Che cos'è il rilevamento zero-day?
Il rilevamento zero-day è il processo che consente di identificare i file dannosi prima che nei database antivirus esista una firma corrispondente. Gli strumenti antivirus tradizionali sono per loro natura reattivi: possono bloccare solo le minacce che il loro produttore ha già catalogato. Il lasso di tempo che intercorre tra la prima comparsa di una minaccia e il momento in cui i produttori di antivirus creano un modello di rilevamento costituisce la finestra temporale in cui operano gli hacker.
In breve / Punti chiave
- Secondo l'analisi OPSWAT sul rilevamento degli attacchi zero-day nel 2026, basata su oltre un milione di rilevamenti di file, i motori antivirus tradizionali hanno registrato un ritardo medio di 3,0 giorni nel rilevamento degli attacchi zero-day, con un'esposizione massima che ha raggiunto i 26,7 giorni
- Solo il 3,7% delle minacce zero-day è stato rilevato dai motori antivirus tradizionali entro 24 ore dalla loro prima comparsa
- I tipi di file di script e documenti presentano sistematicamente i tempi di esposizione più lunghi, con i documenti Office che registrano in media un ritardo di 6,9 giorni rispetto al rilevamento
- Circa il 20,8% delle vulnerabilità zero-day presenti nel set di dati è stato infine rilevato dai motori antivirus tradizionali; una parte significativa di esse presentava tempi di risposta talmente lunghi da non garantire, di fatto, alcuna protezione
- MetaDefender fornisce un unico verdetto, corredato da un punteggio di affidabilità, per ogni singolo file, utilizzando una pipeline di rilevamento a quattro livelli che non si basa sul confronto con modelli prestabiliti
Gli antivirus tradizionali hanno un problema di tempistica
Gli strumenti antivirus tradizionali rilevano le minacce confrontando i file con un database di firme di malware note. Un file che non corrisponde a nessun modello esistente potrebbe passare inosservato. Questa dipendenza strutturale dalle conoscenze pregresse crea un ritardo tangibile e sfruttabile tra il momento in cui una minaccia si manifesta e quello in cui l'antivirus è in grado di bloccarla.
Secondo la nostra analisi del 2026 sul rilevamento delle minacce zero-day, basata su oltre un milione di rilevamenti di file, i motori antivirus tradizionali hanno registrato un ritardo medio di 3,0 giorni nel rilevamento delle minacce zero-day, con una mediana di 2,0 giorni. Nel caso peggiore, l'esposizione ha raggiunto i 26,7 giorni. Solo il 3,7% delle minacce zero-day nel set di dati è stato rilevato dai motori antivirus tradizionali entro 24 ore. Circa il 3% ha richiesto più di una settimana per ricevere una risposta di rilevamento.
Una nota sulla metodologia: la media su 3,0 giorni esclude i file con tempi di risposta dell'antivirus molto lunghi e quelli per i quali non è stata rilevata alcuna corrispondenza con i modelli. Il set di dati completo riflette una gamma più ampia di risultati. Nei dati sottostanti è presente anche una percentuale di falsi positivi bassa ma non nulla.
I dati partono da momenti come questo. Al momento della scansione, nessuno dei 20 motori antivirus che abbiamo utilizzato aveva segnalato il file e nessun servizio di reputazione lo aveva registrato. La minaccia era già stata confermata.
La maggior parte degli attacchi zero-day non corrisponde mai a uno schema noto
Il problema dei tempi si aggrava quando i motori antivirus non producono affatto una corrispondenza con una firma relativa a una minaccia. Nella nostra analisi, circa il 20,8% dei file zero-day è stato infine rilevato dai motori antivirus tradizionali. Circa il 17,9% non presentava alcuna corrispondenza storica con i pattern, risultando così completamente escluso dal catalogo di qualsiasi motore antivirus analizzato. Si stima che il 54% abbia avuto tempi di risposta antivirus così lunghi da non rappresentare, in pratica, alcuna protezione. Va notato che questa cifra, come le altre, presenta un tasso di falsi positivi basso ma non nullo e dovrebbe essere considerata indicativa.
