Bij de grootste datalekken van 2017 is misbruik gemaakt van legitieme softwareproblemen, waardoor de behoefte aan geavanceerde detectietechnologieën groter is dan ooit.
Utrecht, 9 april 2018 – Bij degrootste datalekkenvan 2017 is misbruik gemaakt van legitieme softwareproblemen, waardoor de behoefte aan geavanceerde detectietechnologieën groter is dan ooit. Om bedrijven te helpen bij het verbeteren van hun onderzoek naar complexe dreigingen en de aanpak hiervan, heeftKaspersky Labeen nieuwe dienst gelanceerd: Kaspersky Cloud Sandbox. Omdat deze dienst cloudgebaseerd is, kunnen gebruikers profiteren van sandboxes zonder extra te investeren in hardware-infrastructuur. De toepassing is beschikbaar per abonnement als onderdeel van de Kaspersky Threat Intelligence Portal. Via de dienst kunnen gebruikers verdachte bestanden activeren in een veilige virtuele testomgeving, waarna een volledig rapport over de activiteiten van het bestand wordt geproduceerd. Deze methode verhoogt de efficiëntie van incidentrespons en forensisch onderzoek op het gebied van cybersecurity, zonder enig risico voor de IT-systemen van het bedrijf.
Met behulp van de infrastructuur van de virtuele machine stelt Kaspersky Cloud Sandbox gebruikers in staat om verdachte bestanden handmatig en automatisch te testen
De exploitatie van legitieme softwareproblemen groeide in 2017 uit tot een efficiënte methode voor cybercriminelen, omdat de schadelijke activiteiten eenvoudig kunnen worden verstopt in vertrouwde processen. Zelfs een ervaren cybersecurityteam kan, als dergelijke verhullingstechnieken worden toegepast, niet altijd garanderen dat het alle malware heeft gedetecteerd. Om die garantie wél te kunnen geven, dienen teams te worden uitgerust met geavanceerde detectietechnologieën. Sandboxing is zo’n technologie, maar daarvoor zijn vaak aanzienlijke hardware-investeringen nodig die voor veel IT-beveiligingsteams niet of nauwelijks haalbaar zijn. Kaspersky Cloud Sandbox maakt geavanceerde detectie- en forensische functies beschikbaar als service binnen het Kaspersky Threat Intelligence Portal. Hierdoor kunnen cyberbeveiligingsteams binnen hun budget blijven en toch profiteren van geavanceerde technologie. De service stelt cybersecurityteams en specialisten van een Security Operations Center (SOC) in staat diepgaande inzichten te verkrijgen in het gedrag en ontwerp van malware, waarbij gerichte cyberdreigingen worden gedetecteerd die nog niet ‘in het wild’ zijn geïdentificeerd.
Geavanceerde ‘anti-evasion’-technieken: de verborgen waarheid onthuld
Om de schadelijke mogelijkheden van malware te kunnen onthullen, moet de sandbox-technologie zijn voorzien van geavanceerde ‘anti-evasion’-technieken. Dit zijn technieken die het verbergen van deze mogelijkheden tegengaan. Een kwaadaardig programma, ontwikkeld voor een bepaalde softwareomgeving, zal zichzelf op een schone virtuele machine niet activeren en zal zichzelf hoogstwaarschijnlijk vernietigen zonder een spoor na te laten. Om dit te voorkomen, past Kaspersky Cloud Sandbox diverse emulatietechnieken toe die gebruikersactiviteiten simuleren, zoals klikken op de Windows-knop, door documenten scrollen, speciale routineprocessen die malware de kans geven zichzelf te onthullen, randomisatie van parameters van de gebruikersomgeving en meer.
Logboeksysteem: niets ontsnapt de aandacht
Zodra malware zijn vernietigende activiteiten begint te vertonen, wordt er een andere innovatieve technologie van Kaspersky Cloud Sandbox in stelling gebracht: het logboeksubsysteem onderschept kwaadaardige acties, zónder in te grijpen. Wanneer een Word-document zich verdacht gedraagt – bijvoorbeeld als het een string in het machinegeheugen begint te bouwen en shellcommando’s gaat uitvoeren, kortom: alle abnormale activiteiten van een tekstdocument – worden deze gebeurtenissen geregistreerd in het logboeksubsysteem van Kaspersky Cloud Security. Deze technologie beschikt over uitgebreide functionaliteit waarmee een groot aantal kwaadwillende gebeurtenissen kan worden gedetecteerd, zoals DLL's, registratie en wijziging van registersleutels, HTTP- en DNS-aanvragen en het aanmaken, verwijderen en wijzigen van bestanden. De gebruiker krijgt vervolgens een volledig rapport met datavisualisatiegrafieken en schermafbeeldingen, evenals een toegankelijk sandboxlogboek.
Prestaties van detectie en incidentrespons: ongeëvenaard
De detectieprestaties van Kaspersky Cloud Sandbox worden ondersteund door big data van real-time dreigingsinformatie van Kaspersky Security Network (KSN), dat gebruikers onmiddellijk voorziet van de status van bekende en onbekende dreigingen die worden aangetroffen. Geavanceerde gedragsanalyse, op basis van Kasperky Lab’s ruim 20-jarige ervaring met het onderzoek naar en de bestrijding van de meest complexe dreigingen, stelt gebruikers in staat om kwaadaardige objecten te detecteren die voorheen onzichtbaar bleven.
SOC-experts en onderzoekers kunnen, naast geavanceerde detectiemogelijkheden, hun incidentrespons verbeteren met andere diensten van het Kaspersky Threat Intelligence Portal. Een cybersecurityteam kan, ter ondersteuning van digitaal forensisch onderzoek of het reageren op incidenten, beschikken over de nieuwste gedetailleerde dreigingsinformatie betreffende URL's, domeinen, IP-adressen, bestandshashes, dreigingsnamen, statistische data, gedragsdata en WHOIS- en DNS-data. Deze data worden gekoppeld aan de IoC’s (Indicators of Compromise) van het in de sandbox geanalyseerde bestand. Ook zijn er API’s beschikbaar voor de geautomatiseerde integratie in klantbeveiligingsoperaties, zodat cybersecurityteams hun incidentonderzoek in een paar minuten een boost kunnen geven.
"Nu bedrijven steeds vaker te maken hebben met cybercriminaliteit, is de noodzaak van snelle incidentrespons en digitaal forensisch onderzoek groter dan ooit”, zegt Nikita Shvetsov, Chief Technology Officer van Kaspersky Lab. “Kaspersky Cloud Sandbox is een belangrijke toevoeging aan Kaspersky Lab’s wereldwijde ecosysteem van dreigingsinformatie omdat het gebruikmaakt van de enorme hoeveelheid informatie die beschikbaar is voor klanten van het Kaspersky Threat Intelligence Portal. Kaspersky Cloud Sandbox is een unieke service voor de gedetailleerde analyse van bestanden, die cybersecurity-onderzoekers en SOC-teams inzicht geeft in het gedrag van bestanden zonder de IT-infrastructuur aan enig risico bloot te stellen."
Ga naar https://media.kaspersky.com/en/business-security/enterprise/datasheet-kaspersky-cloud-sandbox-eng.pdf voor meer informatie over Kaspersky Cloud Sandbox.