מהי זיהוי "יום אפס"?
זיהוי "יום אפס" הוא תהליך של זיהוי קבצים זדוניים בטרם קיים עבורם חתימה תואמת במאגרי המידע של תוכנות האנטי-וירוס. כלי האנטי-וירוס המסורתיים הם מטבעם תגובתיים: הם יכולים לחסום רק איומים שהיצרן שלהם כבר קטלג. הפער בין הופעתו הראשונה של איום לבין הרגע שבו יצרני האנטי-וירוס מפיקים תבנית זיהוי הוא חלון ההזדמנות שבו פועלים התוקפים.
בקיצור / נקודות עיקריות
- על פי ניתוח זיהוי תקיפות "יום אפס" לשנת 2026 OPSWAT, שבמסגרתו נבדקו למעלה ממיליון קבצים, מנועי האנטי-וירוס המסורתיים פיגרו בזיהוי תקיפות "יום אפס" בממוצע של 3.0 ימים, כאשר החשיפה במקרה הגרוע ביותר הגיעה ל-26.7 ימים
- רק 3.7% מהאיומים מסוג "יום אפס" זוהו על ידי מנועי אנטי-וירוס מסורתיים בתוך 24 שעות מרגע הופעתם הראשונה
- סוגי קבצי סקריפט ומסמכים מציגים באופן עקבי את פרק הזמן הארוך ביותר עד לזיהוי, כאשר מסמכי Office מתגלים בממוצע 6.9 ימים לאחר החשיפה
- כ-20.8% מפרצות ה-zero-day במאגר הנתונים זוהו בסופו של דבר על ידי מנועי אנטי-וירוס מסורתיים; לחלק ניכר מהן היו זמני תגובה כה ארוכים, עד כי למעשה לא היוו הגנה כלשהי
- MetaDefender מספק תוצאה אחת לכל קובץ, המלווה בציון אמינות, באמצעות תהליך זיהוי בן ארבע שכבות שאינו מסתמך על התאמת תבניות
לתוכנות האנטי-וירוס המסורתיות יש בעיה של תזמון
כלי אנטי-וירוס מסורתיים מזהים איומים באמצעות השוואת קבצים למאגר נתונים של חתימות תוכנות זדוניות ידועות. קובץ שאינו תואם לאף תבנית קיימת עלול לעבור ללא חסימה. תלות מבנית זו בידע מוקדם יוצרת עיכוב ניכר וניתן לניצול בין הרגע שבו האיום מופיע לבין הרגע שבו תוכנת האנטי-וירוס יכולה לעצור אותו.
על פי ניתוח זיהוי תקיפות "יום אפס" לשנת 2026, שבחן למעלה ממיליון זיהויי קבצים, מנועי האנטי-וירוס המסורתיים פיגרו בזיהוי תקיפות "יום אפס" בממוצע של 3.0 ימים, עם חציון של 2.0 ימים. במקרה הגרוע ביותר, החשיפה הגיעה ל-26.7 ימים. רק 3.7% מאיומי ה-zero-day במאגר הנתונים זוהו על ידי מנועי האנטי-וירוס המסורתיים תוך 24 שעות. לכ-3% נדרש יותר משבוע עד שקיבלו תגובה כלשהי לזיהוי.
הערה בנוגע למתודולוגיה: הממוצע של 3.0 ימים אינו כולל קבצים עם זמני תגובה ארוכים מאוד של תוכנות האנטי-וירוס, וכן קבצים שאין להם כל היסטוריית התאמה לדפוסים. מערך הנתונים המלא משקף מגוון רחב יותר של תוצאות. בנתונים הבסיסיים קיים גם שיעור תוצאות חיוביות כוזבות נמוך, אך לא אפסי.
הנתונים מתחילים ברגעים כמו זה. בעת הסריקה, אף אחד מ-20 מנועי האנטי-וירוס שהשתמשנו בהם לא סימן את הקובץ, ואף שירות מוניטין לא תיעד אותו. האיום כבר אושר.
