Tehnologii „sandboxing” pentru o mai bună securitate IT a companiilor

Tehnologii „sandboxing” pentru o mai bună securitate IT a companiilor

Anul trecut, aproximativ jumătate (45%) dintre companii s-au confruntat cu un atac țintit. Aceste amenințări sunt deseori concepute pentru a funcționa doar într-un context specific în cadrul organizației victimă: de exemplu, un fișier nu poate face nimic rău până când nu este deschisă o aplicație specifică, sau până când un utilizator nu
parcurge documentul. În plus, unele fișiere pot identifica dacă se află sau nu în mediul utilizatorului final – de exemplu, dacă nu există niciun semn că cineva lucrează într-un mediu end-user – ele nu vor rula codul rău intenționat. Cu toate acestea, întrucât un SOC primește de obicei numeroase alerte de securitate, analiștii nu le pot cerceta manual pe fiecare în parte, pentru a identifica exact care este cea mai periculoasă.

Pentru a ajuta companiile să analizeze amenințările avansate mai precis, dar și în timp util, tehnologiile
Kaspersky de tip sandboxing pot fi acum implementate în cadrul organizațiilor client. Kaspersky Research Sandbox emulează sistemul organizației, folosind parametri aleatori (cum ar fi numele utilizatorului și al computerului, adresa IP, etc.) și imită un mediu utilizat activ, astfel încât malware-ul să nu poată să sesizeze că rulează pe o mașină virtuală.

Soluție de sine stătătoare

Tehnologia a evoluat din complexul intern de sandboxing utilizat de către cercetătorii anti-malware ai companiei rusești de securitate informatică. Acum, aceste tehnologii sunt disponibile pentru clienți ca o soluție de sine stătătoare, instalată la sediul organizației. Prin urmare, toate fișierele analizate vor rămâne în perimetrul companiei, acest fapt făcând soluția potrivită pentru organizațiile cu restricții severe de partajare a datelor.

Sandbox-ul are un API special pentru integrarea cu alte soluții de securitate, astfel încât un fișier suspect poate fi transmis automat pentru analiză. Rezultatele analizei pot fi, de asemenea, exportate într-un sistem de gestionare a sarcinilor SOC. Această automatizare a sarcinilor repetitive reduce timpul necesar pentru investigarea incidentelor.
Cum soluția este instalată în rețeaua clienților, aceasta are mai multe opțiuni pentru a reflecta mediul său de operare. În prezent, mașinile virtuale din Kaspersky Research Sandbox pot fi conectate la rețeaua internă a unei organizații. Prin urmare, ele pot depista un malware conceput să funcționeze doar într-o anumită infrastructură și pot să înțeleagă intențiile sale.

Configurare cu software preinstalat

În plus, analiștii își pot configura versiunea de Windows cu un software specific preinstalat, pentru a emula complet mediul organizației lor. Acest lucru simplifică detectarea unor amenințări sensibile la mediu, cum ar fi unul dintre malware- uile descoperite recent, care era folosit în atacuri împotriva companiilor industriale. Kaspersky Research
Sandbox este compatibil, de asemenea, cu sistemul de operare Android, pentru a detecta malware-ul mobil.

Nu în ultimul rând, soluția oferă rapoarte detaliate despre execuția fișierului. Rapoartele conțin hărți de execuție și o listă extinsă de sarcini efectuate de obiectul analizat, inclusiv activitățile sale de rețea și de sistem, oferind inclusiv capturi de ecran, precum și o listă de fișiere descărcate și modificate. Știind exact ce face fiecare malware, cei care răspund de protecția împotriva incidentelor pot veni cu măsurile necesare pentru a proteja organizația de orice amenințare. Analiștii SOC și CERT vor putea, de asemenea, să-și creeze propriile reguli YARA, pentru a verifica fișierele analizate.