Şirketlerin gelişmiş tehditleri inceleme ve bu tehditlere karşı koyma becerilerini geliştirmelerine yardımcı olmak için Kaspersky Lab, Kaspersky Cloud Sandbox adlı yeni bir hizmeti kullanıma sundu.
Bulutta yer alan yapısı sayesinde Kaspersky Cloud Sandbox; işletmelerin donan altyapısına ek yatırım yapmadan, eleme teknolojisinden faydalanmasını sağlıyor. Çözüm, Kaspersky Threat Intelligence Portal’ın bir parçası olarak abonelik şeklinde sunuluyor. Bu yeni hizmet sayesinde müşteriler şüpheli dosyaları sanal bir ortamda çalıştırıp, ne olacağını görebiliyor. Dosyanın yaptıklarıyla ilgili tam bir rapor sunan çözüm, vakalara verilen tepkilerin ve siber güvenlik araştırmalarının etkinliğini şirketlerin BT sistemlerinde risk oluşturmadan artırmak için tasarlandı.
Yasal yazılımlardaki açıklardan faydalanmak 2017’de siber suçlular için verimli bir yöntem oldu. Bu yöntemde zararlı aktiviteler güvenilir işlemlerin arkasına kolaylıkla saklanabiliyor. Deneyimli bir siber güvenlik ekibi bile, bu tür gizlenme teknikleri kullanan tüm zararlı yazılımları tespit ettiğinden her zaman emin olamıyor. Bunu başarmak için ekiplerin gelişmiş tespit teknolojileriyle donatılmış olması gerekli. Bunlardan biri de eleme teknolojisi. Eleme teknolojisi genellikle çoğu BT güvenlik ekibinin karşılayamayacağı büyük donanım yatırımları yapılmasını gerektiriyor. Kaspersky Cloud Sandbox ile gelişmiş tespit ve inceleme becerileri, Kaspersky Threat Intelligence Portal içinde bir hizmet olarak sunuluyor. Böylece siber güvenlik ekipleri hem gelişmiş teknolojiden faydalanabiliyor hem de bütçelerini aşmamış oluyor. Siber güvenlik ekiplerine ve güvenlik operasyonları merkezi (SOC) uzmanlarına zararlı yazılımların davranışları ve tasarımlar hakkında derin analiz yapma fırsatı sunan bu servis, daha önce tanımlanmamış hedefli siber tehditleri tespit ediyor.
Gelişmiş kaçış önleyici teknikler: Gizli gerçek ortaya çıkıyor
Zararlı yazılımların yapacakları potansiyel hasarı ortaya çıkarmak için, eleme teknolojisi performansının gelişmiş kaçış önleyici tekniklere sahip olması gerekiyor. Belirli bir yazılım ortamında çalışması için geliştirilen zararlı bir program, ‘temiz’ bir sanal makinede gerçek yüzünü ortaya çıkarmaz ve büyük olasılıkla hiç iz bırakmadan kendini yok eder. Bunu engellemek için Kaspersky Cloud Sandbox kullanıcı davranışlarını taklit eden çeşitli teknikler kullanıyor. Windows düğmelerine tıklamak, belgeleri sürüklemek, özel rutin işlemler gibi rastgele kullanıcı aktiviteleri zararlı yazılımın gerçek yüzünü ortaya çıkarmasını sağlıyor.
Kayıt sistemi: Hiçbir şey gözden kaçmaz
Zararlı yazılım hasar verici aktivitelerine başladığı zaman, diğer bir Kaspersky Cloud Sandbox teknolojisi olan kayıt sistemi devreye girer. Bu sistem zararlı etkinlikleri müdahale etmeden yakalıyor. Bir Word belgesi şüpheli davranmaya başladığında, örneğin makine belleğinde bir dizin oluşturmaya, Shell komutları çalıştırmaya veya yüklerini bırakmaya (tümü bir metin belgesi için anormal aktiviteler) başladığında, bu etkinlikler Kaspersky Cloud Security kayıt sisteminde tutuluyor. Bu sistem; DLL, kayıt defteri anahtar kaydı ve değişimi, HTTP ve DNS talepleri, dosya yaratma, silme ve değiştirme gibi çok geniş bir yelpazedeki zararlı etkinlikleri tespit edebiliyor. Ardından müşteriye veri grafikleri, ekran görüntüleri ve okunabilir eleme kaydı içeren kapsamlı bir rapor sunuluyor.
Tespit ve vakalara yanıt verme performansında birinci
Kaspersky Cloud Sandbox tespit performansı, Kaspersky Security Network’ten (KSN) gelen gerçek zamanlı tehdit istihbaratı verileriyle destekleniyor. Bu sayede müşterilere, bilinen ve yeni keşfedilen tehditlerin anlık durumu sunuluyor. Kaspersky Lab’in 20 yıllık tehdit araştırması ve karmaşık tehditlerle mücadele deneyimiyle yapılan gelişmiş davranış analizleri, müşterilerin daha önce görülmemiş zararlı nesneleri de tespit edebilmesini sağlıyor.
SOC uzmanları ve araştırmacılar, gelişmiş tespit becerisi edinmelerinin yanı sıra Kaspersky Threat Intelligence Portal’daki diğer hizmetler sayesinde vakalara verdikleri yanıtları daha etkin hale getirebiliyor. Siber güvenlik uzmanları, dijital araştırma yaparken veya bir vakaya yanıt verirken URL’ler, alan adları, IP adresleri, sağlama dosyaları, tehdit adları, istatistiksel/davranışsal veri ve WHOIS/DNS verileri hakkında en yeni detaylı tehdit istihbaratına erişebiliyor. Ardından bu bilgileri, buluttaki eleme teknolojisinin analiz ettiği örneğin IOC’siyle birleştirebiliyorlar. Müşterilerin güvenlik operasyonlarına entegrasyonu otomatik hale getirmek için sunulan API’lar sayesinde, siber güvenlik ekipleri vaka araştırmalarını birkaç dakika içinde güçlendirebiliyor.