该解决方案能够帮助他们检测和分析针对性威胁,同时确保所有这些被检查的文件都被困在组织内部。
卡巴斯基进行的一项 IT 决策者调查显示,去年,约一半(45%)的企业都遭遇过针对性攻击。这些威胁通常被设计成只在受害者组织内的特定环境下运行:例如,一个文件可能不会执行任何恶意操作,直到一个特定的应用程序被打开,或者用户浏览文档时才会执行。此外,有些文件还能够识别自身并没有在终端用户环境下——例如,如果没有迹象表明有人在终端上操作——就不会运行恶意代码。但是,由于SOC通常会收到许多安全警报,分析人员无法手动调查所有这些警报,以确定哪一个是最危险的。
为了帮助企业更准确和及时地分析高级威胁,卡巴斯基的沙盒技术现在可以在客户组织内部实施。卡巴斯基研究沙盒可以利用随机参数(例如用户名和计算机名、IP地址等)模拟组织内的系统,并模仿活跃使用的环境,使恶意软件无法分辨出它是在虚拟机上运行。
卡巴斯基研究沙盒是从公司自己的反恶意软件研究人员使用的内部沙盒综合体演变而来的。现在,这些技术可以作为一个隔离的内部安装供客户使用。因此,所有被分析的文件都不会离开公司的周边,这使得该解决方案适用于对数据共享有严格限制的组织。
卡巴斯基研究沙盒具有一个专门与其他安全解决方案进行整合的API,因此可以自动发送可疑文件进行分析。分析结果还能够导入到SOC的任务管理系统。这种重复性任务的自动化可以缩短事件调查所需的时间。
由于该解决方案安装在客户网络中,因此它提供了更多功能来镜像其操作环境。现在,来自卡巴斯基研究沙盒的虚拟机可以连接到组织的内部网络中。因此,它可以揭示设计成只在某个基础设施中运行的恶意软件,并了解其意图。此外,分析人员可以使用特定的预安装软件来设置其Windows版本,以完全模拟其企业环境。它简化了组织对环境感知威胁的检测,例如最近发现的用于攻击工业企业的恶意软件。卡巴斯基研究沙盒还支持安卓操作系统,能够检测移动恶意软件。
卡巴斯基研究沙盒提供文件执行的详细报告。报告包含执行图和被分析对象执行的事件的扩展列表,包括其网络和系统活动(截图)以及下载和修改的文件列表。通过了解恶意软件具体做了什么,事故相应人员可以总结出组织应对相关威胁所需的措施。SOC 和 CERT 分析人员还能够创建他们的 YARA 规则,对照分析文件进行检查。
“我们于2018年推出的卡巴斯基云沙盒非常适合需要分析复杂威胁而无需在硬件基础设施上进行额外投资的组织。但是,具有内部 SOC 和 CERT 的组织以及对数据共享有严格限制的组织需要对他们分析的文件进行更多控制。现在,使用卡巴斯基研究沙盒,他们可以选择最适合自己的部署方案,同时能够针对任何企业环境定制本地沙盒镜像,”卡巴斯基企业业务副总裁 Veniamin Levtsov 评论说。
卡巴斯基研究沙盒能够与卡巴斯基私有安全网络集成。它不仅能够让组织了解某个对象的行为,还能够从安装在客户数据中心内的卡巴斯基威胁情报数据库
卡巴斯基研究沙盒是卡巴斯基针对安全研究人员的产品组合的一部分。这些产品组合包括卡巴斯基威胁溯源引擎、卡巴斯基CyberTrace和卡巴斯基威胁数据馈送。这些产品可以帮助企业验证和调查高级威胁,并通过提供相关的威胁信息促进事件响应。