רוב פרצות ה-Zero-Day אינן תואמות לדפוס ידוע
בעיית העיתוי מחמירה כאשר מנועי האנטי-וירוס אינם מצליחים לייצר כלל חתימה תואמת לאיום. בניתוח שלנו, כ-20.8% מקבצי ה-zero-day זוהו בסופו של דבר על ידי מנועי האנטי-וירוס המסורתיים. לכ-17.9% לא היה כל היסטוריית התאמה לדפוסים, מה שהציב אותם מחוץ לקטלוג של כל מנוע אנטי-וירוס שנבדק. בכ-54% מהמקרים, זמני התגובה של תוכנות האנטי-וירוס היו כה ארוכים, עד כי בפועל הם לא סיפקו הגנה של ממש. יש לציין כי נתון זה, כמו האחרים, כולל שיעור נמוך אך לא אפסי של תוצאות חיוביות כוזבות, ויש להתייחס אליו כאל נתון כיווני בלבד.
כאשר מנועי האנטי-וירוס מצליחים בסופו של דבר לזהות את האיום, הכיסוי נותר מוגבל. בסריקה חוזרת שנערכה מאוחר יותר, רק שלושה מתוך 20 מנועי האנטי-וירוס הללו זיהו התאמה לאותו קובץ. אצל הרוב לא נמצא דבר.
זיהוי מבוסס תבניות מחייב את הספק להתבונן באיום, לנתח אותו ולקטלג אותו לפני שניתן להגן מפניו. במקרה של תוכנות זדוניות חדשות או כאלה שהוסוו בכוונה, ייתכן שתהליך זה לא יושלם לעולם, או שיושלם מאוחר מדי מכדי להיות יעיל.
היכן שזיהוי AV מסורתי מפגר ביותר
לא כל סוגי הקבצים טומנים בחובם סיכון זהה כאשר זיהוי האנטי-וירוס מתעכב. קבצים מבוססי סקריפט ומבוססי מסמכים מציגים באופן עקבי את חלונות החשיפה הארוכים ביותר בניתוח שלנו, ואלו הם סוגי קבצים המופיעים כמעט בכל תהליך עבודה ארגוני.
סוג קובץ | מספר הימים הממוצע עד לזיהוי האיום על ידי תוכנות אנטי-וירוס מסורתיות |
מסמכי משרד | ~6.9 ימים |
PowerShell | ~6.3 ימים |
סקריפטים של VBS | ~4.9 ימים |
HTA | כ-3.5 ימים |
PE (קבצי הפעלה) | ~3.1 ימים |
מסמכי Office ופורמטי סקריפטים מובילים את הרשימה דווקא משום שמורכבותם מקשה על יצירת חתימות. מאקרו, אובייקטים משובצים ולוגיקת ביצוע רב-שלבית מספקים לתוקפים שטח פעולה נרחב יותר, ומאלצים את ספקי תוכנות האנטי-וירוס לכסות שטח נרחב יותר בטרם ניתן לכתוב תבנית אמינה.
קובצי PE (Portable Executable) מדורגים במקום הנמוך ביותר בטבלת הפיגור, אך עם זאת, הם נותרו חשופים ללא זיהוי במשך שלושה ימים בממוצע. עבור קבצי הפעלה הנכנסים לסביבות תשתית קריטיות, לתהליכי עדכון או לזרימת קבצים מפוקחת, שלושה ימים אינם פרק זמן מקובל.
מדוע שיטות הזיהוי המסורתיות מפגרות מאחור
זיהוי מבוסס תבניות פועל על ידי השוואת קובץ לספרייה של חתימות תוכנות זדוניות ידועות. כאשר מתגלה התאמה, הקובץ נחסם. כאשר אין התאמה, הקובץ עובר. המודל תלוי כולו בחשיפה מוקדמת: יש לצפות באיום, לנתח אותו ולקטלג אותו לפני שניתן להפעיל הגנה כלשהי. במקרה של קובץ חדש, רצף פעולות זה טרם התבצע.
