該解決方案能夠幫助他們檢測(cè)和分析針對(duì)性威脅,同時(shí)確保所有這些被檢查的文件都被困在組織內(nèi)部。
卡巴斯基進(jìn)行的一項(xiàng) IT 決策者調(diào)查顯示,去年,約一半(45%)的企業(yè)都遭遇過針對(duì)性攻擊。這些威脅通常被設(shè)計(jì)成只在受害者組織內(nèi)的特定環(huán)境下運(yùn)行:例如,一個(gè)文件可能不會(huì)執(zhí)行任何惡意操作,直到一個(gè)特定的應(yīng)用程序被打開,或者用戶瀏覽文檔時(shí)才會(huì)執(zhí)行。此外,有些文件還能夠識(shí)別自身并沒有在終端用戶環(huán)境下——例如,如果沒有跡象表明有人在終端上操作——就不會(huì)運(yùn)行惡意代碼。但是,由于SOC通常會(huì)收到許多安全警報(bào),分析人員無(wú)法手動(dòng)調(diào)查所有這些警報(bào),以確定哪一個(gè)是最危險(xiǎn)的。
為了幫助企業(yè)更準(zhǔn)確和及時(shí)地分析高級(jí)威脅,卡巴斯基的沙盒技術(shù)現(xiàn)在可以在客戶組織內(nèi)部實(shí)施。卡巴斯基研究沙盒可以利用隨機(jī)參數(shù)(例如用戶名和計(jì)算機(jī)名、IP地址等)模擬組織內(nèi)的系統(tǒng),并模仿活躍使用的環(huán)境,使惡意軟件無(wú)法分辨出它是在虛擬機(jī)上運(yùn)行。
卡巴斯基研究沙盒是從公司自己的反惡意軟件研究人員使用的內(nèi)部沙盒綜合體演變而來(lái)的。現(xiàn)在,這些技術(shù)可以作為一個(gè)隔離的內(nèi)部安裝供客戶使用。因此,所有被分析的文件都不會(huì)離開公司的周邊,這使得該解決方案適用于對(duì)數(shù)據(jù)共享有嚴(yán)格限制的組織。
卡巴斯基研究沙盒具有一個(gè)專門與其他安全解決方案進(jìn)行整合的API,因此可以自動(dòng)發(fā)送可疑文件進(jìn)行分析。分析結(jié)果還能夠?qū)氲絊OC的任務(wù)管理系統(tǒng)。這種重復(fù)性任務(wù)的自動(dòng)化可以縮短事件調(diào)查所需的時(shí)間。
由于該解決方案安裝在客戶網(wǎng)絡(luò)中,因此它提供了更多功能來(lái)鏡像其操作環(huán)境。現(xiàn)在,來(lái)自卡巴斯基研究沙盒的虛擬機(jī)可以連接到組織的內(nèi)部網(wǎng)絡(luò)中。因此,它可以揭示設(shè)計(jì)成只在某個(gè)基礎(chǔ)設(shè)施中運(yùn)行的惡意軟件,并了解其意圖。此外,分析人員可以使用特定的預(yù)安裝軟件來(lái)設(shè)置其Windows版本,以完全模擬其企業(yè)環(huán)境。它簡(jiǎn)化了組織對(duì)環(huán)境感知威脅的檢測(cè),例如最近發(fā)現(xiàn)的用于攻擊工業(yè)企業(yè)的惡意軟件。卡巴斯基研究沙盒還支持安卓操作系統(tǒng),能夠檢測(cè)移動(dòng)惡意軟件。
卡巴斯基研究沙盒提供文件執(zhí)行的詳細(xì)報(bào)告。報(bào)告包含執(zhí)行圖和被分析對(duì)象執(zhí)行的事件的擴(kuò)展列表,包括其網(wǎng)絡(luò)和系統(tǒng)活動(dòng)(截圖)以及下載和修改的文件列表。通過了解惡意軟件具體做了什么,事故相應(yīng)人員可以總結(jié)出組織應(yīng)對(duì)相關(guān)威脅所需的措施。SOC 和 CERT 分析人員還能夠創(chuàng)建他們的 YARA 規(guī)則,對(duì)照分析文件進(jìn)行檢查。
“我們于2018年推出的卡巴斯基云沙盒非常適合需要分析復(fù)雜威脅而無(wú)需在硬件基礎(chǔ)設(shè)施上進(jìn)行額外投資的組織。但是,具有內(nèi)部 SOC 和 CERT 的組織以及對(duì)數(shù)據(jù)共享有嚴(yán)格限制的組織需要對(duì)他們分析的文件進(jìn)行更多控制。現(xiàn)在,使用卡巴斯基研究沙盒,他們可以選擇最適合自己的部署方案,同時(shí)能夠針對(duì)任何企業(yè)環(huán)境定制本地沙盒鏡像,”卡巴斯基企業(yè)業(yè)務(wù)副總裁 Veniamin Levtsov 評(píng)論說。
卡巴斯基研究沙盒能夠與卡巴斯基私有安全網(wǎng)絡(luò)集成。它不僅能夠讓組織了解某個(gè)對(duì)象的行為,還能夠從安裝在客戶數(shù)據(jù)中心內(nèi)的卡巴斯基威脅情報(bào)數(shù)據(jù)庫(kù)
卡巴斯基研究沙盒是卡巴斯基針對(duì)安全研究人員的產(chǎn)品組合的一部分。這些產(chǎn)品組合包括卡巴斯基威脅溯源引擎、卡巴斯基CyberTrace和卡巴斯基威脅數(shù)據(jù)饋送。這些產(chǎn)品可以幫助企業(yè)驗(yàn)證和調(diào)查高級(jí)威脅,并通過提供相關(guān)的威脅信息促進(jìn)事件響應(yīng)。
