米国サイバーセキュリティ・インフラセキュリティ庁 (CISA) は、今週初めにマルウェア次世代分析プラットフォームを誰でも利用できるようにすることで、疑わしい、悪意のある可能性のあるファイル、URL、および IP アドレスを分析するための新しいリソースを組織に提供しました。
現在の問題は、組織やセキュリティ研究者がこのプラットフォームをどのように使用するか、また、VirusTotal やその他のマルウェア分析サービスで利用できるものを超えて、どのような新しい脅威インテリジェンスを可能にするかです。
Malware Next-Gen プラットフォームは、動的および静的分析ツールを使用して、送信されたサンプルを分析し、それらが悪意のあるものであるかどうかを判断します。 CISAによると、これにより組織は、一連のコードが被害者のシステム上で実行できる機能やアクションなど、新たなマルウェアサンプルに関する実用的な情報をタイムリーに入手できるようになったという。このようなインテリジェンスは、企業のセキュリティ チームにとって脅威ハンティングやインシデント対応の目的で非常に重要になる可能性があると当局は指摘しています。
CISAのサイバーセキュリティ担当エグゼクティブ・アシスタント・ディレクターのエリック・ゴールドスタイン氏は、「当社の新しい自動化システムにより、CISAのサイバーセキュリティ脅威ハンティング・アナリストはデータをより適切に分析、関連付け、強化し、サイバー脅威の洞察をパートナーと共有できるようになります」と述べた。 準備声明。 "進化するサイバー脅威への迅速かつ効果的な対応を促進およびサポートし、最終的に重要なシステムとインフラストラクチャを保護します。」
CISA以降 プラットフォームを展開した 昨年 400 月、米国のさまざまな連邦、州、地方、部族、および準州の政府機関から約 1,600 人の登録ユーザーが分析用のサンプルを Malware Next-Gen に提出しました。これまでにユーザーが提出した 200 以上のファイルのうち、CISA は約 XNUMX を不審なファイルまたは URL として特定しました。
CISA が今週、このプラットフォームを誰でも利用できるようにしたことにより、あらゆる組織、セキュリティ研究者、個人が分析や報告のために悪意のあるファイルやその他のアーティファクトを提出できるようになりました。 CISA は、プラットフォーム上の登録ユーザーにのみ分析を提供します。
証明書ライフサイクル管理ベンダーであるSectigo社の製品担当シニアバイスプレジデントであるJason Soroko氏は、CISAのマルウェア次世代分析プラットフォームの有望性は、それが提供できる可能性のある洞察にあると述べています。 「他のシステムは、『これは以前にも見られたか、悪意があるか』という質問に答えることに重点を置いています」と彼は指摘します。 「CISAのアプローチは、『このサンプルは悪意があるのか、何をするのか、これは以前にも見られたことがあるのか』ということになるために、優先順位が異なってしまう可能性がある。」
マルウェア分析プラットフォーム
現在、複数のウイルス対策スキャナーと静的および動的分析ツールを使用して、マルウェアやその他の悪意のあるコンテンツのファイルと URL を分析する、いくつかのプラットフォーム (VirusTotal が最も広く知られています) が利用可能です。このようなプラットフォームは、セキュリティ研究者やチームが新しいマルウェアに関連するリスクを特定して評価するために使用できる、既知のマルウェア サンプルと関連する動作に関する一種の集中リソースとして機能します。
CISA の Malware Next-Gen がこれらの製品とどのように異なるかはまだ不明です。
「現時点で米国政府は、これが利用可能な他のオープンソースのサンドボックス分析オプションと何が違うのかについて詳しくは明らかにしていません」とソロコ氏は言う。登録ユーザーが米国政府機関を標的としたマルウェアの分析にアクセスできることは価値がある可能性がある、と同氏は言う。 「CISA の詳細な分析にアクセスできることが、参加する理由となるでしょう。これが他のオープンソースのサンドボックス分析環境よりも優れているのか、それとも同じなのかは、米国政府以外の私たちにとってはまだわかりません。」
違いを作る
クリティカル・スタートのサイバー脅威調査担当シニアマネージャー、キャリー・ギュンサー氏は、データの機密性やコンプライアンスの問題を理由に、一部の組織は当初、サンプルやその他の成果物を政府運営のプラットフォームに提供することに若干慎重になる可能性があると述べた。しかし、脅威インテリジェンスの観点からは潜在的な利点が参加を促す可能性があるとギュンター氏は指摘する。 「CISAと共有する決定では、集団安全保障の強化と機密情報の保護とのバランスが考慮される可能性が高い。」
Qualys のエンジニアリング担当副社長である Saumitra Das 氏は、CISA はサンドボックスを回避するマルウェア サンプルを検出できる機能に投資することで、プラットフォームを差別化し、より多くの価値を提供できると述べています。 「CISA は、マルウェア サンプルの AI ベースの分類と、改ざん耐性のある動的分析技術の両方に投資するよう努めるべきであり、それにより、[侵害の兆候を] より適切に発見できる可能性があります。」と彼は言います。
Linux システムをターゲットとするマルウェアにさらに重点を置くことも、大きな改善になるだろうと Das 氏は言います。 「現在の焦点の多くは、EDR ユースケースからの Windows サンプルにありますが、[Kubernetes] とクラウドネイティブ移行の進行により、Linux マルウェアが増加しており、その構造は Windows マルウェアとはまったく異なります」と彼は言います。
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/vulnerabilities-threats/cisa-s-new-malware-analysis-platform-could-enable-better-threat-intelligence