Quando i motori antivirus riescono finalmente a individuare la minaccia, la copertura rimane limitata. Da una nuova scansione effettuata in un secondo momento è emerso che solo tre di quei 20 motori antivirus avevano rilevato una corrispondenza per lo stesso file. La maggior parte non aveva ancora rilevato nulla.
Il rilevamento basato su modelli richiede che il fornitore osservi, analizzi e cataloghi una minaccia prima che sia possibile garantire la protezione. Nel caso di malware di nuova generazione o deliberatamente occultato, tale processo potrebbe non completarsi mai oppure concludersi troppo tardi per essere efficace.
Dove il rilevamento AV tradizionale è più carente
Non tutti i tipi di file comportano lo stesso livello di rischio in caso di ritardi nel rilevamento da parte dell'antivirus. Secondo la nostra analisi, i file basati su script e quelli basati su documenti presentano sistematicamente i periodi di esposizione più lunghi, e si tratta di tipi di file presenti in quasi tutti i flussi di lavoro aziendali.
Tipo di file | Media dei giorni necessari per il rilevamento delle minacce da parte degli antivirus tradizionali |
Documenti di Office | circa 6,9 giorni |
PowerShell | circa 6,3 giorni |
Script VBS | circa 4,9 giorni |
HTA | circa 3,5 giorni |
PE (file eseguibili) | circa 3,1 giorni |
I documenti di Office e i formati di scripting sono in cima alla lista proprio perché la loro complessità rende più difficile la generazione delle firme. Le macro, gli oggetti incorporati e le logiche di esecuzione a più fasi offrono agli hacker un campo d'azione più ampio e costringono i produttori di antivirus a un lavoro più impegnativo prima di poter creare un modello affidabile.
I file PE (Portable Executable) occupano l'ultimo posto nella classifica dei ritardi, ma registrano comunque una media di oltre tre giorni di esposizione non rilevata. Per gli eseguibili che entrano in ambienti di infrastrutture critiche, nei processi di applicazione delle patch o nei flussi di file regolamentati, tre giorni non rappresentano un intervallo di tempo accettabile.
Perché i sistemi di rilevamento tradizionali sono in ritardo
Il rilevamento basato su modelli funziona confrontando un file con una libreria di firme di malware note. Quando viene individuata una corrispondenza, il file viene bloccato. Se non vi è alcuna corrispondenza, il file viene autorizzato. Il modello dipende interamente dall'esposizione precedente: una minaccia deve essere individuata, analizzata e catalogata prima che sia possibile garantire una protezione. Nel caso di un file sconosciuto, tale sequenza non è ancora stata eseguita.
Questo limite strutturale è sempre esistito. Ciò che è cambiato è la velocità con cui gli hacker riescono a generare nuove varianti. Gli hacker utilizzano ora l'intelligenza artificiale e l'apprendimento automatico per produrre su larga scala malware offuscato e evasivo, creando file progettati appositamente per eludere qualsiasi firma esistente. Ogni variante generata è tecnicamente nuova per i database antivirus, anche se la logica di attacco sottostante non lo è.
Le tecniche di elusione aggravano ulteriormente il problema. Gli autori di malware creano regolarmente file progettati per evitare di essere identificati come minacce catalogate al momento dell'accesso, utilizzando tecniche quali:
- Compressione e crittografia per nascondere il contenuto dei file
- Polimorfismo per generare varianti strutturalmente uniche
- Consegna in più fasi per ritardare il comportamento dannoso fino a dopo l'accesso
- Controlli delle condizioni di esecuzione che sospendono l'attività fino al raggiungimento di un punto finale effettivo
Gli strumenti basati sulle firme non dispongono di alcun meccanismo in grado di anticipare nessuna di queste sequenze. Il risultato è un modello di rilevamento che diventa sempre meno efficace man mano che gli strumenti degli hacker diventano più sofisticati. Il divario tra la prima comparsa e il primo rilevamento non si colma rapidamente da solo. Al contrario, si allarga.