המגבלה המבנית הייתה קיימת מאז ומתמיד. מה שהשתנה הוא הקצב שבו תוקפים מסוגלים לייצר גרסאות חדשות. כיום, תוקפים משתמשים בבינה מלאכותית ובלמידת מכונה כדי לייצר תוכנות זדוניות מוסוות ומתחמקות בהיקף נרחב, ויוצרים קבצים שתוכננו במיוחד כדי להימנע מהתאמה לכל חתימה קיימת. כל גרסה שנוצרת היא, מבחינה טכנית, חדשה למאגרי המידע של תוכנות האנטי-וירוס, גם כאשר הלוגיקה העומדת בבסיס ההתקפה אינה חדשה.
טכניקות התחמקות מחמירות את הבעיה עוד יותר. יוצרי תוכנות זדוניות נוהגים ליצור קבצים באופן קבוע כדי למנוע זיהוי כאיזושהי איום המוכר במערכת בנקודת הכניסה, תוך שימוש בטכניקות כגון:
- דחיסה והצפנה כדי להסתיר את תוכן הקובץ
- פולימורפיזם ליצירת וריאנטים בעלי מבנה ייחודי
- העברה רב-שלבית לדחיית התנהגות זדונית עד לאחר הכניסה
- בדיקות תנאי ביצוע המדכאות את הפעילות עד להגעה לנקודת סיום אמיתית
לכלים המבוססים על חתימות אין מנגנון המאפשר לחזות אף אחת מהרצפים הללו. התוצאה היא מודל זיהוי שהיעילות שלו הולכת ופוחתת ככל שכלי התקיפה של התוקפים נעשים מתוחכמים יותר. הפער בין ההופעה הראשונה לזיהוי הראשון אינו מצטמצם מעצמו במהירות. במקום זאת, הוא הולך ומתרחב.
כיצד אנו מזהים איומים עוד בטרם מתקיים דפוס תואם
MetaDefender הוא פתרון מאוחד לזיהוי תקיפות "יום אפס", שנועד לזהות קבצים זדוניים שלא ניתן לאתר באמצעות התאמת חתימות בלבד. במקום לבדוק אם קובץ תואם לדפוס ידוע, MetaDefender שואל ארבע שאלות שהולכות ומעמיקות לגבי כל קובץ שעובר דרכו, ומשלב את התשובות לפסק דין יחיד המלווה בציון ביטחון.
שכבה 1: מוניטין האיום (יעילות של 48.7%)
כל קובץ הנכנס לתהליך הטיפול נבדק מול מאגרי המידע OPSWAT בנושא מודיעין איומים. קבצים זדוניים ידועים נחסמים באופן מיידי. קבצים מהימנים עוברים מסלול מהיר. על פי הניתוח שלנו, שכבה זו לבדה פתרה 48.7% מהאיומים, תוך שמירה על קיבולת תהליך הטיפול ומניעת עיבוד מיותר של קבצים שאינם מצריכים בדיקה מעמיקה יותר.
שכבה 2: Adaptive באמצעות הדמיית הוראות (יעילות מצטברת של 83.4%)
קבצים שעוברים את שכבת המוניטין נכנסים לסביבת הבדיקה האדפטיבית MetaDefender . במקום להשתמש במכונות וירטואליות, סביבת הבדיקה מדמה את פעולת המעבד ואת הוראות מערכת ההפעלה ברמת הוראות עבור למעלה מ-120 סוגי קבצים. גישה זו מאלצת את הקבצים לבצע את מסלול הקוד המלא שלהם, ללא תלות בזיהוי סביבה וירטואלית. תוכנות זדוניות המזהות מכונות וירטואליות, אשר בדרך כלל היו נותרות במצב רדום, אינן יכולות לעכב את פעולתן תחת הדמיה ברמת הוראות. IOCs (אינדיקטורים לפריצה) שהתגלו לאחרונה משכבה זו מוזנים חזרה לשכבה 1, ומחזקים את מסד הנתונים של המוניטין בכל מחזור ניתוח.
