Novo Kaspersky Cloud Sandbox dá resposta a ameaças complexas

De acordo com a Kaspersky Lab, explorar falhas internas em programas legítimos de software tem vindo a tornar-se a ferramenta favorita dos hackers, uma vez que estas atividades maliciosas podem ser facilmente camufladas em processos legítimos, o que dificulta a deteção de todo o malware, até pelas equipas de cibersegurança mais experientes. Para resolver este problema, as equipas devem recorrer a tecnologias de deteção avançadas, incluindo a sandboxing, o que muitas vezes requer investimentos significativos em hardware, algo não é facilmente exequível para muitas equipas de segurança IT.

Para ajudar as empresas a enfrentar estas ameaças, o fabricante desenvolveu uma solução cloud, disponível através de subscrição como parte do Portal Kaspersky Threat Intelligence. A Kaspersky Cloud Sandbox oferece ferramentas de deteção avançada e de análise forense quer visam garantir q    ue as equipas de cibersegurança se mantêm dentro do seu orçamento ao mesmo tempo que beneficiam de tecnologia avançada.

De forma a atrair o malware e fazê-lo revelar o seu potencial, a tecnologia sandbox deve incluir técnicas avançadas anti evasão. Um programa malicioso, desenvolvido para funcionar em certos softwares, não se irá ativar num computador “limpo”. Para evitar esta situação, a Kaspersky Cloud Sandbox aplica várias técnicas onde imita o utilizador, como cliques, scroll por documentos, processos de rotina específicos que dão ao malware a hipótese de se expor, parâmetros aleatórios do ambiente do utilizador, entre outros.

Assim que o malware começa as suas atividades de destruição, o Kaspersky Cloud Sandbox utiliza o seu subsistema logging para intercetar ações maliciosas de forma não invasiva. Quando um documento começa a comportar-se de forma suspeita – por exemplo, se começa a criar um string na memória do computador, a executar comandos Shell ou a reduzir os seus payloads – as suas ações são registadas no subsistema logging do Kaspersky Cloud Security, que tem a capacidade de detetar uma grande quantidade de eventos maliciosos, onde se incluem DLLs, registo e modificação de códigos registados, pedidos HTTP e DNS, criação, modificação e eliminação de ficheiros, etc. O cliente recebe depois um relatório completo com gráficos de dados e screenshots, bem como um registo das atividades sandbox.

O desempenho do Kaspersky Cloud Sandbox é apoiado pela inteligência de ameaças em tempo real da Kaspersky Security Network (KSN), proporcionando aos clientes um status imediato de ameaças tanto conhecidas como novas. Além de acesso a ferramentas de deteção avançadas, os especialistas e investigadores SOC poderão amplificar as suas atividades de resposta a incidentes através de outros serviços disponíveis no Portal Kaspersky Threat Intelligence. Ao executar uma análise forense digital ou uma resposta a incidentes, um responsável de cibersegurança poderá receber o mais recente relatório de inteligência de ameaças – sobre URLs, domínios, endereços IP, hashes de arquivos, nomes de ameaças, informações estatísticas/comportamentais e dados WHOIS/DNS – e depois associar esse conhecimento aos IOCs gerados a partir da amostra que foi analisada pelo Cloud Sandbox. APIs que automatizam a sua integração em operações de segurança de clientes também estão disponíveis, permitindo às equipas de cibersegurança reforçar as suas investigações a incidentes em minutos.  

“Com as empresas a serem cada vez mais alvo de ciberameaças, a necessidade de uma rápida resposta a incidentes e de uma análise forense digital é maior que nunca. O Kaspersky Cloud Sandbox é um acréscimo importante ao ecossistema global de inteligência de ameaças da Kaspersky Lab, que lida com estes desafios. Ao complementar a vasta inteligência de ameaças disponível para os clientes do Portal Kaspersky Threat Intelligence, o Kaspersky Cloud Sandbox torna-se num serviço único para a análise detalhada de ficheiros, o que permite às equipas SOC e aos investigadores de cibersegurança obter uma visão mais profunda do comportamentos dos ficheiros sem qualquer risco para a infraestrutura IT”, afirma Nikita Shvetsov, diretor de tecnologia da Kaspersky Lab.