Come individuiamo le minacce prima che si verifichi una corrispondenza con un modello
MetaDefender è una soluzione unificata per il rilevamento degli attacchi zero-day, progettata per identificare i file dannosi che non possono essere individuati esclusivamente tramite il confronto delle firme. Anziché limitarsi a verificare se un file corrisponde a un modello noto, MetaDefender pone quattro domande sempre più approfondite su ogni file che passa attraverso il sistema, combinando le risposte in un unico verdetto con un punteggio di affidabilità.
Livello 1: Reputazione delle minacce (efficacia del 48,7%)
Ogni file che entra nella pipeline viene analizzato confrontandolo con i database OPSWAT di intelligence sulle minacce OPSWAT . I file dannosi noti vengono bloccati immediatamente. I file affidabili vengono elaborati con procedura accelerata. Secondo la nostra analisi, questo livello da solo ha risolto il 48,7% delle minacce, preservando la capacità della pipeline ed evitando un'elaborazione superflua per i file che non richiedono un'ispezione più approfondita.
Livello 2: Adaptive tramite emulazione a livello di istruzione (efficacia cumulativa dell'83,4%)
I file che superano il controllo del livello di reputazione entrano nella sandbox adattiva MetaDefender . Anziché ricorrere a macchine virtuali, la sandbox emula a livello di istruzioni della CPU e del sistema operativo oltre 120 tipi di file. Questo approccio costringe i file a eseguire l'intero percorso di codice, indipendentemente dal fatto che rilevino o meno un ambiente virtualizzato. Il malware in grado di riconoscere le macchine virtuali, che altrimenti rimarrebbe inattivo, non può sopprimere il proprio comportamento nell'ambito dell'emulazione a livello di istruzioni. Gli IOC (indicatori di compromissione) appena scoperti da questo livello vengono reimmessi nel Livello 1, rafforzando il database di reputazione ad ogni ciclo di analisi.
Un motore di firma rileva uno script offuscato e non trova alcuna corrispondenza. L'emulazione consente comunque l'esecuzione del file. Nel momento in cui decrittografa il payload nascosto e lo carica in memoria, l'intento diventa evidente.
Livello 3: Valutazione delle minacce basata sull'apprendimento automatico (efficacia cumulativa del 99,3%)
Diversi motori di apprendimento automatico analizzano i segnali comportamentali, i modelli di anomalia e gli IOC estratti dal livello sandbox. A ogni file viene assegnato un punteggio di rischio strutturato e ponderato in base al livello di affidabilità. I dati telemetrici grezzi vengono trasformati in un chiaro segnale decisionale, riducendo i falsi positivi e minimizzando il carico di lavoro di revisione da parte degli analisti che solitamente deriva dai risultati frammentati degli strumenti.
Esegui una scansione gratuita dei tuoi file utilizzando i nostri motori di rilevamento su filescan.io/scan.
Livello 4: Ricerca per somiglianza basata sull'intelligenza artificiale (efficacia cumulativa del 99,9%)
L'ultimo livello confronta l'impronta comportamentale di ciascun file con un database contenente oltre 100 milioni di campioni di malware analizzati. I file vengono automaticamente associati a famiglie di minacce, campagne e toolkit di attacco noti, qualora vi siano corrispondenze. I file per i quali non si riscontrano corrispondenze precedenti vengono convertiti in nuove informazioni, arricchendo così i modelli di rilevamento sia globali che locali. Questo livello porta l'efficacia complessiva del rilevamento al 99,9%.
MetaDefender rispetto agli approcci tradizionali Sandbox antivirus
I sandbox tradizionali basati su AV e VM affrontano ciascuno una parte del problema del rilevamento degli attacchi zero-day, ma nessuno dei due fornisce un verdetto unificato che tenga conto di reputazione, comportamento, punteggio e ricerca di somiglianze. La tabella sottostante mette a confronto le prestazioni di ciascun approccio rispetto alle funzionalità più rilevanti a livello di perimetro.
