Mi az a zero-day észlelés?
A zero-day észlelés az a folyamat, amelynek során a rosszindulatú fájlokat még azelőtt azonosítják, hogy azokhoz megfelelő szignatúra megjelenne a víruskereső adatbázisokban. A hagyományos víruskereső eszközök alapvetően reaktívak: csak azokat a fenyegetéseket tudják blokkolni, amelyeket a gyártójuk már katalogizált. A fenyegetés első megjelenése és az a pillanat között, amikor a víruskereső-gyártók elkészítik az észlelési mintát, nyílik meg az a rés, amelyben a támadók kihasználják a biztonsági rést.
Összefoglalás / A legfontosabb tanulságok
- OPSWAT 2026-os, több mint egymillió fájlelemzésen alapuló, a zero-day támadások felderítésére vonatkozó elemzése szerint a hagyományos víruskereső motorok átlagosan 3,0 nappal maradtak le a zero-day támadások felderítésében, a legrosszabb esetben pedig ez az időtartam elérte a 26,7 napot
- A zero-day fenyegetések mindössze 3,7%-át észlelték a hagyományos víruskereső motorok az első megjelenéstől számított 24 órán belül
- A szkript- és dokumentumfájltípusok esetében következetesen a leghosszabb észlelési késleltetési időtartamok figyelhetők meg, az Office-dokumentumok esetében az észlelés után átlagosan 6,9 nappal
- Az adatbázisban szereplő zero-day sebezhetőségek körülbelül 20,8%-át sikerült végül a hagyományos víruskereső motoroknak észlelniük; ezek jelentős részének reakcióideje olyan hosszú volt, hogy gyakorlatilag semmilyen védelmet nem nyújtottak
- MetaDefender egy négyrétegű észlelési folyamat segítségével minden fájlra vonatkozóan egyetlen, bizalmi pontszámmal ellátott értékelést ad, amely nem támaszkodik mintázat-összehasonlításra
A hagyományos vírusirtóknak időzítési problémájuk van
A hagyományos víruskereső programok úgy észlelik a fenyegetéseket, hogy a fájlokat egy ismert kártevő-szignatúrákat tartalmazó adatbázissal vetik össze. Az a fájl, amelyik nem egyezik meg egyetlen meglévő mintával sem, akadálytalanul átjuthat a rendszeren. Ez a korábbi ismeretekre való strukturális függőség mérhető, kihasználható késleltetést eredményez a fenyegetés megjelenése és az antivírusprogram általi megakadályozása között.
A több mint egymillió fájlelemzésen alapuló, 2026-os zero-day-észlelési elemzésünk szerint a hagyományos víruskereső motorok átlagosan 3,0 nappal, medián értékben pedig 2,0 nappal maradtak le a zero-day-fenyegetések észlelésétől. A legrosszabb esetben a kitettség 26,7 napig tartott. Az adatkészletben szereplő zero-day fenyegetések mindössze 3,7%-át észlelték a hagyományos víruskereső motorok 24 órán belül. Körülbelül 3% esetében több mint egy hétbe telt, mire bármilyen észlelési válasz érkezett.
Módszertanimegjegyzés : A 3,0 napos átlag nem tartalmazza azokat a fájlokat, amelyeknél az antivírus-program reakcióideje rendkívül hosszú, illetve azokat, amelyeknél egyáltalán nincs korábbi mintázat-egyezés. A teljes adathalmaz szélesebb körű eredményeket tükröz. Az alapul szolgáló adatokban alacsony, de nullától eltérő téves riasztási arány is megfigyelhető.
Az adatok ilyen pillanatokkal kezdődnek. A vizsgálat idején a 20 általunk használt víruskereső motor közül egy sem jelzett riasztást a fájlra vonatkozóan, és egyetlen hírnév-szolgáltatás sem rögzítette azt. A fenyegetés már akkor is megerősítést nyert.
A legtöbb zero-day támadás soha nem felel meg egyetlen ismert mintának sem
A problémát tovább súlyosbítja, hogy az antivírus-motorok egyes fenyegetések esetében egyáltalán nem állítanak elő megfelelő szignatúrát. Elemzésünk szerint a zero-day fájlok körülbelül 20,8%-át végül a hagyományos antivírus-motorok is észlelték. Körülbelül 17,9%-uk esetében semmiféle mintázat-egyezés nem volt nyilvántartva, így ezek teljes mértékben kívül estek az összes vizsgált antivírus-motor adatbázisán. Becslések szerint 54%-uk esetében az antivírus-reakcióidő olyan hosszú volt, hogy a gyakorlatban gyakorlatilag semmilyen védelmet nem nyújtottak. Meg kell jegyezni, hogy ez a szám, a többihez hasonlóan, alacsony, de nullától eltérő téves riasztási arányt tartalmaz, és irányadóként kell kezelni.
