Yhdysvaltain Cybersecurity and Infrastructure Security Agency (CISA) on antanut organisaatioille uuden resurssin epäilyttävien ja mahdollisesti haitallisten tiedostojen, URL-osoitteiden ja IP-osoitteiden analysointiin asettamalla Malware Next-Gen Analysis -alustan kaikkien saataville aiemmin tällä viikolla.
Kysymys on nyt siitä, miten organisaatiot ja tietoturvatutkijat käyttävät alustaa ja minkälaista uutta uhkatietoa se mahdollistaa VirusTotalin ja muiden haittaohjelmien analysointipalvelujen lisäksi.
Malware Next-Gen -alusta käyttää dynaamisia ja staattisia analyysityökaluja lähetettyjen näytteiden analysoimiseen ja sen määrittämiseen, ovatko ne haitallisia. Se antaa organisaatioille tavan saada oikea-aikaista ja käyttökelpoista tietoa uusista haittaohjelmanäytteistä, kuten toiminnoista ja toiminnoista, joita koodijono voi suorittaa uhrijärjestelmässä, CISA sanoi. Virasto huomautti, että tällainen tiedustelu voi olla ratkaisevan tärkeää yritysten turvallisuustiimeille uhkien metsästys- ja reagointitarkoituksiin.
"Uuden automatisoidun järjestelmämme avulla CISA:n kyberturvallisuusuhkien metsästysanalyytikot voivat analysoida, korreloida, rikastaa tietoja ja jakaa kyberuhkista näkemyksiä kumppaneiden kanssa", sanoi Eric Goldstein, CISA:n kyberturvallisuuden apulaisjohtaja. valmisteltu lausunto. "Se helpottaa ja tukee nopeaa ja tehokasta reagointia kehittyviin kyberuhkiin ja viime kädessä turvaa kriittiset järjestelmät ja infrastruktuurit."
CISAsta lähtien vieritti alustalta viime lokakuussa noin 400 rekisteröityä käyttäjää useista Yhdysvaltain liittovaltion, osavaltion, paikallis-, heimo- ja aluehallinnon virastoista on toimittanut näytteitä analysoitavaksi Malware Next-Genille. Yli 1,600 200 käyttäjien tähän mennessä lähettämistä tiedostoista CISA tunnisti noin XNUMX epäilyttäväksi tiedostoksi tai URL-osoitteeksi.
CISA:n tällä viikolla tekemällä alustan saattamiseksi kaikkien saataville mikä tahansa organisaatio, tietoturvatutkija tai henkilö voi lähettää haitallisia tiedostoja ja muita esineitä analysoitavaksi ja raportoitavaksi. CISA tarjoaa analyysin vain rekisteröidyille käyttäjille alustalla.
Jason Soroko, sertifikaattien elinkaaren hallinnan toimittajan Sectigon tuotejohtaja, sanoo, että CISA:n haittaohjelmien seuraavan sukupolven analyysialustan lupaus piilee sen mahdollisessa oivalluksessa. "Muut järjestelmät keskittyvät vastaamaan kysymykseen "onko tämä nähty aiemmin ja onko se haitallista", hän huomauttaa. "CISA:n lähestymistapa saatetaan päätyä priorisoimaan eri tavalla, jolloin siitä tulee "onko tämä näyte haitallinen, mitä se tekee, ja onko tämä nähty aiemmin".
Haittaohjelmien analysointialusta
Tällä hetkellä saatavilla on useita alustoja – VirusTotal on tunnetuin – jotka käyttävät useita virustorjuntaohjelmia sekä staattisia ja dynaamisia analyysityökaluja tiedostojen ja URL-osoitteiden analysoimiseen haittaohjelmien ja muun haitallisen sisällön varalta. Tällaiset alustat toimivat eräänlaisena keskitettynä resurssina tunnetuille haittaohjelmanäytteille ja niihin liittyvälle käyttäytymiselle, jonka avulla tietoturvatutkijat ja -tiimit voivat tunnistaa ja arvioida uusiin haittaohjelmiin liittyviä riskejä.
Kuinka erilainen CISAn seuraavan sukupolven haittaohjelmat tulevat olemaan näistä tarjouksista, ei tiedetä.
"Tällä hetkellä Yhdysvaltain hallitus ei ole tarkentanut, mikä tekee tästä eron muista avoimen lähdekoodin hiekkalaatikkoanalyysivaihtoehdoista", Soroko sanoo. Rekisteröityneiden käyttäjien pääsy Yhdysvaltain hallituksen virastoille kohdistettujen haittaohjelmien analysointiin voi olla arvokasta, hän sanoo. ”CISA:n syvällisen analyysin saaminen olisi syy osallistumiseen. Meidän Yhdysvaltain hallituksen ulkopuolisten nähtäväksi jää, onko tämä parempi vai sama kuin muut avoimen lähdekoodin hiekkalaatikkoanalyysiympäristöt."
Making a Difference
Callie Guenther, Critical Startin kyberuhkien tutkimuksesta vastaava johtaja, sanoo, että on mahdollista, että jotkut organisaatiot saattavat aluksi olla hieman varovaisia näytteiden ja muiden esineiden lisäämisessä hallituksen ylläpitämään alustaan tietojen luottamuksellisuuden ja vaatimustenmukaisuusongelmien vuoksi. Mutta mahdollinen käännekohta uhkatiedustelun näkökulmasta voisi kannustaa osallistumaan, Guenther huomauttaa. "Päätös jakaa CISA:n kanssa todennäköisesti harkitsee tasapainoa kollektiivisen turvallisuuden parantamisen ja arkaluonteisten tietojen suojaamisen välillä."
CISA voi erottaa alustansa ja tuottaa enemmän arvoa investoimalla ominaisuuksiin, joiden avulla se voi havaita hiekkalaatikkoa kiertäviä haittaohjelmanäytteitä, sanoo Saumitra Das, Qualysin suunnittelujohtaja. "CISA:n tulisi yrittää investoida sekä tekoälyyn perustuvaan haittaohjelmanäytteiden luokitteluun että peukaloinninkestäviin dynaamisiin analyysitekniikoihin… jotka voisivat paremmin paljastaa [kompromissi-indikaattoreita]”, hän sanoo.
Suurempi keskittyminen Linux-järjestelmiin kohdistuviin haittaohjelmiin olisi myös suuri parannus, Das sanoo. "Suurin osa tällä hetkellä keskittyy Windows-näytteisiin EDR-käyttötapauksista, mutta [Kubernetesin] ja pilvipohjaisen siirtymisen myötä Linux-haittaohjelmat ovat nousussa ja ovat rakenteeltaan melko erilaisia", hän sanoo.
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
- PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
- PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
- PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
- Lähde: https://www.darkreading.com/vulnerabilities-threats/cisa-s-new-malware-analysis-platform-could-enable-better-threat-intelligence