Capacità | Motori AV tradizionali | Sandbox basata su macchina virtuale | MetaDefender |
Metodo di rilevamento | Basato su modelli | Comportamentale (isolato) | Pipeline unificata a quattro livelli |
Resistenza all'evasione | Basso | Medio (rilevabile da VM) | Alto (emulazione a livello di istruzione) |
Tempo necessario per il verdetto | Ritardo da zero a oltre 26 giorni | Variabile | Quasi in tempo reale |
Integrazione SIEM/SOAR | In edizione limitata | Correlazione manuale | Strutturato, nativo |
Efficienza delle risorse | Basso | Elevata potenza di calcolo | 100x rispetto alla sandbox basata su VM |
Tipo di sentenza | Corrispondenza/non corrispondenza | Report per singolo strumento | Verdetto unico con punteggio di affidabilità |
Le sandbox basate su macchine virtuali migliorano il rilevamento basato sulle firme osservando il comportamento dei file durante l'esecuzione. Il limite è che gli autori di malware ne sono consapevoli. I controlli dell'ambiente, i ritardi temporali e il fingerprinting delle macchine virtuali consentono alle minacce sofisticate di individuare le condizioni della sandbox e di sospendere il comportamento dannoso fino a quando non raggiungono un endpoint reale. L'emulazione a livello di istruzione elimina completamente questa possibilità di elusione.
Il divario in termini di risorse è significativo anche a livello perimetrale. Il sandboxing basato su macchine virtuali richiede una notevole potenza di calcolo per ogni singolo file. MetaDefender garantisce un'efficienza delle risorse 100 volte superiore rispetto agli approcci basati su macchine virtuali, combinando l'emulazione a livello di istruzione con una pipeline a più livelli che inoltra solo i file che richiedono un'analisi più approfondita.
Per saperne di più sulle principali differenze tra sandbox tradizionali e adattivi, clicca qui.
Quando utilizzare il rilevamento zero-day al posto della tecnologia Deep CDR™ o in combinazione con essa
La tecnologia Deep CDR™ e MetaDefender risolvono problematiche diverse. Comprendere questa differenza è fondamentale per gli architetti della sicurezza che progettano flussi di lavoro per l'ispezione dei file, in particolare in contesti soggetti a normative o in infrastrutture critiche.
La tecnologia Deep CDR™ neutralizza in modo proattivo le minacce legate ai file rimuovendo i contenuti potenzialmente dannosi, tra cui macro, script e oggetti incorporati, da oltre 200 tipi di file e rigenerando una versione pulita e pienamente utilizzabile. Questa tecnologia non si basa sul rilevamento: un file viene ripulito indipendentemente dal fatto che la minaccia venga o meno confermata. Per i flussi di lavoro basati su documenti in cui i file possono essere ricostruiti in modo sicuro, la tecnologia Deep CDR™ rimuove la minaccia prima che abbia la possibilità di essere eseguita.
Leggi qui il nostro precedente articolo per scoprire più nel dettaglio come funziona.
MetaDefender è lo strumento ideale quando i file non possono essere modificati. I file eseguibili, le patch, il firmware, i programmi di installazione e gli script devono rimanere intatti, byte per byte, per funzionare correttamente. La loro sanificazione non è un'opzione praticabile. Anche i documenti soggetti a regolamentazione nei settori sanitario, legale e finanziario possono essere soggetti a requisiti legali o di conformità che ne vietano la modifica. Per questi tipi di file, l'analisi dinamica rappresenta l'unica via praticabile per l'ispezione.