Amikor az antivírus-motorok végül felzárkóznak, a lefedettség továbbra is korlátozott marad. Későbbi újbóli vizsgálat során a 20 antivírus-motor közül csupán három talált egyezést ugyanazon fájlra vonatkozóan. A többség továbbra sem talált semmit.
A mintalapú észleléshez a gyártónak meg kell figyelnie, elemeznie és nyilvántartásba vennie a fenyegetést, mielőtt védelmet tudna nyújtani. Új vagy szándékosan álcázott kártevő programok ellen ez a folyamat vagy soha nem fejeződik be, vagy túl későn fejeződik be ahhoz, hogy hatása legyen.
Mely területeken marad le leginkább a hagyományos AV-felismerés
Nem minden fájltípus jelent ugyanolyan kockázatot, ha a víruskereső program késleltetve észleli a fenyegetést. Elemzésünk szerint a szkript- és dokumentumalapú fájlok esetében tartósan a leghosszabb a védelem nélküli időtartam, és éppen ezek a fájltípusok jelennek meg szinte minden vállalati munkafolyamatban.
Fájltípus | A hagyományos víruskeresők által észlelt fenyegetések átlagos észlelési ideje |
Irodai dokumentumok | ~6,9 nap |
PowerShell | ~6,3 nap |
VBS szkriptek | ~4,9 nap |
HTA | ~3,5 nap |
PE (végrehajtható fájlok) | ~3,1 nap |
Az irodai dokumentumok és a szkriptformátumok éppen azért állnak a lista élén, mert összetettségük megnehezíti az aláírások generálását. A makrók, a beágyazott objektumok és a többlépcsős végrehajtási logika több támadási felületet kínál a támadóknak, és a víruskereső-gyártóknak is több területet kell lefedniük, mielőtt megbízható mintát tudnának írni.
A PE (Portable Executable) fájlok a késleltetési rangsor legalsó helyén állnak, mégis átlagosan több mint három napig maradtak észrevétlenül. A kritikus infrastruktúrákba, a frissítési folyamatokba vagy a szabályozott fájláramlásokba bekerülő végrehajtható fájlok esetében három nap nem elfogadható időtartam.
Miért maradnak le a hagyományos észlelési módszerek?
A mintalapú észlelés úgy működik, hogy a fájlt összehasonlítja az ismert kártevő-aláírásokból álló adatbázissal. Ha egyezést talál, a fájlt blokkolja. Ha nincs egyezés, a fájl átjut. A modell teljes mértékben a korábbi tapasztalatokra támaszkodik: a védelem csak akkor lehetséges, ha a fenyegetést előzetesen észlelték, elemezték és nyilvántartásba vették. Egy új fájl esetében ez a folyamat még nem zajlott le.
Ez a strukturális korlát mindig is létezett. Ami megváltozott, az az a sebesség, amellyel a támadók új változatokat tudnak létrehozni. A támadók manapság mesterséges intelligenciát és gépi tanulást alkalmaznak, hogy nagy mennyiségben állítsanak elő elrejtett, felismerhetetlen kártevő programokat, olyan fájlokat hozva létre, amelyek kifejezetten úgy lettek megtervezve, hogy ne egyezzenek meg egyetlen meglévő szignatúrával sem. Minden generált változat technikailag új az antivírus-adatbázisok számára, még akkor is, ha az alapjául szolgáló támadási logika nem az.
A felismerés elkerülésére szolgáló technikák tovább súlyosbítják a problémát. A rosszindulatú programok készítői rendszeresen úgy alakítják ki a fájlokat, hogy azok a behatoláskor ne egyezzenek meg egyetlen nyilvántartott fenyegetéssel sem, például az alábbi technikák alkalmazásával:
- Csomagolás és titkosítás a fájlok tartalmának elrejtése érdekében
- Polimorfizmus szerkezetileg egyedi variánsok létrehozására
- Többfázisú kivitelezés a rosszindulatú tevékenységek belépés utáni elhalasztása érdekében
- Olyan végrehajtási feltételek ellenőrzése, amelyek a tevékenységet elhalasztják, amíg el nem érik a tényleges végpontot
Az aláírásalapú eszközök nem rendelkeznek olyan mechanizmussal, amely előre jelezné ezeket a folyamatokat. Ennek eredményeként olyan észlelési modell jön létre, amelynek hatékonysága csökken, ahogy a támadók eszközei egyre kifinomultabbá válnak. Az első megjelenés és az első észlelés közötti különbség nem csökken gyorsan magától. Éppen ellenkezőleg: egyre növekszik.
