Tehnologia Kaspersky sandboxing este acum disponibilă pentru a fi utilizată în rețelele clienților. Soluția locală Kaspersky Research Sandbox este proiectată pentru organizațiile cu restricții stricte de partajare a datelor, pentru a le permite să își construiască centre interne de Securitate (SOC) sau pentru echipele de intervenție în caz de urgență (CERT). Soluția îi ajută să detecteze și să analizeze amenințările țintite, oferind totodată siguranța că toate fișierele examinate sunt păstrate în interiorul organizației.
Anul trecut, aproximativ jumătate (45%) dintre companii s-au confruntat cu un atac țintit, conform unui sondaj realizat de Kaspersky asupra factorilor de decizie IT. Aceste amenințări sunt deseori concepute pentru a funcționa doar într-un context specific în cadrul organizației victimă: de exemplu, un fișier nu poate face nimic rău până când nu este deschisă o aplicație specifică, sau până când un utilizator nu parcurge documentul. În plus, unele fișiere pot identifica dacă se află sau nu în mediul utilizatorului final – de exemplu, dacă nu există niciun semn că cineva lucrează într-un mediu end-user – ele nu vor rula codul rău intenționat. Cu toate acestea, întrucât un SOC primește de obicei numeroase alerte de securitate, analiștii nu le pot cerceta manual pe fiecare în parte, ¬¬pentru a identifica exact care este cea mai periculoasă.
Pentru a ajuta companiile să analizeze amenințările avansate mai precis, dar și în timp util, tehnologiile Kaspersky de tip sandboxing pot fi acum implementate în cadrul organizațiilor client. Kaspersky Research Sandbox emulează sistemul organizației, folosind parametri aleatori (cum ar fi numele utilizatorului și al computerului, adresa IP, etc.) și imită un mediu utilizat activ, astfel încât malware-ul să nu poată să sesizeze că rulează pe o mașină virtuală.
Kaspersky Research Sandbox a evoluat din complexul intern de sandboxing utilizat de către cercetătorii anti-malware ai companiei. Acum, aceste tehnologii sunt disponibile pentru clienți ca o soluție de sine stătătoare, instalată la sediul organizației. Prin urmare, toate fișierele analizate vor rămâne în perimetrul companiei, acest fapt făcând soluția potrivită pentru organizațiile cu restricții severe de partajare a datelor.
Sandbox-ul are un API special pentru integrarea cu alte soluții de securitate, astfel încât un fișier suspect poate fi transmis automat pentru analiză. Rezultatele analizei pot fi, de asemenea, exportate într-un sistem de gestionare a sarcinilor SOC. Această automatizare a sarcinilor repetitive reduce timpul necesar pentru investigarea incidentelor.
Cum soluția este instalată în rețeaua clienților, aceasta are mai multe opțiuni pentru a reflecta mediul său de operare. În prezent, mașinile virtuale din Kaspersky Research Sandbox pot fi conectate la rețeaua internă a unei organizații. Prin urmare, ele pot depista un malware conceput să funcționeze doar într-o anumită infrastructură și pot să înțeleagă intențiile sale. În plus, analiștii își pot configura versiunea de Windows cu un software specific preinstalat, pentru a emula complet mediul organizației lor. Acest lucru simplifică detectarea unor amenințări sensibile la mediu, cum ar fi unul dintre malware-uile descoperite recent, care era folosit în atacuri împotriva companiilor industriale. Kaspersky Research Sandbox este compatibil, de asemenea, cu sistemul de operare Android, pentru a detecta malware-ul mobil.
Nu în ultimul rând, soluția oferă rapoarte detaliate despre execuția fișierului. Rapoartele conțin hărți de execuție și o listă extinsă de sarcini efectuate de obiectul analizat, inclusiv activitățile sale de rețea și de sistem, oferind inclusiv capturi de ecran, precum și o listă de fișiere descărcate și modificate. Știind exact ce face fiecare malware, cei care răspund de protecția împotriva incidentelor pot veni cu măsurile necesare pentru a proteja organizația de orice amenințare. Analiștii SOC și CERT vor putea, de asemenea, să-și creeze propriile reguli YARA, pentru a verifica fișierele analizate.
,,Soluția Kaspersky Cloud Sandbox, lansată în 2018, funcționează perfect pentru organizațiile care trebuie să analizeze amenințări complexe, fără investiții suplimentare în infrastructura hardware. Cu toate acestea, organizațiile cu SOC-uri și CERT-uri interne, cât și norme stricte legate de schimbul de date, necesită un control mai mare asupra fișierelor pe care le analizează. Folosind Kaspersky Research Sandbox, companiile pot alege opțiunea de implementare care le convine cel mai mult, având totodată posibilitatea de a personaliza imaginile locale de tip sandboxing în orice mediu corporativ”, spune Veniamin Levtsov, VP, Corporate Business la Kaspersky.
Soluția Kaspersky Research Sandbox poate fi integrată în Kaspersky Private Security Network. Aceasta permite organizațiilor să obțină atât informații despre comportamentul unui obiect, cât și despre reputația fișierelor sau adreselor URL descărcate, cu care a comunicat malware-ul, direct din baza de date Kaspersky Threat Intelligence, instalată în centrul de date al clientului.
Kaspersky Research Sandbox face parte din portofoliul de produse Kaspersky, conceput pentru cercetătorii în securitate. Acesta include Kaspersky Threat Attribution Engine, Kaspersky CyberTrace și Kaspersky Threat Data Feeds. Oferta vine în ajutor organizațiilor, pentru a valida și investiga amenințările avansate, facilitând totodată reacția rapidă la incidente și oferind informații relevente despre amenințări.
Mai multe informații despre Kaspersky Research Sandbox, sunt disponibile pe site-ul oficial.
Citiți și:
Kaspersky lansează un training digital de conștientizare a securității cibernetice
Kaspersky oferă un instrument eficient pentru protejarea angajaților și avertizează asupra shadow IT