מנוע זיהוי חתימות מזהה סקריפט שהוסתר ואינו מוצא התאמה. האמולציה גורמת לקובץ להתבצע בכל זאת. ברגע שהוא מפענח את המטען הנסתר שלו ומעמיס אותו לזיכרון, הכוונה מתגלה.
שכבה 3: דירוג איומים מבוסס למידת מכונה (יעילות מצטברת של 99.3%)
מספר מנועי למידת מכונה מנתחים סימנים התנהגותיים, דפוסי חריגות ואינדיקטורים של תקיפה (IOC) המופקים משכבת הסנדבוקס. כל קובץ מקבל ציון סיכון מובנה, המושפע מרמת הביטחון. נתוני הטלמטריה הגולמיים מומרים לאות החלטה ברור, מה שמפחית את מספר התוצאות החיוביות השגויות ומצמצם את העומס המוטל על האנליסטים בבדיקת התוצאות, אשר נוצר בדרך כלל כתוצאה מתפוקות מקוטעות של הכלים השונים.
סרוק את הקבצים שלך בחינם באמצעות מנועי הזיהוי שלנו בכתובת filescan.io/scan.
שכבה 4: חיפוש דמיון מבוסס בינה מלאכותית (יעילות מצטברת של 99.9%)
השכבה האחרונה משווה את טביעת האצבע ההתנהגותית של כל קובץ למאגר נתונים המכיל למעלה מ-100 מיליון דגימות תוכנות זדוניות שנותחו. קבצים משויכים באופן אוטומטי למשפחות איומים, קמפיינים וערכות כלים לתקיפה ידועים, כאשר קיימת התאמה. קבצים שאין להם התאמה קודמת מומרים למידע מודיעיני חדש, ובכך מעשירים את מודלי הזיהוי הגלובליים והמקומיים כאחד. שכבה זו מביאה את יעילות הזיהוי המצטברת ל-99.9%.
MetaDefender לעומת גישות מסורתיות Sandbox ואנטי-וירוס
תוכנות האנטי-וירוס המסורתיות ותוכנות ה-sandbox המבוססות על מכונות וירטואליות (VM) מטפלות כל אחת בחלק מהבעיה של זיהוי תקיפות "יום אפס", אך אף אחת מהן אינה מספקת תוצאה אחידה המשלבת בין מוניטין, התנהגות, דירוג וחיפוש דמיון. הטבלה שלהלן משווה את ביצועי כל גישה ביחס ליכולות החשובות ביותר בהגנה על הרשת.
יְכוֹלֶת | מנועי AV מסורתיים | Sandbox מבוססת מכונה וירטואלית | MetaDefender אתר |
גישת זיהוי | מבוסס על תבניות | התנהגותי (מבודד) | צינור מאוחד בעל ארבע שכבות |
עמידות בפני התחמקות | נָמוּך | בינוני (ניתן לזיהוי ב-VM) | רמה גבוהה (אמולציה ברמת הוראות) |
הגיע הזמן לפסק הדין | פיגור של 0 עד 26+ ימים | מִשְׁתַנֶה | כמעט בזמן אמת |
שילוב SIEM/SOAR | מוגבל | קורלציה ידנית | מובנה, מקורי |
ניצול יעיל של משאבים | נָמוּך | עוצמת מחשוב גבוהה | 100x לעומת סביבת בדיקה מבוססת מכונה וירטואלית |
סוג פסק הדין | התאמה/אי-התאמה | דוח לכל כלי | פסק דין יחיד המבוסס על דירוג אמון |
סביבות בדיקה מבוססות מכונה וירטואלית (VM) משפרות את זיהוי החתימות באמצעות מעקב אחר התנהגות הקבצים בזמן ריצה. המגבלה היא שיוצרי תוכנות זדוניות מודעים לכך. בדיקות סביבה, עיכובים בזמנים וטביעת אצבע של המכונה הווירטואלית מאפשרים לאיומים מתוחכמים לזהות את תנאי סביבת הבדיקה ולהשהות את ההתנהגות הזדונית עד שהם מגיעים לנקודת קצה אמיתית. אמולציה ברמת ההוראות מסירה לחלוטין את האפשרות הזו להתחמקות.