Hogyan észleljük a fenyegetéseket még mielőtt bármilyen mintaegyezés felmerülne
MetaDefender egy egységes zero-day-észlelési megoldás, amelyet olyan rosszindulatú fájlok azonosítására terveztek, amelyeket pusztán a szignatúra-egyeztetéssel nem lehet kiszűrni. Ahelyett, hogy azt vizsgálná, hogy egy fájl egyezik-e egy ismert mintával, MetaDefender négy, egymást követő, egyre mélyebb kérdést tesz fel minden általa feldolgozott fájlról, majd a válaszokat egyetlen, bizalmi pontszámmal ellátott értékelésbe foglalja össze.
1. réteg: Fenyegetés-hírnév (48,7%-os hatékonyság)
A feldolgozási folyamatba bekerülő minden fájlt az OPSWAT fenyegetés-információs adatbázisaival vetünk össze. Az ismert rosszindulatú fájlokat azonnal blokkoljuk. A megbízható fájlok feldolgozása gyorsított eljárás keretében történik. Elemzésünk szerint ez a réteg önmagában a fenyegetések 48,7%-át semlegesítette, ezzel megőrizve a feldolgozási folyamat kapacitását, és elkerülve a mélyebb vizsgálatot nem igénylő fájlok felesleges feldolgozását.
2. réteg: Adaptive utasításszintű emulációval (83,4%-os kumulatív hatékonyság)
Azok a fájlok, amelyek átmennek a hírnév-ellenőrzésen, a MetaDefender adaptív homokozójába kerülnek. A homokozó nem virtuális gépeket használ, hanem több mint 120 fájltípus esetében a CPU és az operációs rendszer utasításainak szintjén emulálja a környezetet. Ez a megközelítés arra kényszeríti a fájlokat, hogy teljes kódútvonalukat végrehajtsák, függetlenül attól, hogy felismerik-e a virtualizált környezetet. Azok a virtuális gépeket felismerő kártevők, amelyek egyébként inaktívak maradnának, az utasítás-szintű emuláció mellett sem tudják elrejteni viselkedésüket. Az ebből a rétegből származó, újonnan felfedezett IOC-k (kompromittáltsági indikátorok) visszakerülnek az 1. rétegbe, így minden elemzési ciklussal megerősítve a hírnévadatbázist.
A szignatúra-alapú motor egy kódolt szkriptet észlel, de nem talál egyezést. Az emuláció ennek ellenére végrehajtja a fájlt. Amint a rejtett hasznos adatot visszafejtik és a memóriába töltik, a szándék nyilvánvalóvá válik.
3. réteg: Gépi tanuláson alapuló fenyegetésértékelés (99,3%-os kumulatív hatékonyság)
Több gépi tanulási motor elemzi a viselkedési jeleket, a rendellenességi mintákat és a sandbox rétegből kinyert IOC-ket. Minden fájl strukturált, megbízhatósági súlyozással ellátott kockázati pontszámot kap. A nyers telemetriai adatok egyértelmű döntési jelekké alakulnak át, ami csökkenti a téves riasztások számát, és minimálisra csökkenti az elemzők terhelését, amelyet a széttagolt eszközök kimenetei általában okoznak.
Ellenőrizze fájljait ingyenesen a filescan.io/scan oldalon található víruskereső motorjaink segítségével.
4. réteg: Mesterséges intelligencián alapuló hasonlósági keresés (99,9%-os kumulatív hatékonyság)
A legfelső réteg az egyes fájlok viselkedési jellemzőit egy több mint 100 millió elemzett kártevőminta adatbázisával vet össze. A fájlokat automatikusan az ismert fenyegetéscsaládokhoz, kampányokhoz és támadási eszközkészletekhez rendelik, amennyiben találnak egyezést. Azok a fájlok, amelyekre korábban nem találtak egyezést, új információkká alakulnak át, gazdagítva ezzel mind a globális, mind a helyi észlelési modelleket. Ez a réteg az észlelési hatékonyságot 99,9%-ra emeli.
