Zaloguj się lub włącz wersję mobilną
StartDodaj artykułMoje artykułyMoje kontoSzukaj artykułówPomocKontakt

Kategorie

Strona PDFStrona HTML

Kaspersky Threat Attribution Engine przypisuje ataki

Kaspersky Threat Attribution Engine przypisuje ataki



ID artykułu: 60133 / 2264
URL: http://www.publikuj.org/60133

Firma Kaspersky udostępniła swoje nowe rozwiązanie analizy zagrożeń, które może pomóc analitykom z centrów operacji bezpieczeństwa oraz osobom zajmującym się reagowaniem na incydenty przypisać próbki szkodliwego oprogramowania do znanych ugrupowań cyberprzestępczych. Wykorzystując autorską metodę, Kaspersky Threat Attribution Engine porównuje wykryty szkodliwy kod z zawartością jednej z największych w branży baz danych szkodliwego oprogramowania i na podstawie podobieństw łączy go z określonym ugrupowaniem APT lub kampanią cyberprzestępczą. Takie informacje pomagają ekspertom ds. bezpieczeństwa IT priorytetyzować zagrożenia wysokiego ryzyka w stosunku do incydentów o mniejszym znaczeniu. Wiedząc, kto oraz w jakim celu atakuje ich firmę, zespoły ds. bezpieczeństwa mogą szybko opracować najodpowiedniejszy dla danego ataku plan reagowania na incydent. Jednak zidentyfikowanie stojącego za atakiem ugrupowania jest trudne trzeba posiadać nie tylko ogromne ilości danych o zagrożeniach, ale również potrafić je odpowiednio interpretować. Dlatego aby umożliwić automatyczną klasyfikację i identyfikację wyrafinowanego szkodliwego oprogramowania, firma Kaspersky wprowadziła swoje nowe rozwiązanie: Kaspersky Threat Attribution Engine.

Rozwiązanie to zostało stworzone na podstawie wewnętrznego narzędzia wykorzystywanego przez Globalny Zespół ds. Badań i Analiz firmy Kaspersky (GreAT) światowej klasy zespół doświadczonych ekspertów zajmujących się wyszukiwaniem zagrożeń. Kaspersky Threat Attribution Engine został użyty między innymi w dochodzeniu dotyczącym implantu iOS LightSpy oraz takich kampanii jak TajMahal, ShadowHammer, ShadowPad i Dtrack.

W celu ustalenia, czy dane zagrożenie jest powiązane ze znaną kampanią cyberprzestępczą lub ugrupowaniem APT, a jeśli tak, z którym, Kaspersky Threat Attribution Engine rozkłada nowo wykryty szkodliwy plik na małe elementy binarne. Następnie porównuje je z tymi znajdującymi się w kolekcji ponad 60 000 plików związanych z atakami APT, zgromadzonej przez firmę Kaspersky. W celu zapewnienia dokładniejszego przypisania autorstwa rozwiązanie wykorzystuje również obszerną bazę bezpiecznych plików (tzw. białą listę). To znacząco poprawia jakość klasyfikacji szkodliwego oprogramowania oraz identyfikacji ataków oraz usprawnia reagowanie na incydenty.

W zależności od stopnia podobieństwa analizowanego pliku do próbek w bazie danych Kaspersky Threat Attribution Engine kalkuluje jego wskaźnik reputacji oraz wskazuje możliwe pochodzenie oraz autora wraz z krótkim opisem oraz odsyłaczami do prywatnych i publicznych zasobów przedstawiających wcześniejsze kampanie. Subskrybenci usługi Kaspersky APT Intelligence Reporting mogą uzyskać obszerny raport na temat taktyk, technik i procedur stosowanych przez zidentyfikowane ugrupowanie cyberprzestępcze, jak również wskazówki dotyczące dalszych działań do podjęcia.

Kaspersky Threat Attribution Engine został zaprojektowany z myślą o wdrażaniu lokalnie w sieci klienta, a nie w środowisku chmury podmiotu zewnętrznego. W ten sposób klient uzyskuje kontrolę nad wymianą danych. Dodatkowo klienci mogą stworzyć własną bazę danych, wypełniając ją próbkami szkodliwego oprogramowania wykrytymi przez wewnętrznych analityków. W ten sposób Kaspersky Threat Attribution Engine nauczy się dopasowywać szkodliwe oprogramowanie do tego, które znajduje się w bazie danych klienta, zapewniając poufność tych informacji.

Istnieje kilka sposobów identyfikowania sprawcy ataku. Analitycy mogą opierać się na artefaktach w szkodliwym oprogramowaniu, które pozwolą określić ojczysty język przestępców, lub na adresach IP, które zasugerują ich lokalizację. Jednak wprawny cyberprzestępca potrafi łatwo manipulować takimi informacjami, w rezultacie czego prowadzone przez badacza dochodzenie grzęźnie w martwym punkcie, co zdarza się często. Z naszego doświadczenia wynika, że najlepszym sposobem jest szukanie podobieństw w kodzie pomiędzy badanymi próbkami a tymi, które zostały zidentyfikowane we wcześniejszych incydentach czy kampaniach. Niestety, wykonanie tego ręcznie może zająć kilka dni, a nawet miesięcy. Aby przyspieszyć to zadanie, stworzyliśmy Kaspersky Threat Attribution Engine, który jest już dostępny dla naszych klientów powiedział Costin Raiu, dyrektor Globalnego Zespołu ds. Badań i Analiz (GReAT) firmy Kaspersky.

Kaspersky Threat Attribution Engine jest dostępny w sprzedaży na całym świecie. Więcej informacji na temat tego rozwiązania można uzyskać na stronie https://www.kaspersky.pl/ochrona-dla-korporacji/cyber-attack-attribution-tool.

Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky jako źródła.

Wszystkie informacje prasowe są dostępne na stronie https://www.kaspersky.pl/nowosci.

Piotr Kupczyk
Dyrektor biura komunikacji z mediami, Kaspersky Lab Polska
E-mail: piotr.kup czyk@kaspersky.pl
Tel. 34 390 94 00

 Opcje
Aktywacja: 15/06/20 12:10, odsłony: 42
Słowa kluczowe: artykuły do przedruku internet i komputery, artykuły internet i komputery, artykuły bezpieczeństwo
 Zamknij Ta strona korzysta z plików cookies w celu realizacji usług i zgodnie z polityką cookies. Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce, kliknij tutaj aby dowiedzieć się więcej.