Кибер-рентгеном по цифровым зловредам!

Есть такая фича человеческой натуры — докапываться до сути. Кибербезопасность тому не просто не исключение, а даже вдвойне подтверждение этого правила.

У нас тут «суть» — понятие вполне осязаемое и измеримое, влекущее за собой конкретные выводы и действия. Каждую кибератаку можно разобрать «по косточкам», проанализировать и при необходимости «прокачать» защиту. Причём лучше всего это делать проактивно, на чужих ошибках, не дожидаясь, когда грянет гром.

Для решения этой непростой задачи у нас есть корпоративные сервисы. В ассортименте киберхирургического инструментария много всего разного: от тренингов персонала и «сводок с полей» с подробной информацией об обнаруженных атаках до экспертных сервисов для тестирования на проникновение, аудита приложений и расследования инцидентов.

И вот арсенала прибыло! На вахту заступил новый сервис KTL (Kaspersky Threat Lookup) – умный микроскоп для анатомирования подозрительных объектов, выявления источников кибератаки, истории активности, многомерных корреляций и степени опасности для корпоративной инфраструктуры. Настоящий рентген против киберугроз.

На самом деле лайт-версия этого сервиса есть у каждого нашего пользователя. Проверить рейтинг опасности файла можно и в домашних продуктах, но для корпоративного заказчика требуется другая глубина и скрупулёзность анализа угрозы.

Прежде всего KTL даёт возможность проверять не только файлы, но и URL, IP-адреса и домены, анализировать объекты по специфическим признакам целевых атак, поведенческим и статистическим особенностям, WHOIS/DNS данным, атрибутам файлов, цепочкам загрузок и др.

Да, вы правильно догадываетесь – получается что-то вроде поисковика, заточенного на кибербезопасность. Сотрудник службы IT-безопасности через web-интерфейс вводит специфический запрос по подозрительному объекту и KTL возвращает всю «историю болезни» в исторической, географической и других перспективах, плюс связи с другими событиями и объектами. В масштабе реального времени, круглосуточно.

Полученные результаты, подозрительные объекты и другие IoC можно экспортировать в форматах, пригодных для машинного чтения (STIX, OpenIOC, JSON, Yara, Snort и др.) с целью интеграции в корпоративные SIEM-системы.

Откуда берутся данные для поиска?

Есть несколько источников.

Во-первых, облачная система KSN, которая содержит анонимизированные сигналы об эпидемиологической обстановке от сотен миллионов пользователей по всему миру. Да, именно так каждый из нас может заботиться не только о себе (участие в KSN автоматически повышает качество защиты), но и выполнять важную гуманитарную миссию – заботиться о других, и тем самым влиять на снижение градуса киберугрозы в Интернете.

Во-вторых, наши технологии анализа сетевой активности, в том числе спам-ловушки, мониторинг ботнетов, веб-краулеры, различные сетевые сенсоры, умные роботы, работающие на машинном обучении. И, конечно, результаты исследования сложных целевых атак в исполнении отряда кибер-ниндзя GReAT.

В-третьих, наши партнёры-разработчики софта. Кстати, вес этого источника со временем будет расти и станет преобладающим. Да, у нас большие планы, но пока без дополнительных комментариев.

И немного о ближайших планах.

Сейчас мы работаем над внедрением в KTL функции анализа подозрительных объектов в безопасном окружении. Облачный sandbox.

Например, файл загружается в «песочницу» и там выполняется в специальной виртуальной машине с патентованной системой логгирования. Чтобы не навредить ближнему машины полностью изолированы друг от друга, от внутренней сети и имеют ограничения по внешним коммуникациям. Кроме того, виртуалки в точности повторяют реально работающий компьютер в реальном окружении, чтобы дать объекту ощущение вседозволенности. Но вместе с тем они записывают все действия выполненного объекта (наподобие нашего решения для защиты от целевых атак KATA). А по результатам анализа пользователю возвращается подробный отчёт что же на самом деле этот файл хотел украсть сделать плюс наша экспертная оценка вредоносности файла.

Ещё в планах полезные инструменты для работы с метаданными файлов и URL. В следующих версиях мы прикрутим возможность извлечения различных метаданных и поиска по ним. Таким образом можно будет проводить глубокие исследования малвары на предмет схожести по разным параметрам для понимания общей картины сложных кибератак. Например, при помощи этого инструмента можно будет делать запросы «найди мне файлы, которые при запуске делают то-то», или «найди все файлы с таким именем», или «найди файлы, которые детектируются таким-то вердиктом AV-движка», или «найди файлы, внутри которых находится такая-то строка».

Вот такой развесистый кибер-рентген у нас в активной разработке, а уже освоенным функционалом прямо сейчас можно начинать пользоваться и ругать советовать новые полезные фичи.

Более подробная информация о KTL здесь.