Технологію пісочниці Касперського тепер також можна використовувати в мережах клієнтів. Нове локальне рішення Kaspersky Research Sandbox призначене для організацій із суворими обмеженнями на обмін даними.
Завдяки технології пісочниці користувачі тепер можуть налаштувати внутрішні центри безпеки (SOC) або групи реагування на надзвичайні ситуації (CERT). Рішення допомагає фахівцям із корпоративної безпеки виявляти та аналізувати цільові атаки, гарантуючи, що всі проаналізовані файли залишаються в їхній організації.
Минулого року близько половини компаній (45 відсотків) зазнали цілеспрямованої атаки, як Kaspersky виявив у міжнародному опитуванні керівників ІТ. Ці загрози часто розроблені для роботи лише в певному контексті в організації жертви: наприклад, файл не робить нічого шкідливого, доки не буде відкрито певну програму або поки користувач не прокрутить документ. Крім того, деякі файли можуть виявляти, що вони наразі не знаходяться в середовищі кінцевого користувача (наприклад, якщо немає ознак того, що хтось працює над кінцевою точкою), і не запускають свій шкідливий код. Однак, оскільки SOC зазвичай отримує численні сповіщення безпеки, аналітики не можуть вручну перевірити всіх підозрюваних, щоб визначити, який із них є найнебезпечнішим.
Пісочниця моделює систему організації
Щоб допомогти компаніям точніше та своєчасно аналізувати передові загрози, технології ізольованого програмного середовища Kaspersky тепер можна впроваджувати в організаціях клієнтів. Kaspersky Research Sandbox симулює систему організації за допомогою випадкових параметрів, таких як ім’я користувача та ім’я комп’ютера, IP-адреса тощо, і імітує середовище, яке активно використовується користувачем, щоб зловмисне програмне забезпечення не могло виявити, що воно працює на віртуальній машині.
Kaspersky Research Sandbox було розроблено на основі внутрішньої системи ізольованого програмного середовища, яку використовували дослідники компанії з питань захисту від зловмисного програмного забезпечення. Тепер ці технології також доступні для клієнтів як ізольована локальна інсталяція. Таким чином, усі аналізовані файли не залишають територію компанії; це робить рішення особливо придатним для компаній і організацій із суворими обмеженнями на обмін даними.
Файли автоматично відправляються на аналіз
Kaspersky Research Sandbox має спеціальний API (інтерфейс програмування) для інтеграції з іншими рішеннями безпеки, щоб підозрілий файл міг автоматично надсилатися на аналіз. Результати аналізу також можна експортувати в систему керування завданнями SOC. Ця автоматизація повторюваних завдань скорочує час, необхідний для розслідування інцидентів.
Оскільки рішення встановлено в мережі клієнта, воно пропонує більше можливостей для віддзеркалення його робочого середовища. Тепер віртуальні машини з Kaspersky Research Sandbox можна підключати до внутрішньої мережі організації. Це дозволяє йому виявляти зловмисне програмне забезпечення, яке працює лише в певній інфраструктурі, і краще розуміти намір, що стоїть за ним. Крім того, за допомогою спеціального попередньо встановленого програмного забезпечення аналітики безпеки можуть налаштувати свою версію Windows для повної імітації свого корпоративного середовища. Це спрощує організацію виявлення екологічних загроз, таких як нещодавно виявлені шкідливі програми, які використовуються для атак на промислові компанії. Kaspersky Research Sandbox також підтримує ОС Android для виявлення шкідливих програм для мобільних пристроїв.
Пісочниця надає докладні звіти про виконання файлів
Kaspersky Research Sandbox надає докладні звіти про виконання файлів. Звіти містять карти виконання та розширений список подій, які виконує аналізований об’єкт, включаючи його мережеву та системну діяльність зі знімками екрана та списком завантажених і змінених файлів. Коли спеціалісти з реагування на інциденти точно знають, що робить кожна частина зловмисного програмного забезпечення, вони можуть вжити заходів, необхідних для захисту організації від загрози. Крім того, аналітики SOC і CERT можуть створювати правила YARA, щоб порівнювати проаналізовані файли з ними.
«Наше рішення Kaspersky Cloud Sandbox, яке ми запустили в 2018 році, ідеально підходить для компаній, яким потрібно аналізувати передові загрози без додаткових інвестицій в апаратну інфраструктуру», — сказав Веніамін Левцов, віце-президент з корпоративного бізнесу Kaspersky. «Однак організації з внутрішніми SOC і CERT і суворими обмеженнями на обмін даними потребують більшого контролю над файлами, які вони аналізують. Завдяки Kaspersky Research Sandbox тепер вони можуть вибрати варіант розгортання, який їм найкраще підходить, і налаштувати створені локальні образи пісочниці відповідно до будь-якого корпоративного середовища».
Інтеграція з Kaspersky Private Security Network (KPSN)
Kaspersky Research Sandbox можна інтегрувати в Kaspersky Private Security Network (KPSN). Це дає компаніям уявлення про поведінку об’єкта. Крім того, вони отримують інформацію про репутацію завантажених файлів або URL-адрес, з якими зловмисне програмне забезпечення спілкувалося через базу даних Kaspersky Threat Intelligence, встановлену в центрі обробки даних клієнта.
Kaspersky Research Sandbox є частиною портфоліо продуктів Kaspersky для професіоналів безпеки. Це включає Kaspersky Threat Attribution Engine, Kaspersky CyberTrace і Kaspersky Threat Data Feeds. Ця пропозиція допомагає організаціям перевіряти та досліджувати розширені загрози та полегшує реагування на інциденти, надаючи відповідну інформацію про загрози.
Дізнайтеся більше на Kaspersky.com
Про Касперського Kaspersky — міжнародна компанія з кібербезпеки, заснована в 1997 році. Глибокий досвід Kaspersky у сфері аналізу загроз і безпеки служить основою для інноваційних рішень і послуг безпеки для захисту бізнесу, критичної інфраструктури, урядів і споживачів у всьому світі. Комплексне портфоліо безпеки компанії включає провідний захист кінцевих точок і низку спеціалізованих рішень і послуг безпеки для захисту від складних і нових кіберзагроз. Понад 400 мільйонів користувачів і 250.000 XNUMX корпоративних клієнтів захищені технологіями Касперського. Більше інформації про Kaspersky на www.kaspersky.com/