Aby pomóc firmom usprawnić prowadzenie badań i reagowanie na zagrożenia złożone, Kaspersky Lab uruchomił nową usługę o nazwie Kaspersky Cloud Sandbox. Poprzez umożliwienie „zdetonowania” podejrzanych plików w środowisku wirtualnym, jak również dostarczenie pełnego raportu odnośnie działań danego obiektu, usługa ta ma na celu zwiększenie sprawności reagowania na incydenty oraz technik śledczych w zakresie cyberbezpieczeństwa bez ryzyka dla firmowych systemów IT.
Kaspersky Cloud Sandbox pozwala firmom wykorzystywać piaskownicę bez konieczności dodatkowych inwestycji w infrastrukturę sprzętową. Rozwiązanie to jest dostępne na podstawie subskrypcji w ramach serwisu Kaspersky Threat Intelligence Portal.
W ostatnim czasie wykorzystywanie błędów w legalnym oprogramowaniu stało się ulubionym narzędziem przestępców, ponieważ szkodliwe działania można łatwo ukryć za zaufanymi procesami. Z powodu tych technik nawet doświadczone zespoły ds. cyberbezpieczeństwa nie zawsze mogą być pewne, że żaden szkodnik nie przedostał się przez ochronę. Aby rozwiązać ten problem, specjaliści muszą być wyposażeni w zaawansowane technologie wykrywania, w tym piaskownicę, co często wymaga znacznych inwestycji w sprzęt, na które wiele zespołów ds. bezpieczeństwa IT nie może sobie pozwolić.
Dzięki Kaspersky Cloud Sandbox, w ramach serwisu Kaspersky Threat Intelligence Portal dostępne są zaawansowane możliwości wykrywania i analizy w postaci usługi. W efekcie zespoły ds. cyberbezpieczeństwa mogą korzystać z zaawansowanej technologii, nie przekraczając swoich ograniczeń budżetowych i sprzętowych. Usługa pozwala zespołom ds. cyberbezpieczeństwa oraz specjalistom z centrum operacji bezpieczeństwa (SOC) uzyskać szczegółowy wgląd w zachowanie i konstrukcję szkodliwego oprogramowania, wykrywając ukierunkowane cyberzagrożenia, nawet jeżeli nie zostały one jeszcze przez nikogo zbadane.
Zaawansowane techniki zapobiegające ukrywaniu się zagrożeń: odsłonięcie ukrytej prawdy
Aby skłonić szkodliwe oprogramowanie do odkrycia swojego potencjału, piaskownica powinna być wyposażona w zaawansowane techniki przeciwdziałające unikaniu wykrycia. Szkodliwy program, który został stworzony tak, aby działać w określonym środowisku, nie aktywuje się na „czystej” maszynie wirtualnej. Aby obejść ten problem, Kaspersky Cloud Sandbox stosuje różne techniki emulacji użytkownika, takie jak klikanie przycisków, przewijanie dokumentów, rutynowe działania, które pozwalają szkodliwemu oprogramowaniu ujawnić się, randomizacja parametrów środowiska użytkownika i wiele innych.
System zapisywania zdarzeń: nic nie umknie w szumie
Po tym, jak szkodliwe oprogramowanie zacznie wykonywać swoje destrukcyjne działania, usługa Kaspersky Cloud Sandbox wykorzystuje podsystem raportowania i bezinwazyjnie przechwytuje szkodliwe działania. Gdy obiekt zacznie zachowywać się w podejrzany sposób – na przykład gdy zacznie tworzyć ciąg w pamięci maszyny, wykonywać polecenia powłoki czy pobierać szkodliwą funkcję – zdarzenia te są rejestrowane w podsystemie Kaspersky Cloud Security, który posiada możliwość wykrywania ogromnego spektrum szkodliwych zdarzeń, w tym bibliotek DLL, rejestracji i modyfikacji kluczy rejestru, żądań HTTP i DNS, tworzenia, usuwania i modyfikacji plików itd. Następnie klient otrzymuje pełny raport zawierający wykresy i zrzuty ekranu z wizualizacją danych, jak również możliwy kompletny dziennik zdarzeń rejestrowanych w piaskownicy.
Czas wykrywania i reagowania na incydenty: prawie zerowy
Działanie Kaspersky Cloud Sandbox jest wspomagane przeprowadzaną w czasie rzeczywistym analizą zagrożeń z chmury Kaspersky Security Network (KSN), dostarczając klientom natychmiastowy status zarówno znanych jak i nowych zagrożeń wykrytych na wolności. Dzięki analizie zachowania, która opiera się na 20-letnim doświadczeniu Kaspersky Lab w badaniu szkodliwego oprogramowania w celu zwalczania najbardziej złożonych zagrożeń, klienci mogą wykryć nieznane wcześniej szkodliwe obiekty.
Oprócz uzyskania zaawansowanych możliwości wykrywania eksperci z centrów SOC oraz badacze mogą wzmocnić swoje działania w ramach reagowania na incydenty innymi usługami dostępnymi za pośrednictwem serwisu Kaspersky Threat Intelligence Portal. Podczas przeprowadzania działań z zakresu kryminalistyki cyfrowej lub reagowania na incydenty specjalista ds. cyberbezpieczeństwa może uzyskać najnowsze szczegółowe dane analizy zagrożeń odnośnie adresów URL, domen, adresów IP, skrótów plików, nazw zagrożeń, danych statystycznych/dot. zachowania oraz danych WHOIS/DNS, a następnie powiązać tę wiedzę ze wskaźnikami infekcji (IoC) wygenerowanymi przez próbkę, która była analizowana w ramach piaskownicy.
-Obecnie działalność biznesowa jest coraz bardziej zagrożona ze strony cyberprzestępczości, dlatego potrzeba szybkiego reagowania na incydenty oraz kryminalistyki cyfrowej nigdy nie była tak paląca. Kaspersky Cloud Sandbox w istotny sposób wzbogaca globalny ekosystem analizy zagrożeń, który pozwala sprostać tym wyzwaniom. Uzupełniając szeroką analizę zagrożeń dostępną dla klientów serwisu Kaspersky Threat Intelligence Portal, Kaspersky Cloud Sandbox staje się unikatową usługą umożliwiającą szczegółową analizę plików, która pozwala badaczom cyberbezpieczeństwa oraz zespołom SOC uzyskać wgląd w zachowanie plików bez ryzyka dla infrastruktury IT – powiedział Nikita Szwecow, dyrektor ds. technologicznych, Kaspersky Lab.