queste minacce zero-day sono progettate per aggirare le firme antivirus, i feed di reputazione e le difese statiche nascondendosi all'interno di file apparentemente innocui: documenti, programmi di installazione, script, file di patch e archivi.
La sfida non consiste più solo nell'individuare il malware noto, ma anche quello sconosciuto, evasivo e progettato appositamente per eludere il rilevamento, senza rallentare le operazioni aziendali o sovraccaricare i team di sicurezza con avvisi.
Guarda il video di presentazione del prodotto MetaDefender qui sotto:
Secondo il rapportoOPSWAT2025 Threat Landscape Report, la complessità del malware è aumentata del 127% in un solo anno e 1 file su 14 inizialmente etichettato come sicuro da OSINT si è poi rivelato dannoso. Gli aggressori stanno dando la priorità alla furtività, all'esecuzione in più fasi e all'evasione rispetto alle campagne di forza bruta.
Gli approcci tradizionali costringono le organizzazioni a un compromesso:
- Movimento lento dei file per eseguire un'ispezione approfondita
- Oppure mantenere la velocità accettando i punti ciechi per gli attacchi zero-day
Questo compromesso non è più accettabile.
Ecco perché OPSWAT MetaDefender e perché MetaDefender si è ora evoluto in una piattaforma unificata di rilevamento zero-day perimetrale.
Presentazione di MetaDefender Aether™ 3.0.0
MetaDefender 3.0.0 è la soluzione di rilevamento zero-day unificata di nuova generazione OPSWAT, che combina le comprovate capacità di MetaDefender con funzionalità integrate di intelligence sulle minacce, valutazione delle minacce e ricerca delle minacce, il tutto fornito in un unico pipeline di rilevamento adattivo.
Con questa versione, il motore di analisi dinamica MetaDefender è completamente integrato in MetaDefender come Layer 2, rafforzando l'architettura a quattro livelli di Aether e trasformando il sandboxing da strumento autonomo a parte integrante di un sistema di rilevamento ad autoapprendimento.
Questo segna un cambiamento strategico:
- Dal sandboxing in isolamento
- Per il rilevamento zero-day al perimetro, dove ogni file che entra in un'organizzazione può essere ispezionato prima di raggiungere gli utenti o i sistemi.
L'architettura di rilevamento zero-day a quattro livelli
MetaDefender risponde a quattro domande fondamentali per ogni file:
- Il file contiene una minaccia nota?
- Contiene una minaccia sconosciuta o zero-day?
- Qual è il livello di rischio di tale minaccia?
- È correlato a una famiglia di malware più ampia o a una campagna?
Per rispondere a queste domande su larga scala, Aether combina quattro livelli strettamente integrati:
Livello 1: Reputazione delle minacce
I controlli della reputazione in tempo reale e offline per file, URL, IP e domini filtrano istantaneamente le minacce note utilizzando informazioni globali provenienti da miliardi di indicatori.
Livello 2: Analisi dinamica (MetaDefender Engine)
I file sconosciuti e sospetti vengono eseguiti in una sandbox basata su emulazione che aggira le misure anti-VM e di evasione basate sul timing. I comportamenti di runtime, le catene di caricamento, gli script e gli artefatti vengono esposti anche quando il malware cerca di rimanere inattivo.
Livello 3: Valutazione delle minacce
Gli indicatori comportamentali, il contesto reputazionale e la logica di rilevamento sono correlati per assegnare un punteggio di rischio basato sull'affidabilità, aiutando i team SOC a dare priorità a ciò che conta davvero.
Livello 4: Ricerca delle minacce
La ricerca di somiglianze basata sull'apprendimento automatico collega campioni sconosciuti a famiglie di malware, infrastrutture e campagne note, consentendo una ricerca proattiva e un'analisi retroattiva.
Questo approccio unificato affronta l'intera Piramide del Dolore, costringendo gli aggressori a riscrivere continuamente strumenti, comportamenti e infrastrutture per eludere il rilevamento.
Da MetaDefender a MetaDefender : cosa è cambiato
MetaDefender rimane un potente motore di analisi dinamica. Ciò che è cambiato è il modo in cui viene fornito e il valore aggiunto che offre.
Precedentemente:
- Sandbox erano spesso isolati
- Gli analisti dovevano passare manualmente da uno strumento all'altro
- Gli aggiornamenti delle informazioni sulle minacce erano in ritardo rispetto alle rilevazioni
Con MetaDefender :
- Sandbox alimenta automaticamente le informazioni sulle minacce
- Ogni rilevamento rafforza la protezione futura
- I team SOC ricevono un unico verdetto attendibile, anziché più rapporti contrastanti.