Le due tecnologie non si escludono a vicenda. In pratica, la maggior parte degli ambienti aziendali e delle infrastrutture critiche gestisce sia i tipi di file modificabili che quelli non modificabili all'interno degli stessi flussi di lavoro. La tecnologia Deep CDR™ gestisce i documenti e i formati di Office che possono essere ricostruiti in modo sicuro. MetaDefender gestisce i file che non possono essere modificati. Insieme, garantiscono una copertura completa di tutti i tipi di file che entrano in un ambiente.
Le minacce zero-day non aspettano che esista una firma, e nemmeno le tue difese dovrebbero farlo.
Domande frequenti
Qual è la differenza tra il rilevamento zero-day e gli antivirus tradizionali?
Gli antivirus tradizionali rilevano le minacce confrontando i file con una libreria di firme di malware note. Il rilevamento zero-day identifica le minacce per le quali non esistono firme, analizzando il comportamento dei file, la loro reputazione e le caratteristiche strutturali. MetaDefender combina quattro livelli di analisi per fornire una valutazione dei file con un'efficacia del 99,9%, mentre gli strumenti antivirus tradizionali li lascerebbero passare senza segnalarli.
Quanto tempo impiegano i motori antivirus tradizionali a rilevare una minaccia zero-day?
Secondo l'analisi OPSWAT sul rilevamento delle vulnerabilità zero-day nel 2026, condotta su oltre un milione di rilevamenti di file, i motori antivirus tradizionali hanno registrato un ritardo medio di 3,0 giorni nel rilevamento delle vulnerabilità zero-day, con una mediana di 2,0 giorni. Nel caso peggiore, l'esposizione ha raggiunto i 26,7 giorni. Solo il 3,7% delle minacce zero-day ha ricevuto una risposta di rilevamento antivirus entro 24 ore. La media di 3,0 giorni esclude i file con tempi di risposta molto lunghi e quelli senza una cronologia di corrispondenza dei pattern, quindi l'intervallo completo di esposizione è più ampio di quanto suggerisca questa cifra da sola.
Quali sono i tipi di file più difficili da rilevare per gli antivirus?
I tipi di file basati su script e su documenti presentano sistematicamente i tempi di rilevamento antivirus più lunghi. Nell'analisi OPSWAT nel 2026, i documenti Office hanno registrato un ritardo medio di 6,9 giorni nel rilevamento, i file PowerShell di 6,3 giorni e gli script VBS di 4,9 giorni. Questi tipi di file sono presenti in quasi tutti i flussi di lavoro aziendali, rendendo il periodo di esposizione particolarmente rilevante dal punto di vista operativo.
In che modo l'emulazione a livello di istruzione riesce a contrastare il malware in grado di rilevare la macchina virtuale?
Il malware sensibile alla virtualizzazione utilizza controlli dell'ambiente, ritardi temporali e l'identificazione delle impronte digitali della virtualizzazione per rilevare quando è in esecuzione all'interno di una sandbox e sopprimere il proprio comportamento dannoso. L'emulazione a livello di istruzione aggira queste tecniche emulando a livello di CPU e di sistema operativo, anziché eseguire una macchina virtuale completa. Il file non dispone di alcun metodo affidabile per distinguere l'ambiente emulato da un endpoint reale, rendendo notevolmente più difficile sopprimerne l'esecuzione ed esponendo comportamenti che altrimenti rimarrebbero nascosti.
MetaDefender sostituisce una sandbox?
MetaDefender include il sandboxing adattivo come uno dei suoi quattro livelli di rilevamento, ma non è un prodotto sandbox autonomo. Combina la reputazione delle minacce, l'emulazione a livello di istruzione, la valutazione delle minacce basata sul machine learning e la ricerca di somiglianze alimentata dall'intelligenza artificiale in un unico flusso di elaborazione che fornisce un verdetto con un punteggio di affidabilità per ogni file. Le organizzazioni che sostituiscono una sandbox autonoma basata su VM con MetaDefender ottengono una maggiore resistenza alle tecniche di evasione, una copertura di rilevamento più ampia e un carico sulle risorse notevolmente ridotto.
