La tecnología de sandboxing de Kaspersky ahora también se puede utilizar en las redes de los clientes. La nueva solución local Kaspersky Research Sandbox está dirigida a organizaciones con restricciones estrictas en el intercambio de datos.
Con la tecnología sandbox, los usuarios ahora pueden configurar centros de operaciones de seguridad (SOC) internos o equipos de respuesta a emergencias informáticas (CERT). La solución ayuda a los profesionales de seguridad empresarial a descubrir y analizar ataques dirigidos, al tiempo que garantiza que todos los archivos analizados permanezcan dentro de su organización.
El año pasado, alrededor de la mitad de las empresas (45 por ciento) experimentaron un ataque dirigido, como descubrió Kaspersky en una encuesta internacional de tomadores de decisiones de TI. Estas amenazas a menudo están diseñadas para funcionar solo en un contexto específico dentro de la organización de la víctima objetivo: por ejemplo, un archivo no hace nada malicioso hasta que se abre una aplicación específica o hasta que un usuario se desplaza por un documento. Además, algunos archivos pueden detectar que no se encuentran actualmente en el entorno de un usuario final, por ejemplo, cuando no hay indicios de que alguien esté trabajando en el punto final, y no ejecutan su código malicioso. Sin embargo, debido a que un SOC suele recibir numerosas alertas de seguridad, los analistas no pueden examinar manualmente a todos los sospechosos para determinar cuál es el más peligroso.
Sandbox simula el sistema de la organización
Para ayudar a las empresas a analizar amenazas avanzadas de manera más precisa y oportuna, las tecnologías de sandboxing de Kaspersky ahora se pueden implementar en las organizaciones de los clientes. Kaspersky Research Sandbox simula el sistema de la organización con parámetros aleatorios, como el nombre de usuario y el nombre de la computadora, la dirección IP o similares, e imita un entorno de usuario utilizado activamente para que el malware no pueda detectar que se está ejecutando en una máquina virtual.
Kaspersky Research Sandbox se desarrolló a partir del sistema interno de sandboxing utilizado por los investigadores antimalware de la empresa. Ahora estas tecnologías también están disponibles para los clientes como una instalación local aislada. De esta forma, todos los archivos analizados no salen del área de la empresa; esto hace que la solución sea especialmente adecuada para empresas y organizaciones con estrictas restricciones para compartir datos.
Los archivos se envían automáticamente para su análisis.
Kaspersky Research Sandbox tiene una API (interfaz de programación) especial para la integración con otras soluciones de seguridad, de modo que un archivo sospechoso pueda enviarse automáticamente para su análisis. Los resultados del análisis también se pueden exportar al sistema de gestión de tareas de un SOC. Esta automatización de tareas repetitivas reduce el tiempo que lleva investigar incidentes.
Debido a que la solución se instala en la red del cliente, ofrece más oportunidades para reflejar su entorno operativo. Ahora las máquinas virtuales de Kaspersky Research Sandbox se pueden conectar a la red interna de una organización. Esto le permite detectar malware que solo se ejecuta en una infraestructura específica y obtener una mejor comprensión de la intención detrás de él. Además, con un software especial preinstalado, los analistas de seguridad pueden configurar su versión de Windows para simular completamente su entorno corporativo. Simplifica la detección de amenazas ambientales por parte de una organización, como un malware descubierto recientemente que se utiliza en ataques contra empresas industriales. Kaspersky Research Sandbox también es compatible con el sistema operativo Android para la detección de malware móvil.
Sandbox proporciona informes detallados sobre la ejecución de archivos
Kaspersky Research Sandbox proporciona informes detallados sobre la ejecución de archivos. Los informes contienen mapas de ejecución y una lista extendida de eventos ejecutados por el objeto analizado, incluidas sus actividades de red y sistema con capturas de pantalla y una lista de archivos descargados y modificados. Cuando los oficiales de respuesta a incidentes saben exactamente lo que hace cada pieza de malware, pueden tomar las medidas necesarias para proteger a la organización de la amenaza. Además, los analistas de SOC y CERT pueden crear reglas YARA para comparar los archivos analizados con ellos.
“Nuestra solución Kaspersky Cloud Sandbox, que lanzamos en 2018, es perfecta para las empresas que necesitan analizar amenazas avanzadas sin realizar inversiones adicionales en infraestructura de hardware”, dijo Veniamin Levtsov, vicepresidente de negocios corporativos de Kaspersky. “Sin embargo, las organizaciones con SOC y CERT internos y restricciones estrictas sobre el intercambio de datos necesitan más control sobre los archivos que analizan. Con Kaspersky Research Sandbox, ahora pueden elegir la opción de implementación que mejor se adapte a sus necesidades y personalizar las imágenes de sandbox creadas localmente para adaptarse a cualquier entorno corporativo”.
Integración con Kaspersky Private Security Network (KPSN)
Kaspersky Research Sandbox se puede integrar en Kaspersky Private Security Network (KPSN). Esto brinda a las empresas información sobre el comportamiento de un objeto. Además, reciben información sobre la reputación de los archivos descargados o las URL con las que se comunicó el malware a través de la base de datos Kaspersky Threat Intelligence, instalada en el centro de datos del cliente.
Kaspersky Research Sandbox es parte de la cartera de productos de Kaspersky para profesionales de la seguridad. Esto incluye Kaspersky Threat Attribution Engine, Kaspersky CyberTrace y Kaspersky Threat Data Feeds. Esta oferta ayuda a las organizaciones a validar e investigar amenazas avanzadas y facilita la respuesta a incidentes al proporcionar inteligencia de amenazas relevante.
Más información en Kaspersky.com
Acerca de Kaspersky Kaspersky es una empresa internacional de ciberseguridad fundada en 1997. La profunda inteligencia de amenazas y la experiencia en seguridad de Kaspersky sirven como base para soluciones y servicios de seguridad innovadores para proteger empresas, infraestructura crítica, gobiernos y consumidores en todo el mundo. La cartera de seguridad integral de la empresa incluye una protección líder para puntos finales y una variedad de soluciones y servicios de seguridad especializados para defenderse contra amenazas cibernéticas complejas y en constante evolución. Más de 400 millones de usuarios y 250.000 XNUMX clientes corporativos están protegidos por las tecnologías de Kaspersky. Más información sobre Kaspersky en www.kaspersky.com/