La technologie de sandboxing de Kaspersky peut désormais également être utilisée dans les réseaux des clients. La nouvelle solution sur site Kaspersky Research Sandbox s'adresse aux organisations soumises à des restrictions strictes en matière de partage de données.
Grâce à la technologie sandbox, les utilisateurs peuvent désormais mettre en place des centres d'opérations de sécurité (SOC) internes ou des équipes d'intervention d'urgence informatique (CERT). La solution aide les professionnels de la sécurité des entreprises à découvrir et à analyser les attaques ciblées, tout en garantissant que tous les fichiers analysés restent au sein de leur organisation.
Au cours de l'année écoulée, environ la moitié des entreprises (45 %) ont subi une attaque ciblée, comme Kaspersky l'a découvert dans une enquête internationale auprès de décideurs informatiques. Ces menaces sont souvent conçues pour fonctionner uniquement dans un contexte spécifique au sein de l'organisation de la victime ciblée : par exemple, un fichier ne fait rien de malveillant jusqu'à ce qu'une application spécifique soit ouverte ou jusqu'à ce qu'un utilisateur parcoure un document. De plus, certains fichiers peuvent détecter qu'ils ne se trouvent pas actuellement dans l'environnement d'un utilisateur final - par exemple, lorsqu'il n'y a aucune indication que quelqu'un travaille sur le terminal - et n'exécutent pas leur code malveillant. Cependant, comme un SOC reçoit généralement de nombreuses alertes de sécurité, les analystes ne peuvent pas examiner manuellement tous les suspects pour déterminer lequel est le plus dangereux.
Sandbox simule le système de l'organisation
Pour aider les entreprises à analyser plus précisément et en temps opportun les menaces avancées, les technologies de sandboxing de Kaspersky peuvent désormais être mises en œuvre dans les organisations des clients. Kaspersky Research Sandbox simule le système de l'organisation avec des paramètres aléatoires, tels que le nom d'utilisateur et le nom de l'ordinateur, l'adresse IP ou similaire, et imite un environnement utilisateur activement utilisé afin que les logiciels malveillants ne puissent pas détecter qu'il s'exécute sur une machine virtuelle.
Kaspersky Research Sandbox a été développé à partir du système de bac à sable interne utilisé par les chercheurs anti-malware de l'entreprise. Désormais, ces technologies sont également disponibles pour les clients en tant qu'installation isolée sur site. Ainsi, tous les fichiers analysés ne sortent pas de l'espace entreprise ; cela rend la solution particulièrement adaptée aux entreprises et organisations soumises à des restrictions strictes en matière de partage de données.
Les fichiers sont automatiquement envoyés pour analyse
Kaspersky Research Sandbox dispose d'une API spéciale (interface de programmation) pour l'intégration avec d'autres solutions de sécurité, afin qu'un fichier suspect puisse être automatiquement envoyé pour analyse. Les résultats de l'analyse peuvent également être exportés vers le système de gestion des tâches d'un SOC. Cette automatisation des tâches répétitives réduit le temps nécessaire pour enquêter sur les incidents.
Étant donné que la solution est installée sur le réseau du client, elle offre davantage de possibilités de refléter son environnement d'exploitation. Désormais, les machines virtuelles de Kaspersky Research Sandbox peuvent être connectées au réseau interne d'une organisation. Cela lui permet de détecter les logiciels malveillants qui ne s'exécutent que sur une infrastructure spécifique et de mieux comprendre l'intention qui les sous-tend. De plus, grâce à un logiciel spécial préinstallé, les analystes en sécurité peuvent configurer leur version de Windows pour simuler entièrement leur environnement d'entreprise. Il simplifie la détection par une organisation des menaces environnementales, telles qu'un logiciel malveillant récemment découvert utilisé dans des attaques contre des entreprises industrielles. Kaspersky Research Sandbox prend également en charge le système d'exploitation Android pour la détection des logiciels malveillants mobiles.
Sandbox fournit des rapports détaillés sur l'exécution des fichiers
Kaspersky Research Sandbox fournit des rapports détaillés sur l'exécution des fichiers. Les rapports contiennent des cartes d'exécution et une liste étendue des événements exécutés par l'objet analysé, y compris ses activités réseau et système avec des captures d'écran et une liste des fichiers téléchargés et modifiés. Lorsque les responsables de la réponse aux incidents savent exactement ce que fait chaque logiciel malveillant, ils peuvent prendre les mesures nécessaires pour protéger l'organisation contre la menace. De plus, les analystes SOC et CERT peuvent créer des règles YARA pour faire correspondre les fichiers analysés avec eux.
« Notre solution Kaspersky Cloud Sandbox, que nous avons lancée en 2018, est parfaite pour les entreprises qui ont besoin d'analyser les menaces avancées sans investir davantage dans l'infrastructure matérielle », a déclaré Veniamin Levtsov, vice-président, Corporate Business chez Kaspersky. « Cependant, les organisations avec des SOC et des CERT internes et des restrictions strictes sur le partage de données ont besoin de plus de contrôle sur les fichiers qu'elles analysent. Avec Kaspersky Research Sandbox, ils peuvent désormais choisir l'option de déploiement qui leur convient le mieux et personnaliser les images sandbox créées sur site pour s'adapter à n'importe quel environnement d'entreprise.
Intégration avec Kaspersky Private Security Network (KPSN)
Kaspersky Research Sandbox peut être intégré au Kaspersky Private Security Network (KPSN). Cela donne aux entreprises un aperçu du comportement d'un objet. De plus, ils reçoivent des informations sur la réputation des fichiers téléchargés ou des URL avec lesquels le malware a communiqué via la base de données Kaspersky Threat Intelligence - installée dans le centre de données du client.
Kaspersky Research Sandbox fait partie du portefeuille de produits Kaspersky pour les professionnels de la sécurité. Cela inclut Kaspersky Threat Attribution Engine, Kaspersky CyberTrace et Kaspersky Threat Data Feeds. Cette offre aide les organisations à valider et à enquêter sur les menaces avancées et facilite la réponse aux incidents en fournissant des informations pertinentes sur les menaces.
En savoir plus sur Kaspersky.com
À propos de Kaspersky Kaspersky est une société internationale de cybersécurité fondée en 1997. L'expertise approfondie de Kaspersky en matière de renseignements sur les menaces et de sécurité sert de base à des solutions et des services de sécurité innovants pour protéger les entreprises, les infrastructures critiques, les gouvernements et les consommateurs du monde entier. Le portefeuille de sécurité complet de la société comprend une protection des terminaux de pointe et une gamme de solutions et de services de sécurité spécialisés pour se défendre contre les cybermenaces complexes et évolutives. Plus de 400 millions d'utilisateurs et 250.000 XNUMX entreprises clientes sont protégées par les technologies Kaspersky. Plus d'informations sur Kaspersky sur www.kaspersky.com/