Sandboxing trimite automat la analiză fișierele suspecte de atacuri cibernetice

Anul trecut, 45% dintre companii s-au confruntat cu un atac țintit, conform unui sondaj realizat de Kaspersky asupra factorilor de decizie IT. Aceste amenințări sunt deseori concepute pentru a funcționa doar într-un context specific în cadrul organizației victimă: de exemplu, un fișier nu poate face nimic rău până când nu este deschisă o aplicație specifică sau până când un utilizator nu parcurge documentul. În plus, unele fișiere pot identifica dacă se află sau nu în mediul utilizatorului final – de exemplu, dacă nu există niciun semn că cineva lucrează într-un mediu end-user – ele nu vor rula codul rău intenționat. Cu toate acestea, întrucât un SOC primește de obicei numeroase alerte de securitate, analiștii nu le pot cerceta manual pe fiecare în parte, ­­pentru a identifica exact care este cea mai periculoasă.

Pentru a ajuta companiile să analizeze amenințările avansate mai precis, dar și în timp util, tehnologiile Kaspersky de tip sandboxing pot fi acum implementate în cadrul organizațiilor client. Kaspersky Research Sandbox emulează sistemul organizației, folosind parametri aleatori (cum ar fi numele utilizatorului și al computerului, adresa IP, etc.) și imită un mediu utilizat activ, astfel încât malware-ul să nu poată să sesizeze că rulează pe o mașină virtuală.

Kaspersky Research Sandbox a evoluat din complexul intern de sandboxing utilizat de către cercetătorii anti-malware ai companiei. Acum, aceste tehnologii sunt disponibile pentru clienți ca o soluție de sine stătătoare, instalată la sediul organizației. Prin urmare, toate fișierele analizate vor rămâne în perimetrul companiei, inclusiv dacă sunt restricții severe de partajare a datelor.

Sandbox-ul are un API special pentru integrarea cu alte soluții de securitate, astfel încât un fișier suspect poate fi transmis automat pentru analiză. Rezultatele analizei pot fi, de asemenea, exportate într-un sistem de gestionare a sarcinilor SOC. Această automatizare a sarcinilor repetitive reduce timpul necesar pentru investigarea incidentelor.

Cum soluția este instalată în rețeaua clienților, aceasta are mai multe opțiuni pentru a reflecta mediul său de operare. În prezent, mașinile virtuale din Kaspersky Research Sandbox pot fi conectate la rețeaua internă a unei organizații. Prin urmare, ele pot depista un malware conceput să funcționeze doar într-o anumită infrastructură și pot să înțeleagă intențiile sale. În plus, analiștii își pot configura versiunea de Windows cu un software specific preinstalat, pentru a emula complet mediul organizației lor. Acest lucru simplifică detectarea unor amenințări sensibile la mediu, cum ar fi unul dintre malware-uile descoperite recent, care era folosit în atacuri împotriva companiilor industriale. Kaspersky Research Sandbox este compatibil, de asemenea, cu sistemul de operare Android, pentru a detecta malware-ul mobil.

Soluția oferă rapoarte detaliate despre execuția fișierului. Rapoartele conțin hărți de execuție și o listă extinsă de sarcini efectuate de obiectul analizat, inclusiv activitățile sale de rețea și de sistem, oferind inclusiv capturi de ecran, precum și o listă de fișiere descărcate și modificate. Știind exact ce face fiecare malware, cei care răspund de protecția împotriva incidentelor pot veni cu măsurile necesare pentru a proteja organizația de orice amenințare. Analiștii SOC și CERT vor putea, de asemenea, să-și creeze propriile reguli YARA, pentru a verifica fișierele analizate. 

Soluția Kaspersky Research Sandbox poate fi integrată în Kaspersky Private Security Network. Aceasta permite organizațiilor să obțină atât informații despre comportamentul unui obiect, cât și despre reputația fișierelor sau adreselor URL descărcate, cu care a comunicat malware-ul, direct din baza de date Kaspersky Threat Intelligence, instalată în centrul de date al clientului.

Kaspersky Research Sandbox face parte din portofoliul de produse Kaspersky, conceput pentru cercetătorii în securitate. Acesta include Kaspersky Threat Attribution Engine, Kaspersky CyberTrace și Kaspersky Threat Data Feeds.