פער המשאבים בולט גם ברמת ההיקף. יצירת סביבת בדיקה מבוססת מכונה וירטואלית (VM) דורשת כוח מחשוב רב לכל קובץ. MetaDefender מספקת יעילות משאבים גבוהה פי 100 בהשוואה לגישות מבוססות VM, באמצעות שילוב של אמולציה ברמת ההוראות עם צינור עבודה רב-שכבתי, המעביר לדרג גבוה יותר רק את הקבצים הדורשים ניתוח מעמיק יותר.
קראו כאן עוד על ההבדלים העיקריים בין סביבות בדיקה מסורתיות לסביבות בדיקה אדפטיביות.
מתי להשתמש בזיהוי "יום אפס" במקום טכנולוגיית Deep CDR™ או בשילוב איתה
טכנולוגיית Deep CDR™ MetaDefender פותרות בעיות שונות. הבנת ההבדל ביניהן חשובה לאדריכלי אבטחה המתכננים תהליכי בדיקת קבצים, במיוחד בסביבות תחת רגולציה או בתשתיות קריטיות.
טכנולוגיית Deep CDR™ מנטרלת באופן יזום איומים מבוססי קבצים על ידי הסרת תוכן שעלול להיות זדוני, כולל מאקרו, סקריפטים ואובייקטים מוטמעים, מיותר מ-200 סוגי קבצים, ויצירת גרסה נקייה וניתנת לשימוש מלא. טכנולוגיה זו אינה מסתמכת על זיהוי. הקובץ עובר טיהור בין אם האיום אושר בסופו של דבר ובין אם לאו. עבור זרימות עבודה מבוססות מסמכים שבהן ניתן לשחזר קבצים בבטחה, טכנולוגיית Deep CDR™ מסירה את האיום לפני שיש לו הזדמנות להתבצע.
קראו כאן את המאמר הקודם שלנו, שבו מוסבר בפירוט רב יותר כיצד זה עובד.
MetaDefender הוא הכלי המתאים כאשר לא ניתן לשנות קבצים. קבצי הפעלה, קבצי תיקון, קושחה, תוכנות התקנה וסקריפטים חייבים להישאר שלמים, בייט אחר בייט, כדי לתפקד. ניקוי שלהם אינו בא בחשבון. מסמכים המפוקחים בסביבות בתחום הבריאות, המשפט והפיננסים עשויים להיות כפופים לדרישות חוקיות או תאימות האוסרות על שינויים. עבור סוגי קבצים אלה, ניתוח דינמי הוא הדרך היחידה לבדיקה.
שתי הטכנולוגיות אינן מהוות בחירה של "או זה או זה". בפועל, מרבית סביבות הארגונים והתשתיות הקריטיות מטפלות הן בסוגי קבצים הניתנים לשינוי והן בסוגי קבצים שאינם ניתנים לשינוי, במסגרת אותם תהליכי עבודה. טכנולוגיית Deep CDR™ מטפלת במסמכים ובפורמטים משרדיים שניתן לשחזר בבטחה. MetaDefender מטפל בקבצים שאינם ניתנים לשינוי. יחד, הן מספקות כיסוי לכלל סוגי הקבצים הנכנסים לסביבה.
איומים מסוג "יום אפס" אינם מחכים עד שתהיה חתימה, וכך גם מערכות ההגנה שלכם לא צריכות לחכות.
שאלות נפוצות
מה ההבדל בין זיהוי "יום אפס" לאנטי-וירוס מסורתי?
