Kompanija Kaspersky predstavila je svoje novo threat intelligence rešenje namenjeno SOC analitičarima i timovima za otkrivanje i brzo reagovanje na incidente kako bi im pomogli da povežu uzorke malvera sa prethodno poznatim APT grupama. Korišćenjem sopstvenog metoda, Kaspersky Threat Attribution Engine poredi otkriveni maliciozni kod sa jednom od najvećih baza podataka malvera u industriji i na osnovu sličnosti u kodu povezuje ga sa specifičnom APT grupom ili kampanjom. Ova informacija stručnjacima za bezbednost pomaže da prioritizuju pretnje visokog stepena rizika nad manje ozbiljnim incidentima.
Brz odgovor na bezbednosne incidente
Ukoliko znaju ko napada njihovu kompaniju, i sa kojim ciljem, bezbednosni timovi brzo mogu da osmisle najprikladniji plan odgovora na incident. Ipak, identifikacija aktera koji se nalazi iza napada predstavlja izazovan zadatak, koji ne zahteva samo veliku količinu prikupljenih informacija o pretnjama već i prave veštine za interpretaciju. Kako bi automatizovala klasifikaciju i identifikaciju sofisticiranog malvera, kompanija Kaspersky predstavlja svoje novo rešenje pod nazivom Kaspersky Threat Attribution Engine.
Rešenje je evoluiralo od internog alata koji je koristio tim kompanije Kaspersky za globalno istraživanje i analizu (GReAT), svetski poznati tim iskusnih lovaca na pretnje. Na primer, rešenje Kaspersky Threat Attribution Engine korišćeno je u istragama iOS implant LightSpy, TajMahal, ShadowHammer, ShadowPad i Dtrack kampanja.
Kaspersky Threat Attribution Engine automatski analizira maliciozne fajlove
Kako bi odredili da li je pretnja povezana sa poznatom APT grupom ili kampanjom i identifikovali sa kojom, rešenje Kaspersky Threat Attribution Engine automatski razlaže tek otkriveni maliciozni fajl u male binarne delove. Nakon toga, upoređuje te deliće sa onima iz baze podataka kompanije Kaspersky koja sadrži više od 60.000 fajlova koji se odnose na APT. Za još tačniju atribuciju, rešenje takođe inkorporira veliku bazu podataka “whitelisted” fajlova. Ovo značajno poboljšava kvalitet trijaže malvera i identifikacije napada i olakšava odgovor na incident.
U zavisnosti od toga koliko je analizirani fajl sličan uzorcima iz baze podataka, Kaspersky Threat Attribution Engine izračunava njegov reputacioni rejting i naglašava njegovo potencijalno poreklo i autora kroz kratak opis i linkove ka privatnim i javnim referencama, opisujući u glavnim crtama prethodne kampanje. Korisnici Kaspersky APT Intelligence Reporting usluge imaju uvid u izveštaj o taktikama, tehnikama i procedurama identifikovanog aktera pretnje, kao i u dalje korake koji se tiču odgovora.
Rešenje Kaspersky Threat Attribution Engine dizajnirano je za korišćenje na mreži klijenta, na lokaciji (“on premise”), pre nego u cloud okruženju treće strane. Ovaj pristup klijentu obezbeđuje kontrolu nad deljenjem podataka.
Sopstvena baza malvera
Kao dodatak informacijama o pretnjama koje su dostupne “out of the box”, klijenti mogu da kreiraju sopstvenu bazu podataka i da je ispune sa uzorcima malvera koje su pronašli interni analitičari. Na taj način, rešenje Kaspersky Threat Attribution Engine će naučiti da atribuira malver analogno onima iz baze podataka klijenta, pri tome čuvajući poverljivost te informacije.
“Postoji nekoliko načina da se otkrije ko se nalazi iza napada. Na primer, analitičari mogu da se oslone na artefakte u malveru, koji mogu da odrede maternji jezik napadača, ili IP adrese koje ukazuju na to gde oni mogu biti locirani. Ipak, veštom napadaču nije teško da ovime izmanipuliše, zaustavljajući tako istraživača u istrazi, kao što smo već videli u mnogim slučajevima. Naše iskustvo pokazuje da je najbolji pristup potraga za kodom koji je zajednički uzorcima i ostalim identifikovanim napadima u prethodnim incidentima ili kampanjama. Nažalost, takva ručna istraga može potrajati danima ili čak mesecima. Kako bi automatizovali i ubrzali ovaj zadatak, kreirali smo rešenje Kaspersky Threat Attribution Engine, koje je sada dostupno klijentima,” komentariše Kostin Raiu (Costin Raiu), direktor tima za globalno istraživanje i analizu, kompanija Kaspersky
Rešenje Kaspersky Threat Attribution Engine komercijalno je dostupno globalno.