MetaDefender continua a essere disponibile come prodotto autonomo per i clienti che necessitano di una sandbox dedicata. Tuttavia, tutte le innovazioni relative alla sandbox sono ora incluse nelle versioni MetaDefender , garantendo ai clienti i vantaggi di un processo di rilevamento zero-day in continuo miglioramento.
Quali problemi risolve MetaDefender
1. Malware evasivo e zero-day
L'emulazione a livello di istruzioni sconfigge il malware sensibile alla sandbox che si nasconde dagli strumenti basati su VM.
2. Tipi di file che non possono essere ripuliti
I file eseguibili, i file patch, i programmi di installazione, gli script e i documenti regolamentati non possono essere modificati da CDR. Aether rileva le minacce senza modificare i file.
3. Affaticamento da allerta SOC
Il punteggio delle minacce e i verdetti unificati riducono il rumore e i falsi positivi.
4. Analisi lenta su larga scala
Aether offre una velocità di elaborazione fino a 20 volte superiore e supporta oltre 25.000 analisi al giorno per server, consentendo un'ispezione completa del perimetro senza colli di bottiglia.
La trasformazione che le organizzazioni possono aspettarsi
Dopo aver implementato MetaDefender , le organizzazioni passano a:
- Dal rilevamento reattivo → alla resilienza proattiva
- Da strumenti isolati → a intelligenza unificata
- Da lunghe code di file → a verdetti quasi in tempo reale
Risultati chiave
I migliori verdetti in materia di file
Efficacia di rilevamento zero-day fino al 99,9%, convalidata da analisi su larga scala.
Velocità file veloce
L'analisi basata sull'emulazione fornisce risultati in pochi secondi, anziché in minuti.
Aumento della copertura del volume dei file
Tutti i file che entrano nel perimetro (allegati e-mail, trasferimenti, upload, supporti rimovibili) possono essere analizzati senza rallentare le operazioni.
Chi trae vantaggio da MetaDefender
Analisti SOC
Ricevi un unico verdetto affidabile con un ricco contesto comportamentale, riducendo i tempi di indagine manuale.
Cacciatori di minacce e team TI
Sfrutta la ricerca di somiglianze basata sul machine learning per individuare campioni, campagne e infrastrutture correlati.
Architetti della sicurezza
Integra il rilevamento zero-day direttamente nei flussi di lavoro MetaDefender Core, Email, MFT, ICAP, Storage e Cross-Domain.
CISO
Dimostrare una preparazione misurabile allo zero-day e la conformità con NIS2, NERC CIP, SWIFT CSP, IEC 62443 e CMMC.
Opzioni di implementazione MetaDefender
MetaDefender (versione standalone)
Una piattaforma completa per il rilevamento zero-day con sandboxing, intelligence sulle minacce, scoring e hunting per i flussi di lavoro SOC.
MetaDefender per Cloud
Un servizio sandbox e di intelligence sulle minacce completamente gestito e basato su SaaS per ambienti cloud-native e pipeline CI/CD.
MetaDefender per Core
Analisi dinamica integrata on-premise all'interno di MetaDefender Core: non richiede alcuna nuova infrastruttura ed è ideale per ambienti regolamentati e isolati.
Novità di Aether 3.0.0 e Threat Detection 2.0
I recenti miglioramenti chiave apportati tramite MetaDefender includono:
- Tagging di malware zero-day altamente affidabile
- Analisi approfondita dei formati di installazione di Windows
- Scansione di sicurezza dei modelli AI/ML
- Rilevamento di recenti exploit zero-day e campagne di phishing
- Miglioramento del rilevamento dello spoofing dei marchi e riduzione dei falsi positivi
- Analisi avanzata dei documenti crittografati
Questi aggiornamenti vengono implementati indipendentemente dagli aggiornamenti dell'infrastruttura, consentendo una risposta più rapida alle minacce emergenti. Scopri ciascuno di essi in dettaglio qui sotto.
- Tagging del malware zero-day: ora è possibile identificare il malware zero-day ad alta affidabilità e individuare minacce precedentemente invisibili che aggirano i controlli di reputazione e le firme AV aggiornate. Ciò offre una visibilità più chiara sulle nuove campagne di malware prima che si diffondano. Questa funzione richiedeCloud MetaDefender Core MetaDefender Cloud per inviare i file per la scansione multipla AV.
- Profili di esportazione report: consente di configurare profili di esportazione report che permettono agli utenti di definire impostazioni (ad esempio limiti di pagine, modalità stringa) e selezionare profili specifici tramite una finestra modale prima di generare i report.
- Creazione amministratori per amministratori - Aggiunta funzionalità che consente agli amministratori di creare utenti con password iniziali e assegnazioni di gruppo tramite la scheda Gestione utenti.
