Nem holnap, nem jövő héten, hanem azonnal kell reagálni a kibercsapdákra

A szolgáltatás lehetővé teszi az ügyfelek számára, hogy a gyanús fájlokat egy virtuális környezetbe gyűjtsék azok tevékenységeinek teljes jelentésével. Úgy tervezték, hogy növeljék egy vállalat kiberincidensre adott válaszát és hatékonyságát anélkül, hogy az befolyással lenne az informatikai rendszerekre. A felhő szolgáltatás segítségével a vállalkozások kihasználhatják a sandbox technológiát anélkül, hogy komolyabb beruházásokat hajtanának végre a hardver infrastruktúrában. A Sandbox egy biztonságos futtatókörnyezetek létrehozását lehetővé tévő technológia, amelynek lényege, hogy egy a külvilágtól gyakorlatilag teljesen elválasztott saját “világot” hoz létre.

Az utóbbi időben a kiberbűnözők egyik kedvenc eszköze a legális szoftverek hibáinak kihasználása, mivel a megbízható folyamatok közé rejtett kártékony program egyszerűen és könnyen végezheti feladatát. Még a legtapasztaltabb kiberbiztonsági részleg sem lehet mindig biztos abban, hogy malware-t észlelt a fent említett módszerek miatt. Ahhoz, hogy eredményesen lehessen észlelni a kibercsapdákat, az IT-s csapatoknak korszerű detektáló eljárásokat kell használniuk, köztük például a sandbox-technológiát, amely gyakran igényel nagy beruházásokat, amelyre sok IT részlegnek nincs lehetősége.

A Kaspersky Cloud Sandbox használatával a Kaspersky Threat Intelligence Portalon keresztül olyan fejlett detektáló módszerek állnak rendelkezésre, amelyek lehetővé teszik a kiberbiztonsági csapatoknak, hogy költségvetési keretükön belül a legfejlettebb technológiákat használhassák. A szolgáltatás lehetővé teszi a biztonsági csapatok és a műveleti központok szakemberei számára, hogy betekintést kapjanak a rosszindulatú programok viselkedéséről és tervezéséről, valamint a még ismeretlen kibercsapdák azonosítását.

A rejtett csapdák felfedése

Ahhoz, hogy a kártékony programokat észlelni lehessen azok potenciálja kapcsán, a sandbox-technológiának rendelkeznie kell fejlett „antielkerülő” módszerrel. Egy kártékony program, amelyet egy bizonyos szoftveres környezetre terveztek, nem fog egy „tiszta” virtuális gépen futni. Annak érdekében, hogy ezt elkerüljék a Kaspersky Cloud Sandbox imitálja egy átlagos felhasználó aktivitásait, például kattintásokat, dokumentumok görgetését, speciális rutinfolyamatokat, amelyek lehetőséget biztosítanak a kártékony programok felfedésérre, a felhasználói környezet paramétereinek véletlenszerűvé tételére és még sok egyébre.

Rendszernapló

Amint egy malware elkezdi romboló tevékenységét, a Kaspersky Cloud Sandbox felhasználja a naplózó alrendszert és ilyen módon blokkolja a rosszindulatú műveleteket. Ha egy dokumentum gyanúsan kezd el viselkedni, – például karakterláncot hoz létre a gép memóriájában, Shell-parancsokat hajt végre – a tevékenységei regisztrálva vannak a Kaspersky Cloud Security rendszerében, amely képes érzékelni a rosszindulatú incidensek széles spektrumát, köztük a DLL-eket, a regisztrációs kulcsokat és azok módosításait, a HTTP- és DNS-kéréseket, a fájlok létrehozását, törlését vagy módosítását stb. Az ügyfél számára ezután egy teljes jelentés készül, amely minden adatot tartalmaz, grafikonokat és screenshotokat, valamint egy olvasható sandbox naplót.

A kibercsapda észlelése és villámgyors válasz

A Kaspersky Cloud Sandbox észlelési teljesítményét erősíti a Kaspersky Security Network (KSN) valós idejű kibercsapda-észlelő szolgáltatása, amely biztosítja az ügyfeleknek az azonnali reakciót a már ismert és a még ismeretlen kibercsapdák ellen. A Kaspersky Lab 20 éves viselkedés-alapú elemzései és kutatási tapasztalatai segítenek az ügyfeleknek még a legösszetettebb fenyegetésekkel is felvenni a harcot akár a mindeddig ismeretlen rosszindulatú fájlok ellen is.

A Kaspersky Threat Intelligence Portal használatával a fejlett észlelő képességek mellett a biztonsági műveleti központ szakértői és kutatói egyéb szolgáltatásokkal is javíthatják a kiberincidensekre adott reakciójukat. Egy incidensre adott válasz esetén a kiberbiztonsági szakértő megkapja a részletes jelentést az URL-ekről, domainekről, IP-címekről, fájltörlésekről, kibercsapda nevekről, statisztikai adatokat, viselkedés-mintákat, WHOIA / DNS adatokat, valamint a fenyegetési indikátorokról (IoCs), amelyeket már a Cloud Sandboxban elemeztek. Az ügyfelek biztonsági műveleteinek automatizálására is lehetőség van, így a kiberbiztonsági csapatok pár perc alatt javíthatják vizsgálataikat.

„Az internetes bűnözés által egyre inkább fenyegetett vállalkozásoknak a gyors reakcióidőre és blokkolásra való igénye nagyobb, mint valaha.  A Kaspersky Cloud Sandbox egy fontos kiegészítője a Kaspersky Lab nemzetközi kibercsapda detektáló rendszerének. A Kaspersky Threat Intelligence Portal bővítéseként a Kaspersky Cloud Sandbox egyedi szolgáltatássá válhat, amely lehetővé teszi a kutatóknak és a biztonsági szakértőknek a viselkedés-alapú elemzéseket anélkül, hogy az hatással lenne a számítástechnikai rendszereikre vagy óriási beruházásokat hajtanának végre.”

– mondta Nikita Shvetsov, a Kaspersky Lab főmérnöke.