Kaspersky Cloud Sandbox na zagrożenia złożone

Przeczytaj także: Cyberbezpieczeństwo w firmach: brakuje spójności

Wykorzystywanie błędów w legalnym oprogramowaniu stało się ulubionym narzędziem przestępców. Tego typu ataki bardzo trudno wykryć. Specjaliści muszą być wyposażeni w zaawansowane technologie wykrywania, w tym piaskownicę, co często wymaga znacznych inwestycji w sprzęt, na które wiele zespołów ds. bezpieczeństwa IT nie może sobie pozwolić.

Usługa Kaspersky Cloud Sandbox pozwala uniknąć dodatkowych inwestycji i uzyskać szczegółowy wgląd w zachowanie i konstrukcję szkodliwego oprogramowania, wykrywając ukierunkowane cyberzagrożenia, nawet jeżeli nie zostały one jeszcze przez nikogo zbadane.

Zaawansowane techniki zapobiegające ukrywaniu się zagrożeń: odsłonięcie ukrytej prawdy

Aby skłonić szkodliwe oprogramowanie do odkrycia swojego potencjału, piaskownica powinna być wyposażona w zaawansowane techniki przeciwdziałające unikaniu wykrycia. Szkodliwy program, który został stworzony tak, aby działać w określonym środowisku, nie aktywuje się na „czystej” maszynie wirtualnej. Aby obejść ten problem, Kaspersky Cloud Sandbox stosuje różne techniki emulacji użytkownika, takie jak klikanie przycisków, przewijanie dokumentów, rutynowe działania, które pozwalają szkodliwemu oprogramowaniu ujawnić się, randomizacja parametrów środowiska użytkownika i wiele innych.

System zapisywania zdarzeń: nic nie umknie w szumie

Po tym, jak szkodliwe oprogramowanie zacznie wykonywać swoje destrukcyjne działania, usługa Kaspersky Cloud Sandbox wykorzystuje podsystem raportowania i bezinwazyjnie przechwytuje szkodliwe działania. Gdy obiekt zacznie zachowywać się w podejrzany sposób – na przykład gdy zacznie tworzyć ciąg w pamięci maszyny, wykonywać polecenia powłoki czy pobierać szkodliwą funkcję – zdarzenia te są rejestrowane w podsystemie Kaspersky Cloud Security, który posiada możliwość wykrywania ogromnego spektrum szkodliwych zdarzeń, w tym bibliotek DLL, rejestracji i modyfikacji kluczy rejestru, żądań HTTP i DNS, tworzenia, usuwania i modyfikacji plików itd. Następnie klient otrzymuje pełny raport zawierający wykresy i zrzuty ekranu z wizualizacją danych, jak również możliwy kompletny dziennik zdarzeń rejestrowanych w piaskownicy.

Czas wykrywania i reagowania na incydenty: prawie zerowy

Działanie Kaspersky Cloud Sandbox jest wspomagane przeprowadzaną w czasie rzeczywistym analizą zagrożeń z chmury Kaspersky Security Network (KSN), dostarczając klientom natychmiastowy status zarówno znanych jak i nowych zagrożeń wykrytych na wolności. Dzięki analizie zachowania, która opiera się na 20-letnim doświadczeniu Kaspersky Lab w badaniu szkodliwego oprogramowania w celu zwalczania najbardziej złożonych zagrożeń, klienci mogą wykryć nieznane wcześniej szkodliwe obiekty.

Oprócz uzyskania zaawansowanych możliwości wykrywania eksperci z centrów SOC oraz badacze mogą wzmocnić swoje działania w ramach reagowania na incydenty innymi usługami dostępnymi za pośrednictwem serwisu Kaspersky Threat Intelligence Portal. Podczas przeprowadzania działań z zakresu kryminalistyki cyfrowej lub reagowania na incydenty specjalista ds. cyberbezpieczeństwa może uzyskać najnowsze szczegółowe dane analizy zagrożeń odnośnie adresów URL, domen, adresów IP, skrótów plików, nazw zagrożeń, danych statystycznych/dot. zachowania oraz danych WHOIS/DNS, a następnie powiązać tę wiedzę ze wskaźnikami infekcji (IoC) wygenerowanymi przez próbkę, która była analizowana w ramach piaskownicy.