Miglioramenti
- Miglioramento dell'accuratezza del rilevamento dello spoofing dei marchi: il modello di rilevamento dei marchi è stato ricalibrato per ridurre significativamente i falsi positivi, garantendo un'identificazione più affidabile delle attività di phishing.
- Ricerche OSINT semplificate e migliorate - Le ricerche OSINT sono state semplificate e i risultati relativi alla reputazione locale sono ora visibili nei risultati OSINT come OFFLINE_REPUTATION.
- Migrazione della lista di esclusione IOC - La lista di esclusione IOC (elenco di autorizzazioni/blocchi) è stata spostata dal database dell'applicazione locale al pacchetto separato del database di rilevamento per consentire aggiornamenti frequenti.
- Pagina delle tendenze Miglioramenti alla tabella panoramica MITRE - Sono state aggiunte legende a colori per chiarire le categorie di classificazione e la tabella è stata ordinata in base alla corretta cronologia degli attacchi.
- Supporto proxy per certificati autofirmati - Documentata e abilitata l'aggiunta di certificati CA ai container Docker per supportare le installazioni dietro proxy che utilizzano certificati autofirmati.
- Endpoint API legacy - API legacy obsoleti sono stati rimossi.
- RafforzamentoCore - Componenti principali rafforzati con misure di sicurezza aggiuntive per potenziare la difesa complessiva.
- Rilevamento del tipo di file batch - Migliorato per aumentare la precisione su payload complessi.
- Miglioramenti al rilevamento dei codici QR - Miglioramenti per consentire la scansione delle immagini renderizzate nei documenti e nelle e-mail.
MetaDefender 3.0.0 - Rilevamento delle minacce (v2.0) Note di rilascio
MetaDefender supporta aggiornamenti indipendenti alla logica di rilevamento e alle informazioni sulle minacce, consentendo una distribuzione più rapida delle nuove protezioni e una risposta più rapida alle minacce emergenti. Negli ultimi mesi sono stati forniti i seguenti aggiornamenti.
- Miglioramenti significativi all'analisi dell'installatore PE - Aggiunta l'estrazione e l'analisi statica approfondita per gli installatori Windows: NSIS, Inno, InstallShield, Advanced Installer, Wise, WiX, InstallAnywhere e Actual Installer. Ora estrae i file incorporati prioritari, analizza gli script di installazione e valuta gli installatori personalizzati in modo euristico.
- Scansione di sicurezza dei modelli AI/ML - Introdotta l'analisi di sicurezza per i modelli di Machine Learning, inclusi l'analisi multi-serializzazione e l'ispezione statica approfondita per rilevare payload dannosi nascosti prima che abbiano un impatto sui flussi di lavoro AI.
- Rilevamento degli exploit zero-day - Aggiunto il rilevamento delle recenti vulnerabilità LNK di Windows Explorer (CVE-2025-50154, CVE-2025-59214) che divulgano le credenziali NTLM senza l'interazione dell'utente. Inoltre, è stato introdotto il rilevamento dello sfruttamento critico XXE in Apache Tika (CVE-2025-66516).
- Informazioni sulle campagne di phishing: introdotti indicatori per esche stagionali/opportunistiche (festività, eventi globali). Migliora il raggruppamento delle campagne e il rilevamento precoce del phishing.
Miglioramenti
- Documenti crittografati: decrittografia avanzata per documenti Office e PDF protetti grazie all'introduzione di un recupero password in più fasi con logica di fallback per i file crittografati inviati tramite phishing.
- Rilevamento delle varianti ClickFix - Rilevamento migliorato delle nuove varianti ClickFix che abusano degli URL con codifica esadecimale e dell'esecuzione msiexec.
- Precisione dell'analisi delle e-mail e del phishing: analisi EML migliorata per associare correttamente le immagini agli URL incorporati, supportare allegati di testo e migliorare il rilevamento delle call-to-action in più lingue.
Perché è importante il rilevamento unificato degli attacchi zero-day sul perimetro
Gli attacchi zero-day non aspettano che i file raggiungano gli endpoint. Entrano attraverso e-mail, trasferimento di file, caricamenti su cloud e supporti rimovibili.
Posizionando MetaDefender sul perimetro, le organizzazioni:
- Blocca gli attacchi prima dell'esecuzione
- Ridurre il rischio di spostamenti laterali
- Rafforzare ogni controllo di sicurezza a valle
Non si tratta solo di sandboxing. È un sistema di rilevamento zero-day in continuo apprendimento.
MetaDefender trasforma il sandboxing in una piattaforma unificata di rilevamento zero-day basata sull'intelligence, garantendo velocità, scalabilità e precisione senza compromessi.
Fermiamo gli attacchi di domani che nessuno sa che esistono.
