Kaspersky lanceert Cloud Sandbox

Bij de grootste datalekken van 2017 is misbruik gemaakt van wat wel ‘legitieme softwareproblemen’ wordt genoemd. Hierdoor is de behoefte aan geavanceerde detectietechnologieën groter dan ooit. Om bedrijven te helpen bij het verbeteren van hun onderzoek naar complexe dreigingen en de aanpak hiervan, heeft Kaspersky Lab een nieuwe dienst gelanceerd: Kaspersky Cloud Sandbox.

Geen investering

Omdat deze dienst cloudgebaseerd is, kunnen gebruikers profiteren van sandboxes zonder extra te investeren in hardware-infrastructuur. De toepassing is beschikbaar per abonnement als onderdeel van de Kaspersky Threat Intelligence Portal. Via de dienst kunnen gebruikers verdachte bestanden activeren in een veilige virtuele testomgeving, waarna een volledig rapport over de activiteiten van het bestand wordt geproduceerd. Deze methode verhoogt de efficiëntie van incidentrespons en forensisch onderzoek op het gebied van cybersecurity, zonder enig risico voor de IT-systemen van het bedrijf.

‘Legitieme softwareproblemen’

De exploitatie van legitieme softwareproblemen groeide in 2017 uit tot een efficiënte methode voor cybercriminelen, omdat de schadelijke activiteiten eenvoudig kunnen worden verstopt in vertrouwde processen. Zelfs een ervaren cybersecurity-team kan, als dergelijke verhullingstechnieken worden toegepast, niet altijd garanderen dat het alle malware heeft gedetecteerd. Om die garantie wel te kunnen geven, dienen teams te worden uitgerust met geavanceerde detectietechnologieën.

Sandboxing

Sandboxing is zo’n technologie, maar daarvoor zijn vaak aanzienlijke hardware-investeringen nodig die voor veel IT-beveiligingsteams niet of nauwelijks haalbaar zijn. Kaspersky Cloud Sandbox maakt moderne detectie- en forensische functies beschikbaar als service binnen het Kaspersky Threat Intelligence Portal. Hierdoor kunnen cyberbeveiligingsteams binnen hun budget blijven en toch profiteren van geavanceerde technologie. De service stelt cybersecurity-teams en specialisten van een Security Operations Center (SOC) in staat inzicht te verkrijgen in het gedrag en ontwerp van malware, waarbij gerichte cyberdreigingen worden gedetecteerd die nog niet ‘in het wild’ zijn geïdentificeerd.

Anti-evasion

Om de schadelijke mogelijkheden van malware te kunnen onthullen, moet de sandbox-technologie zijn voorzien van ‘anti-evasion’-technieken. Dit zijn methoden die het verbergen van deze mogelijkheden tegengaan. Een kwaadaardig programma, ontwikkeld voor een bepaalde softwareomgeving, zal zichzelf op een schone virtuele machine niet activeren en zal zichzelf hoogstwaarschijnlijk vernietigen zonder een spoor na te laten. Om dit te voorkomen, past Kaspersky Cloud Sandbox diverse emulatietechnieken toe die gebruikersactiviteiten simuleren, zoals klikken op de Windows-knop, door documenten scrollen, speciale routineprocessen die malware de kans geven zichzelf te onthullen, randomisatie van parameters van de gebruikersomgeving en meer.

Logboeksysteem

Zodra malware zijn activiteiten begint te vertonen, wordt een andere technologie van Kaspersky Cloud Sandbox in stelling gebracht: het logboeksubsysteem onderschept kwaadaardige acties, zonder in te grijpen. Wanneer een Word-document zich verdacht gedraagt – bijvoorbeeld als het een string in het machinegeheugen begint te bouwen en shell-commando’s gaat uitvoeren – worden deze gebeurtenissen geregistreerd in het logboeksubsysteem van Kaspersky Cloud Security. Deze beschikt over functionaliteit waarmee een groot aantal kwaadwillende gebeurtenissen kan worden gedetecteerd, zoals DLL’s, registratie en wijziging van registersleutels, HTTP- en DNS-aanvragen en het aanmaken, verwijderen en wijzigen van bestanden. De gebruiker krijgt vervolgens een volledig rapport met datavisualisatiegrafieken en schermafbeeldingen, evenals een toegankelijk sandbox-logboek.

Prestaties

De detectieprestaties van Kaspersky Cloud Sandbox worden ondersteund door big data van real-time dreigingsinformatie van Kaspersky Security Network (KSN), dat gebruikers onmiddellijk voorziet van de status van bekende en onbekende dreigingen die worden aangetroffen. Geavanceerde gedragsanalyse, op basis van Kasperky Lab’s ruim 20-jarige ervaring met het onderzoek naar en de bestrijding van de meest complexe dreigingen, stelt gebruikers in staat om kwaadaardige objecten te detecteren die voorheen onzichtbaar bleven.