MetaDefender a hagyományos Sandbox víruskereső-megoldásokkal szemben
A hagyományos antivírus-megoldások és a virtuális gépeken alapuló homokládák mindegyike a zero-day fenyegetések felismerésének problémájára ad részleges választ, de egyik sem nyújt egységes értékelést a hírnév, a viselkedés, a pontszám és a hasonlósági keresés tekintetében. Az alábbi táblázat összehasonlítja, hogy az egyes megközelítések hogyan teljesítenek a hálózati peremterületen legfontosabb funkciók tekintetében.
Képesség | Hagyományos AV-motorok | VM-alapú Sandbox | MetaDefender |
Észlelési módszer | Mintán alapuló | Viselkedési (izolált) | Négyrétegű egységes csővezeték |
Kibúvóhelyek ellenállása | Alacsony | Közepes (VM-mel észlelhető) | Magas (utasításszintű emuláció) |
Az ítélet kihirdetéséig | 0–26 napos késés | Változó | Szinte valós időben |
SIEM/SOAR integráció | Korlátozott | Kézi korreláció | Szerkezetes, natív |
Erőforrás-hatékonyság | Alacsony | Nagy számítási teljesítmény | 100-szeres összehasonlítás a virtuális gépen alapuló sandboxszal |
Az ítélet típusa | Egyezés/nem egyezés | Eszközönkénti jelentés | Egyetlen, bizalmi pontszámmal alátámasztott ítélet |
A virtuális gépeken alapuló sandboxok a futásidejű fájlviselkedés megfigyelésével javítanak a szignatúra-alapú észlelésen. A korlátot az jelenti, hogy a kártevőprogramok szerzői tisztában vannak ezzel. A környezetellenőrzés, az időzítési késleltetések és a virtuális gépek ujjlenyomat-elemzése lehetővé teszi a kifinomult fenyegetések számára, hogy felismerjék a sandbox körülményeit, és visszatartsák a rosszindulatú viselkedést mindaddig, amíg el nem érik a valódi végpontot. Az utasításszintű emuláció teljes mértékben kiküszöböli ezt a kijátszási lehetőséget.
Az erőforrásigény a hálózati peremterületeken is jelentős. A virtuális gépen alapuló szandboxolás fájlonként jelentős számítási kapacitást igényel. MetaDefender az utasításszintű emulációt egy olyan réteges feldolgozási folyamattal ötvözi, amely csak a mélyebb elemzést igénylő fájlokat továbbítja a rendszerbe, így 100-szor hatékonyabban használja ki az erőforrásokat, mint a virtuális gépen alapuló megoldások.
A hagyományos és az adaptív sandboxok közötti legfontosabb különbségekről itt olvashat bővebben.
Mikor érdemes a Deep CDR™ technológia helyett vagy azzal párhuzamosan a zero-day észlelést használni
A Deep CDR™ technológia és MetaDefender különböző problémák megoldására szolgálnak. A kettő közötti különbség megértése fontos azoknak a biztonsági tervezőknek, akik fájlvizsgálati munkafolyamatokat alakítanak ki, különösen szabályozott vagy kritikus infrastruktúrájú környezetekben.
A Deep CDR™ technológia proaktív módon semlegesíti a fájlalapú fenyegetéseket azáltal, hogy több mint 200 fájltípusból eltávolítja a potenciálisan káros tartalmakat – ideértve a makrókat, szkripteket és beágyazott objektumokat –, majd létrehoz egy tiszta, teljes mértékben használható változatot. Ez a technológia nem az észlelésen alapul. A fájl tisztításra kerül függetlenül attól, hogy a fenyegetés végül megerősítést nyer-e vagy sem. A dokumentumalapú munkafolyamatok esetében, ahol a fájlok biztonságosan rekonstruálhatók, a Deep CDR™ technológia eltávolítja a fenyegetést, mielőtt annak esélye lenne végrehajtódni.
Olvassa el itt a korábbi cikkünket, amelyben részletesebben bemutatjuk a működését.
MetaDefender az ideális eszköz olyan esetekben, amikor a fájlok nem módosíthatók. A futtatható fájlok, javítófájlok, firmware-ek, telepítők és szkriptek működésükhöz bájtonként változatlan állapotban kell maradniuk. Ezek tisztítása nem jöhet szóba. Az egészségügyi, jogi és pénzügyi szektorban előírt dokumentumokra szintén vonatkozhatnak olyan jogi vagy megfelelési követelmények, amelyek tiltják a módosítást. Az ilyen fájltípusok esetében a dinamikus elemzés az egyetlen megvalósítható vizsgálati módszer.
