Aujourd'hui, j'ai regardé les statistiques de Wildfire et il est devenu intéressant pour quelles applications le code malveillant inconnu (zéro jour) marche et à quelle fréquence. L'image montre des statistiques sur les applications et la fréquence des attaques via cette application. La première colonne est le nom de l'application. La deuxième colonne indique combien de jours dans une année zéro jour est alloué dans cette application. Dans la troisième colonne se trouve le nombre de sessions de cette application, ou en fait le nombre d'échantillons par an. Statistiques prises pour l'ensemble de 2018 de janvier à décembre.
Fait intéressant, il existe des applications qui exécutent rarement du code malveillant, comme l'application SOAP, mais elles le voient tous les jours. Il y en a tous les jours et en grands volumes. D'après ma propre expérience, je peux voir que les applications sandbox les plus fréquentes sont SMTP et la navigation Web. D'autres applications sont généralement ignorées. Très probablement, les attaques ont lieu exactement là où elles ne sont pas attendues.
Le sandbox cloud
Wildfire est accessible depuis n'importe quel coin d'Internet, vous pouvez lui envoyer des fichiers pour vérification à partir de n'importe quel pare-feu ou de tout hôte, ou même vérifier manuellement via l'interface Web.
Il est intéressant de noter que la base de données de signatures Wildfire est mise à jour par tous les participants chaque minute, afin que tous ceux qui s'abonnent au service de mise à jour zéro jour puissent récupérer de nouvelles signatures chaque minute et bloquer les membres de la communauté zéro jour fraîchement découverts sur leur réseau ou poste de travail en temps opportun.