L'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a offert aux organisations une nouvelle ressource pour analyser les fichiers, URL et adresses IP suspects et potentiellement malveillants en mettant sa plateforme Malware Next-Gen Analysis à la disposition de tous plus tôt cette semaine.
La question est maintenant de savoir comment les organisations et les chercheurs en sécurité utiliseront la plateforme et quel type de nouvelles informations sur les menaces elle permettra au-delà de ce qui est disponible via VirusTotal et d'autres services d'analyse de logiciels malveillants.
La plateforme Malware Next-Gen utilise des outils d'analyse dynamiques et statiques pour analyser les échantillons soumis et déterminer s'ils sont malveillants. Il donne aux organisations un moyen d'obtenir des informations opportunes et exploitables sur les nouveaux échantillons de logiciels malveillants, telles que les fonctionnalités et les actions qu'une chaîne de code peut exécuter sur un système victime, a déclaré la CISA. De telles informations peuvent être cruciales pour les équipes de sécurité des entreprises à des fins de détection des menaces et de réponse aux incidents, a noté l'agence.
« Notre nouveau système automatisé permet aux analystes de chasse aux menaces de cybersécurité de CISA de mieux analyser, corréler, enrichir les données et partager des informations sur les cybermenaces avec leurs partenaires », a déclaré Eric Goldstein, directeur adjoint exécutif de CISA pour la cybersécurité, dans un communiqué. Affirmation préparée. "Il facilite et soutient une réponse rapide et efficace aux cybermenaces en évolution, protégeant ainsi les systèmes et infrastructures critiques.
Depuis la CISA déployé la plateforme En octobre dernier, quelque 400 utilisateurs enregistrés provenant de diverses agences gouvernementales fédérales, étatiques, locales, tribales et territoriales des États-Unis ont soumis des échantillons pour analyse à Malware Next-Gen. Sur les plus de 1,600 200 fichiers soumis jusqu’à présent par les utilisateurs, la CISA en a identifié environ XNUMX comme étant des fichiers ou des URL suspects.
Avec la décision prise cette semaine par CISA de rendre la plateforme accessible à tous, toute organisation, chercheur en sécurité ou individu peut soumettre des fichiers malveillants et d'autres artefacts pour analyse et reporting. CISA fournira une analyse uniquement aux utilisateurs enregistrés sur la plateforme.
Jason Soroko, vice-président senior des produits chez Sectigo, fournisseur de gestion du cycle de vie des certificats, affirme que la promesse de la plateforme Malware Next-Generation Analysis de CISA réside dans les informations qu'elle peut potentiellement fournir. "D'autres systèmes se concentrent sur la réponse à la question" est-ce que cela a déjà été vu et est-ce malveillant "", note-t-il. "L'approche de CISA pourrait finir par être priorisée différemment pour devenir" cet échantillon est-il malveillant, que fait-il et cela a-t-il déjà été vu "."
Plateforme d'analyse des logiciels malveillants
Plusieurs plates-formes (VirusTotal est la plus connue) sont actuellement disponibles et utilisent plusieurs scanners antivirus et outils d'analyse statique et dynamique pour analyser les fichiers et les URL à la recherche de logiciels malveillants et autres contenus malveillants. Ces plates-formes constituent une sorte de ressource centralisée pour les échantillons de logiciels malveillants connus et les comportements associés, que les chercheurs et les équipes en sécurité peuvent utiliser pour identifier et évaluer les risques associés aux nouveaux logiciels malveillants.
La différence entre Malware Next-Gen de CISA et ces offres reste inconnue.
"Pour le moment, le gouvernement américain n'a pas détaillé ce qui différencie cette solution des autres options d'analyse sandbox open source disponibles", explique Soroko. L'accès qu'auront les utilisateurs enregistrés à l'analyse des logiciels malveillants ciblant les agences gouvernementales américaines pourrait s'avérer précieux, dit-il. « Avoir accès à l'analyse approfondie de CISA serait la raison de participer. Il reste à voir pour ceux d’entre nous en dehors du gouvernement américain si cela est meilleur ou identique à d’autres environnements d’analyse sandbox open source.
Faire une différence
Callie Guenther, directrice principale de la recherche sur les cybermenaces chez Critical Start, affirme qu'il est possible que certaines organisations soient initialement un peu prudentes lorsqu'elles fournissent des échantillons et d'autres artefacts à une plate-forme gérée par le gouvernement en raison de problèmes de confidentialité et de conformité des données. Mais les avantages potentiels du point de vue du renseignement sur les menaces pourraient encourager la participation, note Guenther. "La décision de partager avec la CISA tiendra probablement compte de l'équilibre entre le renforcement de la sécurité collective et la protection des informations sensibles."
CISA peut différencier sa plate-forme et offrir davantage de valeur en investissant dans des fonctionnalités qui lui permettent de détecter des échantillons de logiciels malveillants échappant au bac à sable, déclare Saumitra Das, vice-président de l'ingénierie chez Qualys. "La CISA devrait essayer d’investir à la fois dans la classification des échantillons de logiciels malveillants basée sur l’IA ainsi que dans les techniques d’analyse dynamique inviolables… qui pourraient mieux découvrir [les indicateurs de compromission] », dit-il.
Selon Das, une plus grande concentration sur les logiciels malveillants ciblant les systèmes Linux constituerait également une grande amélioration. « L'accent est actuellement mis sur les exemples Windows issus de cas d'utilisation EDR, mais avec [Kubernetes] et la migration vers le cloud natif, les logiciels malveillants Linux sont en augmentation et leur structure est assez différente » des logiciels malveillants Windows, dit-il.
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
- PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
- PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
- PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
- La source: https://www.darkreading.com/vulnerabilities-threats/cisa-s-new-malware-analysis-platform-could-enable-better-threat-intelligence