תוכנות אנטי-וירוס מסורתיות מזהות איומים באמצעות השוואת קבצים למאגר של חתימות תוכנות זדוניות ידועות. זיהוי "יום אפס" מזהה איומים שאין להם חתימה קיימת באמצעות ניתוח התנהגות הקובץ, המוניטין שלו ומאפייני המבנה שלו. MetaDefender משלבת ארבע שכבות ניתוח כדי לספק תוצאה לגבי קבצים ביעילות של 99.9%, בעוד שכלי אנטי-וירוס מסורתיים היו מעבירים אותם ללא זיהוי.
כמה זמן לוקח למנועי אנטי-וירוס מסורתיים לזהות איום מסוג "יום אפס"?
על פי ניתוח זיהוי תקיפות "יום אפס" לשנת 2026 OPSWAT, שבחן למעלה ממיליון זיהויי קבצים, מנועי האנטי-וירוס המסורתיים פיגרו בזיהוי תקיפות "יום אפס" בממוצע של 3.0 ימים, עם חציון של 2.0 ימים. במקרה הגרוע ביותר, החשיפה הגיעה ל-26.7 ימים. רק 3.7% מאיומי ה-zero-day זכו לתגובת זיהוי אנטי-וירוס תוך 24 שעות. הממוצע של 3.0 ימים אינו כולל קבצים עם זמני תגובה ארוכים מאוד וקבצים ללא היסטוריית התאמת תבניות, ולכן טווח החשיפה המלא רחב יותר ממה שמרמז נתון זה לבדו.
אילו סוגי קבצים הכי קשה לתוכנות האנטי-וירוס לזהות?
סוגי קבצים מבוססי סקריפט ומבוססי מסמכים מציגים באופן עקבי את זמן ההשהיה הארוך ביותר בזיהוי על ידי תוכנות אנטי-וירוס. בניתוח OPSWAT בשנת 2026, זיהוי מסמכי Office התרחש בממוצע באיחור של 6.9 ימים, קבצי PowerShell – באיחור של 6.3 ימים, וסקריפטי VBS – באיחור של 4.9 ימים. סוגי קבצים אלה מופיעים כמעט בכל תהליך עבודה ארגוני, מה שהופך את חלון החשיפה למשמעותי מבחינה תפעולית.
כיצד אמולציה ברמת ההוראות מצליחה להתגבר על תוכנות זדוניות המזהות מכונות וירטואליות?
תוכנות זדוניות המזהות סביבות וירטואליות משתמשות בבדיקות סביבה, עיכובים תזמוניים וטביעות אצבע של וירטואליזציה כדי לזהות מתי הן פועלות בתוך סביבת בדיקה (sandbox) ולדכא את התנהגותן הזדונית. אמולציה ברמת ההוראות עוקפת טכניקות אלה באמצעות אמולציה ברמת המעבד ומערכת ההפעלה, במקום להפעיל מכונה וירטואלית מלאה. לקובץ אין דרך אמינה להבחין בין הסביבה המדומה לנקודת קצה אמיתית, מה שמקשה משמעותית על דיכוי הביצוע וחושף התנהגות שהייתה נותרת נסתרת אחרת.
האם MetaDefender מחליף את סביבת הבדיקה (sandbox)?
MetaDefender כולל סביבת בדיקה אדפטיבית (adaptive sandboxing) כאחת מארבע שכבות הזיהוי שלו, אך אינו מוצר סביבת בדיקה עצמאי. הוא משלב דירוג מוניטין של איומים, הדמיה ברמת הוראות, דירוג איומים מבוסס למידת מכונה (ML) וחיפוש דמיון המונע על ידי בינה מלאכותית (AI) לתוך צינור עיבוד יחיד, המספק תוצאה אחת לכל קובץ, המלווה בציון ביטחון. ארגונים המחליפים סביבת בדיקה עצמאית המבוססת על מכונה וירטואלית (VM) MetaDefender זוכים לעמידות בפני טכניקות התחמקות, לכיסוי זיהוי רחב יותר ולעומס משאבים נמוך משמעותית.
