Kaspersky Cloud Sandbox: nie możesz ukrywać się wiecznie!

0
118

Zwalczanie współczesnych cyberzagrożeń to przedłużająca się gra w chowanego. Cyberprzestępcy usilnie wymyślają nowe metody ukrywania szkodliwej zawartości, aby móc skutecznie działać. W kwestii tej szczególnie kreatywni są aktorzy ataków APT — dysponują oni wystarczającą ilością zasobów, aby utworzyć wyrafinowane metody ukrywania się. Z kolei naszym zadaniem jest udostępnienie klientom środków, dzięki którym będą oni mogli wykryć ukryte zagrożenia i przeanalizować swoje zachowanie. Jednym z takich instrumentów jest nowa usługa, którą nazwaliśmy Kaspersky Cloud Sandbox.

W jaki sposób można wykryć szkodliwy program, jeśli został on tak przygotowany, aby był niewidoczny dla różnych skanerów? Poprzez złapanie go na gorącym uczynku, gdy rozpoczyna wykonywać swoją szkodliwą aktywność. Jednak w sieci firmowej taka sytuacja jest, delikatnie mówiąc, niezdrowa. Aby nie wykonywać w swojej infrastrukturze takich eksperymentów, wynaleziono tzw. piaskownicę.

Istotą wykorzystywania piaskownicy (ang. sandboxing) jest uruchamianie programu w ściśle kontrolowanym środowisku, odizolowanym od głównej infrastruktury. W takich okolicznościach może on pokazać swoje prawdziwe oblicze, nie wyrządzając żadnej szkody. Metoda ta jest często stosowana w naszych produktach pod różnymi postaciami i jest dosyć skuteczna. Jednak istnieje jeden problem: nie tylko my wiemy, jak ona działa — wiedzą o tym także oszuści.

Autorzy ataków APT zwykle uzupełniają swoje dzieła o procedury dodatkowego sprawdzania, które mają za zadanie rozpoznać, czy szkodliwy program działa na wolności, czy pod mikroskopem. Jeśli algorytm nabierze podejrzeń, że program działa w kontrolowanym środowisku, szkodliwe działania zostają zatrzymane.

Wymyśliliśmy zatem technologię, która sprawia, że nasza piaskownica udaje zwykły komputer. Naśladuje ona codzienne czynności, jakie wykonuje zwykły pracownik: naciska klawisze na klawiaturze, przewija długi tekst, odwiedza strony internetowe. Równocześnie po cichu rejestrujemy wszystko, co dzieje się w naszej piaskownicy. W ten sposób możemy dokładnie przeanalizować dany obiekt i uzyskujemy odpowiedzi na najważniejsze pytania: jakie ciągi zostały przez niego utworzone w pamięci, do czego uzyskiwał dostęp w rejestrze systemu, jakie adresy internetowe sprawdzał?

Oczywiście takiego instrumentu nie można zintegrować w lokalnym produkcie zabezpieczającym. Nie jest on potrzebny podczas codziennej pracy i nie opłaca się go implementować w infrastrukturze. Z tego powodu utworzyliśmy usługę chmurową, do której dostęp mogą uzyskiwać klienci serwisu Kaspersky Threat Intelligence Portal. Dzięki niemu pracownicy centrum operacji bezpieczeństwa (SOC) oraz osoby przeprowadzające analizę kryminalistyczną otrzymują szczegółowe raporty na temat wszelkich podejrzanych obiektów.

Kaspersky Threat Intelligence Portal to centrum, które gromadzi wszystkie dostępne dane na temat analizy zagrożeń w czasie rzeczywistym. Dlatego nasza piaskownica w chmurze ma nie tylko najnowsze informacje z systemu Kaspersky Security Network (KSN), ale także dysponuje najnowszymi technologiami wykrywania na podstawie analizy zachowania. W ten sposób może ona wykrywać zagrożenia nawet wtedy, gdy nie zostały one zarejestrowane jeszcze na wolności.

Usługa Kaspersky Cloud Sandbox jest szczególnie przydatna podczas analizy cyberbezpieczeństwa. Jednak oparcie się atakowi to tylko połowa wygranej, niemniej istotne jest uzyskanie informacji, co było celem cyberprzestępców i z jakich metod korzystali. To między innymi takie informacje pozwalają ulepszyć systemy bezpieczeństwa w przypadku pojawienia się tego samego lub podobnego ataku.

Aby uzyskać dostęp do serwisu Kaspersky Threat Intelligence Portal, skontaktuj się z naszymi specjalistami poprzez tę stronę. Jeśli chcesz uzyskać więcej informacji na temat Kaspersky Cloud Sandbox, zapoznaj się z opisem technicznym.