Kaspersky wprowadza piaskownicę przeznaczoną dla badaczy cyberbezpieczeństwa

Technologia piaskownicy firmy Kaspersky jest już dostępna do wykorzystywania w sieciach klientów. Lokalne rozwiązanie Kaspersky Research Sandbox jest przeznaczone dla organizacji posiadających rygorystyczne ograniczenia dotyczące ujawniania danych i pomaga im w tworzeniu wewnętrznych centrów operacji bezpieczeństwa (SOC) lub zespołów reagowania na incydenty komputerowe (CERT). Rozwiązanie umożliwia wykrywanie i analizowanie zagrożeń ukierunkowanych, dając jednocześnie gwarancję, że żadne badane pliki nie są wysyłane poza sieć organizacji.

Jak wynika z badania przeprowadzonego przez firmę Kaspersky wśród osób podejmujących decyzje w obszarze IT, w ubiegłym roku niemal połowa (45%) firm doświadczyła ataku ukierunkowanego. Tego rodzaju zagrożenia często ujawniają się jedynie w określonym kontekście atakowanej organizacji. Na przykład plik może wykonać szkodliwe działania dopiero wtedy, gdy zostanie uruchomiona konkretna aplikacja lub użytkownik przewinie cały dokument. Ponadto niektóre zagrożenia potrafią rozpoznać, że nie znajdują się w prawdziwym środowisku użytkownika końcowego – np. gdy nic nie wskazuje na to, że ktoś pracuje na danym punkcie końcowym – i w efekcie nie uruchamiają szkodliwego kodu. Niestety ze względu na dużą liczbę alertów zabezpieczeń, jakie zwykle otrzymują centra operacji bezpieczeństwa, analitycy nie są w stanie ręcznie zbadać wszystkich potencjalnie groźnych obiektów w celu zidentyfikowania tego najbardziej niebezpiecznego.

W celu dokładniejszej i szybszej analizy zaawansowanych zagrożeń firmy mogą wdrożyć do swojej organizacji technologię piaskownicy firmy Kaspersky. Kaspersky Research Sandbox emuluje system organizacji z losowymi parametrami (takimi jak nazwa użytkownika i komputera, adres IP itd.) oraz imituje aktywne korzystanie ze środowiska, tak aby szkodliwe oprogramowanie nie mogło rozpoznać, że działa na maszynie wirtualnej.

Kaspersky Research Sandbox stanowił początkowo wewnętrzny zestaw narzędzi wykorzystywany przez badaczy firmy zajmujących się ochroną przed szkodliwym oprogramowaniem. Obecnie technologie te są dostępne dla klientów w postaci odizolowanej instalacji lokalnej. Dzięki temu żaden z analizowanych plików nie wydostaje się poza sieć firmy, a rozwiązanie będą mogły wykorzystywać organizacje o restrykcyjnych ograniczeniach dotyczących ujawniania danych.

Kaspersky Research Sandbox posiada interfejs API pozwalający na integrację z innymi rozwiązaniami bezpieczeństwa, umożliwiając automatyczne przesyłanie podejrzanego pliku do analizy. Ponadto wyniki analizy mogą zostać wyeksportowane do systemu zarządzania zadaniami w centrum operacji bezpieczeństwa. Ta automatyzacja powtarzalnych zadań skraca czas badania incydentu.

Ponieważ rozwiązanie jest instalowane w sieci klienta, zapewnia więcej możliwości odwzorowania jej środowiska operacyjnego. Maszyny wirtualne obsługujące Kaspersky Research Sandbox mogą także zostać połączone z wewnętrzną siecią organizacji. Dzięki temu można wykryć szkodliwe programy działające wyłącznie w określonej infrastrukturze oraz poznać ich „intencje”. Analitycy mogą również skonfigurować własną wersję piaskownicy w celu całkowitej emulacji środowiska swojego przedsiębiorstwa. W ten sposób organizacja może uprościć wykrywanie zagrożeń, które uruchamiają się wyłącznie w określonej infrastrukturze, takich jak wykryte niedawno szkodliwe oprogramowanie wykorzystywane w atakach na firmy przemysłowe. Kaspersky Research Sandbox obsługuje również system Android, umożliwiając wykrywanie mobilnego szkodliwego oprogramowania.

Kaspersky Research Sandbox zapewnia szczegółowe raporty na temat uruchamiania badanych plików. Obejmują one m.in. rozszerzoną listę operacji wykonanych przez analizowany obiekt, w tym jego działania w sieci i systemie wraz ze zrzutami ekranu, jak również listę pobranych i zmodyfikowanych plików. Dogłębna wiedza na temat działań wykonywanych przez każdy szkodliwy program pozwala osobom odpowiedzialnym za reagowanie na incydenty określić niezbędne kroki w celu zabezpieczenia organizacji przed zagrożeniem. Analitycy z centrum operacji bezpieczeństwa oraz zespołu CERT mogą również stworzyć własne reguły YARA, aby sprawdzić pod ich kątem analizowane pliki.

Nasze rozwiązanie Kaspersky Cloud Sandbox, wprowadzone na rynek w 2018 r., doskonale sprawdza się w przypadku organizacji, które muszą analizować złożone zagrożenia bez konieczności dodatkowych inwestycji w infrastrukturę sprzętową. Jednak firmy posiadające wewnętrzne centra bezpieczeństwa oraz zespoły reagowania na incydenty, jak również rygorystyczne ograniczenia dotyczące ujawniania danych, potrzebują większej kontroli nad analizowanymi plikami. Teraz, dzięki Kaspersky Research Sandbox, mogą wybrać najlepszą dla siebie opcję wdrożenia oraz odwzorować w środowisku badawczym własną infrastrukturę IT – powiedział Wieniamin Lewcow, wicedyrektor działu odpowiedzialnego za rozwój produktów dla korporacji w firmie Kaspersky.

Rozwiązanie Kaspersky Research Sandbox można zintegrować z Kaspersky Private Security Network. Dzięki temu organizacje nie tylko uzyskają wgląd w zachowanie obiektu, ale również zdobędą informacje pochodzące z zainstalowanej w centrum danych bazy danych analizy zagrożeń firmy Kaspersky na temat reputacji pobieranych plików lub adresów URL, z którymi komunikowało się szkodliwe oprogramowanie.

Kaspersky Research Sandbox wchodzi w skład portfolio produktów firmy Kaspersky przeznaczonych dla badaczy bezpieczeństwa. Obejmuje ono Kaspersky Threat Attribution Engine, Kaspersky CyberTrace oraz Kaspersky Threat Data Feeds. Oferta ta pomaga organizacjom w badaniu zaawansowanych zagrożeń oraz reagowaniu na incydenty poprzez dostarczanie stosownych informacji dot. zagrożeń.

Więcej informacji na temat rozwiązania Kaspersky Research Sandbox znajduje się na stronie https://www.kaspersky.pl/ochrona-dla-korporacji/sandbox-malware-analysis.


opublikowano: 2020-07-13
Komentarze
Polityka Prywatności