A két technológia nem zárja ki egymást. A gyakorlatban a legtöbb vállalati és kritikus infrastruktúrájú környezet ugyanazon munkafolyamatok keretében kezeli mind a módosítható, mind a módosíthatatlan fájltípusokat. A Deep CDR™ technológia azokat a dokumentumokat és irodai formátumokat kezeli, amelyek biztonságosan rekonstruálhatók. MetaDefender pedig azokat a fájlokat kezeli, amelyek nem módosíthatók. Együttesen lefedik a környezetbe bekerülő fájltípusok teljes skáláját.
A zero-day fenyegetések nem várják meg, amíg megjelenik a szignatúra, és a védelmi rendszerének sem szabad ezt tennie.
Gyakran ismételt kérdések
Mi a különbség a zero-day-fenyegetések észlelése és a hagyományos víruskeresők között?
A hagyományos víruskeresők a fájlokat egy ismert kártevő-szignatúrákból álló adatbázissal összehasonlítva észlelik a fenyegetéseket. A zero-day észlelés a fájlok viselkedésének, hírnevének és szerkezeti jellemzőinek elemzésével azonosítja azokat a fenyegetéseket, amelyekre még nem létezik szignatúra. MetaDefender négy elemzési réteget ötvöz, hogy 99,9%-os hatékonysággal hozzon döntést olyan fájlokról, amelyeket a hagyományos víruskereső eszközök jelzés nélkül átengednének.
Mennyi időbe telik a hagyományos víruskereső motoroknak egy zero-day fenyegetés felismerése?
OPSWAT 2026-os, több mint egymillió fájlészlelést felölelő, a zero-day fenyegetések észlelésére vonatkozó elemzése szerint a hagyományos víruskereső motorok átlagosan 3,0 nappal, medián értéke pedig 2,0 nappal maradtak le a zero-day fenyegetések észlelésétől. A legrosszabb esetben a kitettség 26,7 napig tartott. A zero-day fenyegetések mindössze 3,7%-a kapott víruskereső-értesítést 24 órán belül. A 3,0 napos átlag nem tartalmazza a nagyon hosszú válaszidővel rendelkező fájlokat és a mintázat-egyezési előzményekkel nem rendelkező fájlokat, így a teljes kitettségi tartomány szélesebb, mint amit ez a szám önmagában sugall.
Melyik fájltípusokat nehezen ismeri fel a víruskereső?
A szkript- és dokumentumalapú fájltípusok esetében következetesen a leghosszabb az antivírus-felismerés késleltetése. OPSWAT 2026-os elemzése szerint az Office-dokumentumok esetében átlagosan 6,9 napos, a PowerShell-fájloknál 6,3 napos, a VBS-szkripteknél pedig 4,9 napos volt a felismerés késleltetése. Mivel ezek a fájltípusok szinte minden vállalati munkafolyamatban előfordulnak, a védelem nélküli időtartam operatív szempontból jelentős kockázatot jelent.
Hogyan képes az utasításszintű emuláció legyőzni a virtuális gépeket felismerő kártevő programokat?
A virtuális gépeket felismerő kártevő programok környezeti ellenőrzések, időzítési késleltetések és virtualizációs ujjlenyomatok segítségével érzékelik, ha egy homokozóban futnak, és ilyenkor elnyomják káros tevékenységüket. Az utasításszintű emuláció megkerüli ezeket a technikákat azzal, hogy nem teljes virtuális gépet futtat, hanem a CPU és az operációs rendszer szintjén emulál. A fájlnak nincs megbízható módja arra, hogy megkülönböztesse az emulált környezetet egy valódi végponttól, ami jelentősen megnehezíti a végrehajtás elnyomását, és olyan viselkedést tár fel, amely egyébként rejtve maradna.
MetaDefender helyettesíti a homokozót?
MetaDefender négy észlelési rétegének egyikeként tartalmaz adaptív sandboxot, de nem önálló sandbox-termékről van szó. A fenyegetések hírnevét, az utasításszintű emulációt, a gépi tanuláson alapuló fenyegetésértékelést és a mesterséges intelligenciával támogatott hasonlósági keresést egyetlen feldolgozási folyamatba egyesíti, amely fájlonként egy, bizalmi pontszámmal ellátott értékelést ad. Azok a szervezetek, amelyek önálló, virtuális gépen alapuló sandboxukat MetaDefender cserélik, ellenállóbbá válnak a kijátszási kísérletekkel szemben, szélesebb körű észlelési lefedettséget érnek el, és jelentősen csökkenthetik az erőforrás-igényüket.
