Având în vedere că cele mai mari scurgeri de date din 2017 au profitat de vulnerabilități ale unor programe legitime, nevoia de tehnologii de detecție avansate este mai mare ca oricând. Pentru a ajuta companiile să-și îmbunătățească procesul de investigație și reacția imediată în cazul unor amenințări complexe, Kaspersky Lab a lansat un nou serviciu, denumit Kaspersky Cloud Sandbox. Fiind un serviciu cloud, acesta le permite companiilor să folosească mecanismul sandbox fără investiții suplimentare în infrastructura hardware. Soluția face parte din Kaspersky Threat Intelligence Portal și este disponibilă pe bază de abonament. Dându-le clienților posibilitatea să „detoneze” fișiere suspecte într-un mediu virtual și să primească un raport complet asupra activităților fișierului, soluția este creată pentru a mări eficiența primelor măsuri luate în cazul unui incident și a procesului de investigație, fără niciun risc pentru sistemele IT ale companiei.
Folosirea erorilor din programe legitime a devenit ceva obișnuit pentru infractori în 2017, deoarece activitățile periculoase pot fi ascunse foarte ușor în spatele unor procese în care utilizatorii au încredere. Nici măcar o echipă de securitate cibernetică cu mare experiență nu poate să fie tot timpul sigură dacă a detectat toate programele malware care folosesc astfel de tehnici de camuflaj. Pentru a obține acest lucru, echipele trebuie să fie echipate cu tehnologii de detecție și de investigație avansate, inclusiv cu sandboxing, care, de multe ori, necesită investiții semnificative și nu sunt ușor fezabile pentru multe echipe de securitate IT. Cu ajutorul Kaspersky Cloud Sandbox, sunt disponibile funcții avansate de detecție și investigație, sub forma unui serviciu din Kaspersky Threat Intelligence Portal, permițându-le echipelor de securitate cibernetică să se asigure că se încadrează în bugetul disponibil și că beneficiază, în același timp, de o tehnologie avansată. Serviciul le permite echipelor de securitate cibernetică și specialiștilor din centrele de operațiuni de securitate (SOC) să obțină informații avizate asupra comportamentului și structurii malware-ului, detectând amenințări cibernetice direcționate, care nu au mai fost văzute anterior.
Tehnici avansate anti-eludare: dezvăluirea adevărului ascuns
Pentru a fi în măsură să determine malware-ul să își reveleze potențialul dăunător, tehnologia sandbox ar trebui să aibă tehnici anti-eludare avansate. Un program malware, dezvoltat pentru a rula într-un anumit mediu software, nu va exploda pe o mașină virtuală „curată”, ci, cel mai probabil, se va autodistruge fără să lase nicio urmă. Pentru a evita acest lucru, Kaspersky Cloud Sandbox aplică diverse tehnici de emulare.
Kaspersky Cloud Sandbox folosește infrastructura de aparate virtuale, permițându-le utilizatorilor să testeze manual și automat fișierele suspecte
Sistemul de logare: nimic nu trece neobservat
Odată ce o mostră de malware își începe acțiunile distructive, este activată o altă tehnologie inovatoare Kaspersky Cloud Sandbox: subsistemul de logare interceptează acțiunile periculoase în mod neinvaziv. Atunci când un document Word începe să se poarte suspect – de exemplu, dacă începe să construiască un string în memoria dispozitivului sau să execute comenzi Shell, ceea ce reprezintă activități anormale pentru un document text, acțiunile sunt înregistrate în subsistemul de logare Kaspersky Cloud Security. Acesta poate detecta un spectru larg de acțiuni malware, printre care DLL-uri, solicitări HTTP și DNS, crearea, ștergerea sau modificarea de fișiere etc. Clientul primește ulterior un raport complet, conținând grafice și capturi de ecran, precum și un jurnal sandbox care poate fi citit.
Detecția și capacitatea de reacție imediată în cazul unui incident: inegalabilă
Performanțele Kaspersky Cloud Sandbox în materie de detecție sunt posibile cu ajutorul unui mare număr de date despre amenințări, primite în timp real din Kaspersky Security Network (KSN), oferindu-le clienților actualizări imediate despre amenințările cunoscute și necunoscute nou apărute. Cu ajutorul analizei comportamentale bazate pe o experiență de peste 20 de ani de studiu al amenințărilor, deținută de Kaspersky Lab, clienții pot detecta obiecte malware nemaivăzute până la momentul respectiv.
Pe lângă o capacitate avansată de detecție, experții SOC și cercetătorii își pot îmbunătăți reacția imediată în caz de incidente cu ajutorul altor servicii disponibile în Kaspersky Threat Intelligence Portal. Atunci când este analizat un incident sau se iau primele măsuri, un ofițer de securitate cibernetică poate primi ultimele informații despre amenințări care vizează URL-uri, domenii, IP-uri, denumiri ale amenințărilor, date statistice/de comportament și date WHOIS/DNS, pentru ca apoi să coreleze aceste cunoștințe cu mostra analizată în sandbox-ul din cloud.
„Având în vedere că în prezent companiile sunt tot mai amenințate de infracționalitatea cibernetică, nevoia unei prime reacții rapide este mai mare ca oricând”, spune Nikita Shvetsov, Chief Technology Officer, Kaspersky Lab. „Kaspersky Cloud Sandbox este o adăugire importantă la sistemul de informații Kaspersky Lab despre amenințările globale, care răspunde realității curente. Noua soluție Kaspersky Cloud Sandbox este un serviciu unic pentru analiza detaliată a fișierelor, care le permite cercetătorilor în securitate cibernetică și echipelor SOC să obțină informații despre comportamentul fișierelor fără riscuri la adresa infrastructurii lor IT.”