Con Cloud Sandbox di Kaspersky risposta rapida alle minacce

Kaspersky Cloud Sandbox, attraverso l’infrastruttura di una macchina virtuale, consente agli utenti di testare nel cloud i file sospetti manualmente e automaticamente

  

Come conseguenza delle principali fughe di dati del 2017 che hanno visto sfruttare le vulnerabilità di software legittimi, la necessità di tecnologie avanzate di rilevamento non è mai stata così evidente.

Per aiutare le imprese a migliorare le proprie procedure di indagine e risposta alle minacce complesse, Kaspersky Lab ha avviato un nuovo servizio chiamato Kaspersky Cloud Sandbox che, proprio perché basato sul cloud, ha l’obiettivo di fornire alle aziende l’opportunità di avvalersi delle sandbox senza dover supportare investimenti in hardware.

La soluzione, nell’ottica  di servizio,  è infatti disponibile su abbonamento all’interno del Kaspersky Threat Intelligence Portal. In sostanza, Cloud Sandbox permette agli utenti di “detonare” i file sospetti in un ambiente virtuale ricevendo un report completo sulle attività dei file, ed è stata progettata per migliorare l’efficienza dell’incident response e delle indagini forensi di sicurezza informatica senza rischi per i sistemi IT dell’azienda.

«Le aziende sono sempre più prese di mira dal crimine informatico e non è mai stato così importante implementare una risposta rapida agli incidenti e indagini forensi. Kaspersky Cloud Sandbox rappresenta un utile tool che va ad aggiungersi all’ecosistema di intelligence sulle minacce di Kaspersky Lab, appositamente pensato per rispondere a queste esigenze. Completando la vasta threat intelligence a disposizione dei clienti del Kaspersky Threat Intelligence Portal, Kaspersky Cloud Sandbox è un servizio unico di analisi approfondita dei file, che consente ai ricercatori di sicurezza IT e ai team SOC ti ottenere informazioni importanti sul comportamento dei file senza rischi per l’infrastruttura IT», ha commentato il rilascio del nuovo servizio cloud Nikita Shvetsov, Chief Technology Officer di Kaspersky Lab.

Nikita Shvetsov, Chief Technology Officer di Kaspersky Lab
Nikita Shvetsov, Chief Technology Officer di Kaspersky Lab

 Un 2017 vulnerabile

 L’esigenza di un approccio basato sul cloud che velocizzasse i test di file sospetti  si è andata rafforzando nel corso dello scorso anno perché lo sfruttamento delle vulnerabilità di software legittimi è diventato molto popolare tra i criminali informatici, permettendo loro di nascondere facilmente le attività nocive dietro a processi affidabili.

Anche un team di cybersecurity  (vedere Report  di Direction su SICUREZZA) esperto non può in pratica essere del tutto sicuro di riuscire a scoprire tutti i malware che sfruttano queste tecniche di occultamento. Per poterlo fare, devono essere equipaggiati di tecnologie avanzate di rilevamento, sandboxing incluso, che richiedono significativi investimenti hardware, spesso eccessivi per i team di sicurezza IT.

E’ a questo problema che  si è proposta di rispondere Kaspersky  con il servizio di Cloud Sandbox, e le funzionalità di rilevamento e indagine forense disponibili come servizio incluso nel Kaspersky Threat Intelligence Portal.

Il servizio, nella sua essenza, permette ai team di sicurezza IT e agli specialisti SOC di avere una visione di dettaglio e profonda sul comportamento e le caratteristiche dei malware.

 Sandbox induce  il malware a scoprirsi 

Il problema, evidenzia Kaspersky, è che per indurre i malware a rivelare il proprio potenziale nocivo, le tecnologie sandbox devono includere tecniche anti-evasione avanzate. Un programma dannoso, sviluppato per operare su un determinato ambiente software, non si eseguirà su una macchina virtuale “standard” e probabilmente si distruggerà senza lasciare tracce. Per evitarlo, Kaspersky Cloud Sandbox applica diverse tecniche di emulazione delle attività degli utenti – come il clic sul tasto Windows, lo scroll dei documenti e specifici processi di routine che possono indurre il malware a esporsi – di randomizzazione dei parametri dell’ambiente utente, e altre ancora.

Una volta che un campione di malware inizia a condurre le proprie attività distruttive, entra in gioco un’ulteriore tecnologia di Cloud Sandbox: il suo sottosistema provvede a intercettare l’attività nociva in modo non invasivo. Ad esempio, quando un documento Word inizia a comportarsi in modo sospetto come creare una stringa nella memoria della macchina, ad eseguire comandi Shell o installare i propri payload, questi eventi vengono registrati nel sottosistema di logging di Cloud Security che dispone di funzionalità in grado di rilevare una vasta gamma di attività nocive, incluse registrazione e modifica di DLL e chiavi di registro, invio di richieste HTTP e DNS anomale, creazione, eliminazione e modifica di file.

Il cliente riceve quindi un report con grafici riassuntivi dei dati e screenshot, oltre a log leggibili della sandbox.

 

LASCIA UN COMMENTO

Per favore inserisci il tuo commento!
Per favore inserisci il tuo nome qui

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

LEGGI ANCHE

Gli ultimi articoli