منحت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) المؤسسات موردًا جديدًا لتحليل الملفات وعناوين URL وعناوين IP المشبوهة والتي يحتمل أن تكون ضارة من خلال إتاحة منصة تحليل الجيل التالي من البرامج الضارة للجميع في وقت سابق من هذا الأسبوع.
والسؤال المطروح الآن هو كيف ستستخدم المؤسسات والباحثون الأمنيون المنصة وما هو نوع معلومات التهديدات الجديدة التي ستمكنها بما يتجاوز ما هو متاح عبر VirusTotal وخدمات تحليل البرامج الضارة الأخرى.
يستخدم النظام الأساسي Malware Next-Gen أدوات تحليل ديناميكية وثابتة لتحليل العينات المقدمة وتحديد ما إذا كانت ضارة. وقالت CISA إنها تمنح المؤسسات طريقة للحصول على معلومات في الوقت المناسب وقابلة للتنفيذ بشأن عينات البرامج الضارة الجديدة، مثل الوظائف والإجراءات التي يمكن لسلسلة من التعليمات البرمجية تنفيذها على نظام الضحية. وأشارت الوكالة إلى أن مثل هذه المعلومات الاستخبارية يمكن أن تكون حاسمة بالنسبة لفرق أمن المؤسسات لأغراض البحث عن التهديدات والاستجابة للحوادث.
وقال إريك غولدستين، المدير التنفيذي المساعد للأمن السيبراني في CISA، في معرض تعليقه على الأمر: "يمكّن نظامنا الآلي الجديد محللي تهديدات الأمن السيبراني في CISA من تحليل البيانات وربطها وإثرائها ومشاركة رؤى التهديدات السيبرانية مع الشركاء بشكل أفضل". تصريح معد. "فهو يسهل ويدعم الاستجابة السريعة والفعالة للتهديدات السيبرانية المتطورة، مما يؤدي في نهاية المطاف إلى حماية الأنظمة والبنية التحتية الحيوية.
منذ CISA طرحت المنصة في أكتوبر الماضي، قدم حوالي 400 مستخدم مسجل من مختلف الوكالات الحكومية الفيدرالية والولائية والمحلية والقبلية والإقليمية الأمريكية عينات لتحليلها إلى Malware Next-Gen. ومن بين أكثر من 1,600 ملف أرسلها المستخدمون حتى الآن، حددت CISA حوالي 200 ملف على أنها ملفات أو عناوين URL مشبوهة.
ومع تحرك CISA هذا الأسبوع لجعل النظام الأساسي متاحًا للجميع، يمكن لأي منظمة أو باحث أمني أو فرد إرسال ملفات ضارة وعناصر أخرى للتحليل وإعداد التقارير. ستوفر CISA التحليل فقط للمستخدمين المسجلين على المنصة.
يقول جيسون سوروكو، نائب الرئيس الأول للمنتج في شركة إدارة دورة حياة الشهادات Sectigo، إن الوعد الذي توفره منصة تحليل الجيل التالي من البرامج الضارة التابعة لـ CISA يكمن في الرؤية التي يمكن أن توفرها. ويشير إلى أن "الأنظمة الأخرى تركز على الإجابة على السؤال التالي: هل تمت رؤية هذا من قبل، وهل هو ضار؟". "قد ينتهي الأمر بمنح الأولوية لنهج CISA بشكل مختلف ليصبح "هل هذه العينة ضارة، وماذا تفعل، وهل تمت رؤية هذا من قبل"."
منصة تحليل البرامج الضارة
تتوفر حاليًا العديد من الأنظمة الأساسية — الأكثر شهرة على نطاق واسع — VirusTotal — التي تستخدم أدوات فحص متعددة لمكافحة الفيروسات وأدوات تحليل ثابتة وديناميكية لتحليل الملفات وعناوين URL بحثًا عن البرامج الضارة والمحتويات الضارة الأخرى. تعمل هذه المنصات كنوع من الموارد المركزية لعينات البرامج الضارة المعروفة والسلوك المرتبط بها والتي يمكن للباحثين والفرق الأمنية استخدامها لتحديد وتقييم المخاطر المرتبطة بالبرامج الضارة الجديدة.
لا يزال مدى اختلاف الجيل التالي من البرامج الضارة من CISA عن هذه العروض غير معروف.
يقول سوروكو: "في الوقت الحالي، لم توضح حكومة الولايات المتحدة بالتفصيل ما الذي يجعل هذا الأمر مختلفًا عن خيارات تحليل بيئة الحماية مفتوحة المصدر الأخرى المتاحة". ويقول إن الوصول الذي سيحصل عليه المستخدمون المسجلون لتحليل البرامج الضارة التي تستهدف الوكالات الحكومية الأمريكية قد يكون ذا قيمة. "إن الوصول إلى التحليل المتعمق الذي تجريه CISA سيكون سببًا للمشاركة. ويبقى أن نرى بالنسبة لأولئك منا خارج حكومة الولايات المتحدة ما إذا كان هذا أفضل أو مماثل لبيئات تحليل Sandbox الأخرى مفتوحة المصدر.
فرقا
تقول كالي غونتر، المدير الأول لأبحاث التهديدات السيبرانية في Critical Start، إنه من الممكن أن تكون بعض المنظمات في البداية حذرة بعض الشيء بشأن المساهمة بالعينات وغيرها من الأعمال الفنية في منصة تديرها الحكومة بسبب مشكلات سرية البيانات والامتثال. لكن يشير غونتر إلى أن الجانب الإيجابي المحتمل من وجهة نظر استخبارات التهديد يمكن أن يشجع على المشاركة. "من المرجح أن يأخذ قرار المشاركة مع CISA في الاعتبار التوازن بين تعزيز الأمن الجماعي وحماية المعلومات الحساسة."
يقول ساوميترا داس، نائب رئيس الهندسة في Qualys، إن بإمكان CISA تمييز منصتها وتقديم المزيد من القيمة من خلال الاستثمار في القدرات التي تمكنها من اكتشاف عينات البرامج الضارة التي تتهرب من وضع الحماية. "يجب على CISA أن تحاول الاستثمار في كل من التصنيف القائم على الذكاء الاصطناعي لعينات البرامج الضارة بالإضافة إلى تقنيات التحليل الديناميكي المقاومة للتلاعب … والتي يمكن أن تكشف بشكل أفضل عن [مؤشرات التسوية]”.
يقول داس إن التركيز بشكل أكبر على البرامج الضارة التي تستهدف أنظمة Linux سيكون بمثابة تحسن كبير أيضًا. "ينصب الكثير من التركيز حاليًا على عينات Windows من حالات استخدام EDR، ولكن مع حدوث [Kubernetes] والترحيل إلى السحابة الأصلية، فإن البرامج الضارة لنظام التشغيل Linux آخذة في الارتفاع وهي مختلفة تمامًا في بنيتها"، كما يقول.
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- المصدر https://www.darkreading.com/vulnerabilities-threats/cisa-s-new-malware-analysis-platform-could-enable-better-threat-intelligence
