S obzirom na činjenicu da su najveća curenja podataka u 2017. godini eksploatisala mane u okviru legitimnih softvera, potreba za naprednim tehnologijama detekcije nikada nije bila veća. Kako bi pomogla kompanijama da poboljšaju način na koji istražuju i reaguju na kompleksne pretnje, kompanija Kaspersky Lab je ponudila novu uslugu pod nazivom Kaspersky Cloud Sandbox. S obzirom na to da se ovo rešenje korisnicima pruža preko cloud servisa, ono im omogućava korišćenje sandbox tehnologije bez potrebe za ikakvim dodatnim ulaganjima u hardversku infrastrukturu.
Umesto toga, rešenje je korisnicima dostupno po modelu pretplate kao deo Kaspersky Threat Intelligence portala. Omogućavajući korisnicima da „raznesu“ sumnjive fajlove u okviru virtuelnog okruženja i pružajući im potpun izveštaj o aktivnostima tih fajlova, ova usluga je projektovana sa namerom da poboljša efikasnost odgovora na incidente i forenziku sajber bezbednosti bez ikakvog rizika po IT sisteme kompanije.
Eksploatisanje mana koje se nalaze u legitimnim softverima je postalo efikasan metod rada sajber kriminalaca u 2017. godini, s obzirom na to da se na ovaj način zlonamerne radnje mogu lako prikriti kroz procese kojima se veruje. Čak i iskusni timovi za sajber bezbednost ne mogu uvek biti sigurni da su detektovali sve malvere koji koriste ovakve tehnike sakrivanja. Kako bi ovo postigli, timovi moraju biti opremljeni naprednim tehnologijama za detekciju, uključujući i sandbox tehnologiju, koja često zahteva značajna ulaganja u hardver koja nisu lako izvodljiva za mnoge IT bezbednosne timove.
Uz rešenje Kaspersky Cloud Sandbox, napredne detekcione i forenzičke sposobnosti su dostupne kao usluge u okviru Kaspersky Threat Intelligence portala (portal za informisanje o pretnjama). To omogućava timovima za sajber bezbednost da troškove zadrže u okviru zahtevanog budžeta a pritom i dalje imaju pristup naprednim tehnologijama. Pored toga, timovi za sajber bezbednost i specijalisti u okviru centara za bezbednosne operacije (SOC) mogu dobiti temeljan uvid u ponašanje malvera i njegov dizajn, detektujući ciljanje sajber pretnje koje nisu identifikovane “u divljini” sajber prostora.
Napredne tehnike protiv izbegavanja detekcije: oktrivanje skrivene istine
Kako bi namamile malver da pokaže svoj potencijal za nanošenje štete, sanbox tehnologija bi trebalo da sadrži napredne tehnike protiv izbegavanja detekcije. Zlonamerni program, razvijen tako da se pokrene u određenom softverskom okruženju, neće „eksplodirati“ na „čistoj“ virtuelnoj mašini, i najverovatnije će uništiti samog sebe bez tragova. Kako bi zaobišlo ovo, rešenje Kaspersky Cloud Sandbox primenjuje razne tehnike imitacije korisnika, poput kliktanja na Windows dugme, skrolovanje kroz dokumente, specijalne rutinske procese koji daju malveru priliku da se pokaže, randomizaciju parametara korisničkog okruženja i mnoge druge.
Kaspersky Cloud Sandbox, korišćenjem infrastrukture virtuelne mašine, omogućava korisniku da ispita sumnjive fajlove ručno i automatski
Sistem za logovanje: ništa ne može promaći kroz šum
Kada neki malver pokrene svoje razarajuće aktivnosti, još jedna inovativna tehnologija rešenja Kaspersky Cloud Sandbox stupa na scenu: njegov podsistem za logovanje koji presreće zlonamerne radnje na ne-invazivan način. Kada neki Word dokument počne da se ponaša sumnjivo – na primer, ako počne da unosi kodne nizove u mašinsku memoriju, izvršava shell komande, ili da prenosi svoje podatke (što sve spada u sumnjiva ponašanja za jedan tekstualni dokument) – ovi događaji se registruju u podsistem za logovanje rešenja Kaspersky Cloud Security. Rešenje poseduje ekstenzivnu funkcionalnost detekcije širokog spektra zlonamernih događaja uključujući DLL fajlove, registraciju i modifikaciju ključa registra, HTTP i DNS zahteve, kreiranje, brisanje i modifikaciju fajlova itd. Korisniku se tada pruža pun izveštaj koji sadrži grafike sa vizualizacijom podataka i skrinštove, kao i log dokument sandboxa u formatu pogodnom za čitanje.
Performanse detekcije i odgovora na incidente: neprikosnoveni
Performanse rešenja Kaspersky Cloud Sandbox pri detekciji su potpomognute u stvarnom vremenu i formatu velikih i kompleksnih setova podataka iz Kaspersky bezbednosne mreže (Kaspersky Security Network – KSN), pružajući korisnicima trenutan uvid u status – kako poznatih tako i novih pretnji – koje su otkrivene “u divljini” sajber prostora. Napredna bihejvioralna analiza (analiza ponašanja) zasnovana na više od 20 godina dugom istraživačkom iskustvu kompanije Kaspersky Lab u oblasti borbe protiv najkompleksnijih pretnji, omogućava korisnicima da detektuju prethodno nepoznate zlonamerne objekte.
Pored toga što dobijaju napredne detekcione mogućnosti, eksperti iz SOC sektora i istraživači mogu da osnaže svoje aktivnosti odgovora na incident drugim uslugama dostupnim u okviru Kaspersky Threat Intelligence portala. Prilikom sporovođenja digitalne forenzike ili odgovora na incident, referent za sajber bezbednost može primiti najnovije detaljne izveštaje o pretnjama vezanim za URL-ove, domene, IP adrese, heš funkcije fajlova, imena pretnji, statističke/bihejvioralne podatke i podatke o WHOIS-u/DNS-u, i tada povezati to znanje sa indikatorima kompromitovanosti generisanim iz uzorka koji je analiziran u okviru cloud sanbox tehnologije. Takođe, dostupni su i aplikacioni programski interfejsi (APIs) za integraciju rešenja u operacije korisničke bezbednosti, omogućavajući timovima za sajber bezbednost da ojačaju svoju istragu o incidentima u roku od samo par minuta.
„S obzirom na to da su preduzeća danas sve više ugrožena od strane sajber kriminala, potreba za brzim odgovorima na incidente i digitalnom forenzikom nikada nije bila veća. Kaspersky Lab vidi rešenje Kaspersky Cloud Sandbox kao važan dodatak globalnom ekosistemu znanja o pretnjama, koje daje odgovor na ove poteškoće. Upotpunjujući već široku ponudu znanja o pretnjama koja je dostupna korisnicima na Kaspersky Threat Intelligence portalu, rešenje Kaspersky Cloud Sandbox postaje jedinstvena usluga za detaljnu analizu fajlova, koja pruža istraživačima sajber bezbednosti i timovima SOC sektora dubok uvid u ponašanje fajlova bez ikakvog rizika po IT infrastrukturu,” – komentariše Nikita Švecov (Nikita Shvetsov, glavni tehnološki direktor kompanije Kaspersky Lab.