A tecnologia de sandbox da Kaspersky agora também pode ser usada em redes de clientes. A nova solução local Kaspersky Research Sandbox destina-se a organizações com restrições rígidas de compartilhamento de dados.
Com a tecnologia sandbox, os usuários agora podem configurar Centros de Operações de Segurança (SOCs) internos ou Equipes de Resposta a Emergências de Computadores (CERTs). A solução ajuda os profissionais de segurança corporativa a descobrir e analisar ataques direcionados, garantindo que todos os arquivos analisados permaneçam em sua organização.
No ano passado, cerca de metade das empresas (45 por cento) sofreram um ataque direcionado, como descobriu a Kaspersky em uma pesquisa internacional com tomadores de decisão de TI. Essas ameaças geralmente são projetadas para funcionar apenas em um contexto específico dentro da organização da vítima visada: por exemplo, um arquivo não faz nada mal-intencionado até que um aplicativo específico seja aberto ou até que um usuário percorra um documento. Além disso, alguns arquivos podem detectar que não estão no ambiente de um usuário final - por exemplo, quando não há indicação de que alguém está trabalhando no terminal - e não executam seu código malicioso. No entanto, como um SOC geralmente recebe vários alertas de segurança, os analistas não podem examinar manualmente todos os suspeitos para determinar qual deles é o mais perigoso.
Sandbox simula o sistema da organização
Para ajudar as empresas a analisar ameaças avançadas de forma mais precisa e oportuna, as tecnologias de sandbox da Kaspersky agora podem ser implementadas nas organizações dos clientes. O Kaspersky Research Sandbox simula o sistema da organização com parâmetros aleatórios, como nome de usuário e nome do computador, endereço IP ou algo semelhante, e imita um ambiente de usuário usado ativamente para que o malware não consiga detectar que está sendo executado em uma máquina virtual.
O Kaspersky Research Sandbox foi desenvolvido a partir do sistema de sandbox interno usado pelos pesquisadores antimalware da empresa. Agora, essas tecnologias também estão disponíveis para os clientes como uma instalação local isolada. Desta forma, todos os arquivos analisados não saem da área da empresa; isso torna a solução particularmente adequada para empresas e organizações com restrições rígidas de compartilhamento de dados.
Os arquivos são enviados automaticamente para análise
O Kaspersky Research Sandbox possui uma API (interface de programação) especial para integração com outras soluções de segurança, para que um arquivo suspeito possa ser enviado automaticamente para análise. Os resultados da análise também podem ser exportados para um sistema de gerenciamento de tarefas do SOC. Essa automação de tarefas repetitivas reduz o tempo necessário para investigar incidentes.
Como a solução é instalada na rede do cliente, ela oferece mais oportunidades de espelhar seu ambiente operacional. Agora as máquinas virtuais do Kaspersky Research Sandbox podem ser conectadas à rede interna de uma organização. Isso permite detectar malware que é executado apenas em uma infraestrutura específica e entender melhor a intenção por trás dele. Além disso, com um software especial pré-instalado, os analistas de segurança podem configurar sua versão do Windows para simular totalmente seu ambiente corporativo. Ele simplifica a detecção de ameaças ambientais de uma organização, como um malware recentemente descoberto usado em ataques contra empresas industriais. O Kaspersky Research Sandbox também oferece suporte ao sistema operacional Android para detecção de malware móvel.
Sandbox fornece relatórios detalhados sobre a execução de arquivos
Kaspersky Research Sandbox fornece relatórios detalhados sobre a execução de arquivos. Os relatórios contêm mapas de execução e uma lista extensa de eventos executados pelo objeto analisado, incluindo suas atividades de rede e sistema com capturas de tela e uma lista de arquivos baixados e modificados. Quando os oficiais de resposta a incidentes sabem exatamente o que cada parte do malware faz, eles podem tomar as medidas necessárias para proteger a organização contra a ameaça. Além disso, os analistas SOC e CERT podem criar regras YARA para comparar os arquivos analisados com eles.
“Nossa solução Kaspersky Cloud Sandbox, que lançamos em 2018, é perfeita para empresas que precisam analisar ameaças avançadas sem fazer investimentos adicionais em infraestrutura de hardware”, disse Veniamin Levtsov, vice-presidente de negócios corporativos da Kaspersky. “No entanto, organizações com SOCs e CERTs internos e restrições estritas ao compartilhamento de dados precisam de mais controle sobre os arquivos que analisam. Com o Kaspersky Research Sandbox, agora eles podem escolher a opção de implantação que funciona melhor para eles e personalizar as imagens do sandbox criadas no local para se adequar a qualquer ambiente corporativo.”
Integração com Kaspersky Private Security Network (KPSN)
O Kaspersky Research Sandbox pode ser integrado à Kaspersky Private Security Network (KPSN). Isso dá às empresas insights sobre o comportamento de um objeto. Além disso, eles recebem informações sobre a reputação dos arquivos baixados ou URLs com os quais o malware se comunicou por meio do banco de dados Kaspersky Threat Intelligence – instalado no data center do cliente.
O Kaspersky Research Sandbox faz parte do portfólio de produtos Kaspersky para profissionais de segurança. Isso inclui Kaspersky Threat Attribution Engine, Kaspersky CyberTrace e Kaspersky Threat Data Feeds. Essa oferta ajuda as organizações a validar e investigar ameaças avançadas e facilita a resposta a incidentes ao fornecer informações relevantes sobre ameaças.
Saiba mais em Kaspersky.com
Sobre Kaspersky A Kaspersky é uma empresa internacional de cibersegurança fundada em 1997. A profunda inteligência de ameaças e experiência em segurança da Kaspersky serve como base para soluções e serviços de segurança inovadores para proteger empresas, infraestrutura crítica, governos e consumidores em todo o mundo. O abrangente portfólio de segurança da empresa inclui proteção de endpoint líder e uma variedade de soluções e serviços de segurança especializados para se defender contra ameaças cibernéticas complexas e em evolução. Mais de 400 milhões de usuários e 250.000 clientes corporativos são protegidos pelas tecnologias da Kaspersky. Mais informações sobre Kaspersky em www.kaspersky.com/