Hoy miré las estadísticas de Wildfire y se volvió interesante para qué aplicaciones camina el código malicioso desconocido (día cero) y con qué frecuencia. La imagen muestra estadísticas sobre las aplicaciones y la frecuencia de los ataques a través de esta aplicación. La primera columna es el nombre de la aplicación. La segunda columna indica cuántos días en un año se asigna un día cero en esta aplicación. En la tercera columna está el número de sesiones de esta aplicación, o de hecho el número de muestras por año. Estadísticas tomadas para todo 2018 de enero a diciembre.
Curiosamente, hay aplicaciones que rara vez ejecutan código malicioso, como la aplicación SOAP, pero lo ven allí todos los días. Hay donde todos los días y en grandes volúmenes. Puedo ver por mi propia experiencia que las aplicaciones de espacio aislado más frecuentes son SMTP y navegación web. Otras aplicaciones generalmente se ignoran. Lo más probable es que los ataques tengan lugar exactamente donde no se esperan.
El sandbox basado en la nube de
Wildfire es accesible desde cualquier rincón de Internet, puede enviarle archivos para su verificación desde cualquier firewall o cualquier host, o incluso verificarlo manualmente a través de la interfaz web.
Es interesante que todos los participantes actualicen la base de datos de firmas de Wildfire cada minuto, por lo que todos los que se suscriban al servicio de actualización de día cero pueden recoger firmas nuevas cada minuto y bloquear a los miembros de la comunidad de día cero recién descubiertos en su red o estación de trabajo de manera oportuna.