Zephyrnet-Logo

Generative Datenintelligenz

Cybersicherheit

Die Malware-Analyseplattform von CISA könnte eine bessere Bedrohung für Intel fördern

Neuauflage von Plato
Neuauflage von Plato

Datum:

Views: 56

Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat Organisationen eine neue Ressource für die Analyse verdächtiger und potenziell schädlicher Dateien, URLs und IP-Adressen an die Hand gegeben, indem sie Anfang dieser Woche ihre Malware Next-Gen Analysis-Plattform für jedermann verfügbar gemacht hat.

Die Frage ist nun, wie Organisationen und Sicherheitsforscher die Plattform nutzen werden und welche Art von neuen Bedrohungsinformationen sie über das hinaus ermöglichen wird, was über VirusTotal und andere Malware-Analysedienste verfügbar ist.

Die Malware Next-Gen-Plattform verwendet dynamische und statische Analysetools, um eingereichte Proben zu analysieren und festzustellen, ob sie bösartig sind. Es gibt Unternehmen die Möglichkeit, zeitnahe und umsetzbare Informationen über neue Malware-Beispiele zu erhalten, etwa über die Funktionalität und Aktionen, die eine Codefolge auf einem Opfersystem ausführen kann, so CISA. Solche Informationen können für Sicherheitsteams in Unternehmen für die Bedrohungssuche und die Reaktion auf Vorfälle von entscheidender Bedeutung sein, so die Agentur.

„Unser neues automatisiertes System ermöglicht es den CISA-Analysten für die Cybersicherheits-Bedrohungssuche, Daten besser zu analysieren, zu korrelieren, anzureichern und Erkenntnisse über Cyber-Bedrohungen mit Partnern zu teilen“, sagte Eric Goldstein, CISAs stellvertretender Direktor für Cybersicherheit, in einem vorbereitete Erklärung. "Es erleichtert und unterstützt eine schnelle und effektive Reaktion auf sich entwickelnde Cyber-Bedrohungen und schützt letztendlich kritische Systeme und Infrastruktur.“

Seit CISA rollte die Plattform aus Im vergangenen Oktober haben rund 400 registrierte Benutzer verschiedener US-amerikanischer Bundes-, Landes-, Kommunal-, Stammes- und Territorialbehörden Proben zur Analyse an Malware Next-Gen übermittelt. Von den mehr als 1,600 Dateien, die Benutzer bisher eingereicht haben, identifizierte CISA etwa 200 als verdächtige Dateien oder URLs.

Mit dem Schritt von CISA in dieser Woche, die Plattform für jedermann zugänglich zu machen, kann jede Organisation, jeder Sicherheitsforscher und jede Einzelperson schädliche Dateien und andere Artefakte zur Analyse und Berichterstattung einreichen. CISA stellt Analysen nur registrierten Benutzern auf der Plattform zur Verfügung.

Laut Jason Soroko, Senior Vice President of Product beim Zertifikatslebenszyklus-Management-Anbieter Sectigo, liegt das Versprechen der Malware Next-Generation Analysis-Plattform von CISA in den Erkenntnissen, die sie potenziell liefern kann. „Andere Systeme konzentrieren sich auf die Beantwortung der Frage ‚Wurde das schon einmal gesehen und ist es bösartig‘“, stellt er fest. „Der Ansatz von CISA könnte am Ende anders priorisiert werden, um zu lauten: ‚Ist dieses Beispiel bösartig, was macht es und wurde das schon einmal gesehen?‘“

Malware-Analyseplattform

Derzeit sind mehrere Plattformen verfügbar – VirusTotal ist die bekannteste –, die mehrere Antivirenscanner sowie statische und dynamische Analysetools verwenden, um Dateien und URLs auf Malware und andere schädliche Inhalte zu analysieren. Solche Plattformen dienen als eine Art zentralisierte Ressource für bekannte Malware-Beispiele und damit verbundenes Verhalten, die Sicherheitsforscher und -teams nutzen können, um mit neuer Malware verbundene Risiken zu identifizieren und zu bewerten.

Wie sehr sich CISAs Malware Next-Gen von diesen Angeboten unterscheiden wird, ist unbekannt.

„Zu diesem Zeitpunkt hat die US-Regierung nicht detailliert dargelegt, was dies von anderen verfügbaren Open-Source-Sandbox-Analyseoptionen unterscheidet“, sagt Soroko. Der Zugriff, den registrierte Benutzer auf die Analyse von Malware erhalten, die auf US-Regierungsbehörden abzielt, könnte wertvoll sein, sagt er. „Der Grund für die Teilnahme wäre der Zugang zu den ausführlichen Analysen von CISA. Für diejenigen von uns außerhalb der US-Regierung bleibt abzuwarten, ob dies besser oder mit anderen Open-Source-Sandbox-Analyseumgebungen vergleichbar ist.“

Making a Difference

Callie Guenther, Senior Manager für Cyber-Bedrohungsforschung bei Critical Start, sagt, es sei möglich, dass einige Organisationen aufgrund von Datenvertraulichkeits- und Compliance-Problemen zunächst etwas zurückhaltend seien, wenn es darum geht, Proben und andere Artefakte an eine von der Regierung betriebene Plattform weiterzugeben. Aber der potenzielle Vorteil aus Sicht der Bedrohungsaufklärung könnte die Teilnahme fördern, bemerkt Guenther. „Bei der Entscheidung zur Weitergabe an CISA wird wahrscheinlich das Gleichgewicht zwischen der Verbesserung der kollektiven Sicherheit und dem Schutz sensibler Informationen berücksichtigt.“

CISA kann seine Plattform differenzieren und einen Mehrwert bieten, indem es in Funktionen investiert, die es ihm ermöglichen, Sandbox-umgehungende Malware-Proben zu erkennen, sagt Saumitra Das, Vice President of Engineering bei Qualys. "CISA sollte versuchen, sowohl in die KI-basierte Klassifizierung von Malware-Beispielen als auch in manipulationssichere dynamische Analysetechniken zu investieren … die [Indikatoren für eine Kompromittierung] besser aufdecken könnten“, sagt er.

Ein größerer Fokus auf Malware, die auf Linux-Systeme abzielt, wäre ebenfalls eine große Verbesserung, sagt Das. „Derzeit liegt der Fokus hauptsächlich auf Windows-Beispielen aus EDR-Anwendungsfällen, aber mit [Kubernetes] und der Cloud-nativen Migration ist Linux-Malware auf dem Vormarsch und unterscheidet sich in ihrer Struktur deutlich von Windows-Malware“, sagt er.

spot_img

Neueste Intelligenz

spot_img

Copyright @ 2024 Plato Technologies Inc.