Nel 2017, lo sfruttamento delle vulnerabilità di software legittimi è diventato molto popolare tra i criminali informatici, permettendo di nascondere facilmente le attività nocive dietro a processi affidabili.
Anche i team di cybersecurity più esperti devono essere equipaggiati di tecnologie avanzate di rilevamento, sandboxing incluso.
Kaspersky Lab ha perciò lanciato il nuovo servizio Kaspersky Cloud Sandbox che, grazie alla sua natura basata sul Cloud, offre alle aziende l’opportunità di avvalersi delle sandbox senza investimenti aggiuntivi sull’infrastruttura hardware.
La soluzione è infatti disponibile su abbonamento all’interno del Kaspersky Threat Intelligence Portal.
Kaspersky Cloud Sandbox permette agli utenti di “detonare” i file sospetti in un ambiente virtuale ricevendo un report completo sulle attività dei file.
Il servizio è progettato per migliorare l’efficienza dell’incident response e delle indagini forensi di sicurezza informatica senza rischi per i sistemi IT dell’azienda.
La difesa è il migliore contrattacco
Punto di forza di Kaspersky Cloud Sandbox è il suo sottosistema di logging, che riesce a intercettare l’attività nociva in modo non invasivo.
Quando un documento Word inizia a comportarsi in modo sospetto – ad esempio se inizia a creare una stringa nella memoria della macchina, ad eseguire comandi Shell o installare i propri payload (tutte attività insolite per un documento di testo) – questi eventi vengono registrati nel sottosistema di logging di Kaspersky Cloud Security.
Il servizio è in grado di rilevare una vasta gamma di attività nocive, incluse registrazione e modifica di DLL e chiavi di registro, invio di richieste HTTP e DNS anomale, creazione, eliminazione e modifica di file, e altro ancora.
Il cliente riceve quindi un report completo con grafici riassuntivi dei dati e screenshot, oltre a log leggibili della sandbox.
Il supporto dei Big Data
Le tecnologie di rilevamento di Kaspersky Cloud Sandbox sono supportate dai Big Data relativi all’intelligence sulle minacce in tempo reale del Kaspersky Security Network, che offrono informazioni su minacce nuove e sconosciute scoperte in the wild.
L’analisi comportamentale avanzata permette ai clienti di rilevare oggetti nocivi precedentemente sconosciuti.
Migliore risposta agli incidenti
I ricercatori e gli esperti SOC possono potenziare le proprie attività di incident response con altri servizi disponibili attraverso il Kaspersky Threat Intelligence Portal.
Conducendo indagini forensi o attività di risposta agli incidenti, gli esperti di sicurezza informatica possono ricevere le informazioni di threat intelligence più aggiornate su URL, domini, indirizzi IP, hash di file, nomi delle minacce, statistiche e informazioni comportamentali, dati di WHOIS e dati DNS, per poi collegare queste informazioni con gli IOC (Inversion Of Control) generati dal sample analizzato nella sandbox cloud.
Sono inoltre disponibili API per automatizzare la sua integrazione all’interno delle operazioni di sicurezza del cliente, aiutando i team di cybersecurity a potenziare le proprie indagini sugli incidenti in pochi minuti.