Alla luce delle principali fughe di dati del 2017 che hanno visto sfruttare le vulnerabilità di software legittimi, la necessità di tecnologie avanzate di rilevamento non è mai stata così evidente.
Alla luce delleprincipali fughe di datidel 2017 che hanno visto sfruttare le vulnerabilità di software legittimi, la necessità di tecnologie avanzate di rilevamento non è mai stata così evidente. Per aiutare le imprese a migliorare le proprie procedure di indagine e risposta alle minacce complesse, Kaspersky Lab ha lanciato un nuovo servizio chiamato Kaspersky Cloud Sandbox che, grazie alla sua natura basata sul cloud, offre alle aziende l’opportunità di avvalersi delle sandbox senza investimenti aggiuntivi sull’infrastruttura hardware. La soluzione è infatti disponibile su abbonamento all’interno del Kaspersky Threat Intelligence Portal. Kaspersky Cloud Sandbox, che permette agli utenti di “detonare” i file sospetti in un ambiente virtuale ricevendo un report completo sulle attività dei file, è progettata per migliorare l’efficienza dell’incident response e delle indagini forensi di sicurezza informatica senza rischi per i sistemi IT dell’azienda.
Nel 2017, lo sfruttamento delle vulnerabilità di software legittimi è diventato molto popolare tra i criminali informatici, permettendo di nascondere facilmente le attività nocive dietro a processi affidabili. Anche un team di cybersecurity esperto non può essere del tutto sicuro di riuscire a scoprire tutti i malware che sfruttano queste tecniche di occultamento. Per poterlo fare, devono essere equipaggiati di tecnologie avanzate di rilevamento, sandboxing incluso, che richiedono significativi investimenti hardware, spesso eccessivi per i team di sicurezza IT. Con Kaspersky Cloud Sandbox, le funzionalità avanzate di rilevamento e indagine forense sono disponibili come servizio incluso nel Kaspersky Threat Intelligence Portal, permettendo alla divisione di sicurezza informatica di rispettare il proprio budget, avvantaggiandosi al contempo di tecnologie avanzate. Il servizio permette ai team di sicurezza IT e agli specialisti SOC (Security Operations Center) di ottenere insight approfonditi sul comportamento e le caratteristiche dei malware, rilevando le minacce mirate che non vengono scoperte in the wild.
Tecniche anti-evasione avanzate
Per indurre i malware a rivelare il proprio potenziale nocivo, le tecnologie sandbox devono includere tecniche anti-evasione avanzate. Un programma dannoso, sviluppato per operare su un determinato ambiente software, non eseguirà su una macchina virtuale “standard” e probabilmente si distruggerà senza lasciare tracce. Per evitarlo, Kaspersky Cloud Sandbox applica diverse tecniche di emulazione delle attività degli utenti – come il clic sul tasto Windows, lo scroll dei documenti e specifici processi di routine che possono indurre il malware a esporsi – di randomizzazione dei parametri dell’ambiente utente, e altre ancora.
Kaspersky Cloud Sandbox, attraverso l’infrastruttura di una macchina virtuale, consente agli utenti di testare i file sospetti manualmente e automaticamente.
Sistema di logging: niente può andare perso
Una volta che un campione di malware inizia a condurre le proprie attività distruttive, entra in gioco un’ulteriore tecnologia innovativa di Kaspersky Cloud Sandbox: il suo sottosistema di logging riesce a intercettare l’attività nociva in modo non invasivo. Quando un documento Word inizia a comportarsi in modo sospetto – ad esempio se inizia a creare una stringa nella memoria della macchina, ad eseguire comandi Shell o installare i propri payload (tutte attività insolite per un documento di testo) – questi eventi vengono registrati nel sottosistema di logging di Kaspersky Cloud Security che possiede estese funzionalità in grado di rilevare una vasta gamma di attività nocive, incluse registrazione e modifica di DLL e chiavi di registro, invio di richieste HTTP e DNS anomale, creazione, eliminazione e modifica di file, e altro ancora. Il cliente riceve quindi un report completo con grafici riassuntivi dei dati e screenshot, oltre a log leggibili della sandbox.
Performance unica nel rilevamento e nella risposta agli incidenti
Le tecnologie di rilevamento di Kaspersky Cloud Sandbox sono supportate dai big data relativi all’intelligence sulle minacce in tempo reale del Kaspersky Security Network (KSN), che offrono ai clienti informazioni su minacce nuove e sconosciute scoperte in the wild. L’analisi comportamentale avanzata, basata sugli oltre 20 anni di esperienza di Kaspersky Lab nella lotta alle minacce più complesse, permette ai clienti di rilevare oggetti nocivi precedentemente sconosciuti.
Oltre a poter sfruttare funzionalità avanzate di rilevamento, i ricercatori e gli esperti SOC possono potenziare le proprie attività di incident response con altri servizi disponibili attraverso il Kaspersky Threat Intelligence Portal. Conducendo indagini forensi o attività di risposta agli incidenti, gli esperti di sicurezza informatica possono ricevere le informazioni di threat intelligence più aggiornate su URL, domini, indirizzi IP, hash di file, nomi delle minacce, statistiche e informazioni comportamentali, dati di WHOIS e dati DNS, per poi collegare queste informazioni con gli IOC (Inversion Of Control) generati dal sample analizzato nella sandbox cloud. Sono inoltre disponibili API per automatizzare la sua integrazione all’interno delle operazioni di sicurezza del cliente, aiutando i team di cybersecurity a potenziare le proprie indagini sugli incidenti in pochi minuti.
“Le aziende sono sempre più prese di mira dal crimine informatico e non è mai stato così importante implementare una risposta rapida agli incidenti e indagini forensi. Kaspersky Cloud Sandbox rappresenta un utile tool che va ad aggiungersi all’ecosistema di intelligence sulle minacce di Kaspersky Lab, appositamente pensato per rispondere a queste esigenze. Completando la vasta threat intelligence a disposizione dei clienti del Kaspersky Threat Intelligence Portal, Kaspersky Cloud Sandbox è un servizio unico di analisi approfondita dei file, che consente ai ricercatori di sicurezza IT e ai team SOC ti ottenere informazioni importanti sul comportamento dei file senza rischi per l’infrastruttura IT”, ha commentato Nikita Shvetsov, Chief Technology Officer di Kaspersky Lab.
Ulteriori informazioni su Kaspersky Cloud Sandbox sono disponibili su: