Zephyrnet-logo

Generatieve data-intelligentie

Cyber ​​Security

Het Malware-analyseplatform van CISA zou een betere dreiging van Intel kunnen bevorderen

Heruitgegeven door Plato
Heruitgegeven door Plato

Datum:

Aantal keer bekeken: 55

De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft organisaties een nieuwe bron gegeven voor het analyseren van verdachte en potentieel kwaadaardige bestanden, URL's en IP-adressen door het Malware Next-Gen Analysis-platform eerder deze week voor iedereen beschikbaar te stellen.

De vraag is nu hoe organisaties en beveiligingsonderzoekers het platform zullen gebruiken en welk soort nieuwe dreigingsinformatie het mogelijk zal maken naast wat beschikbaar is via VirusTotal en andere malware-analysediensten.

Het Malware Next-Gen-platform maakt gebruik van dynamische en statische analysehulpmiddelen om ingediende monsters te analyseren en te bepalen of ze schadelijk zijn. Het geeft organisaties een manier om tijdige en bruikbare informatie te verkrijgen over nieuwe malware-voorbeelden, zoals de functionaliteit en acties die een reeks code kan uitvoeren op een slachtoffersysteem, aldus CISA. Dergelijke informatie kan van cruciaal belang zijn voor bedrijfsbeveiligingsteams voor het opsporen van bedreigingen en het reageren op incidenten, aldus het agentschap.

“Ons nieuwe geautomatiseerde systeem stelt CISA’s cybersecurity-dreigingsanalisten in staat om data beter te analyseren, correleren, verrijken en cyberdreigingsinzichten te delen met partners”, zegt Eric Goldstein, CISA’s uitvoerend assistent-directeur voor cybersecurity, in een voorbereide verklaring. "Het faciliteert en ondersteunt een snelle en effectieve reactie op zich ontwikkelende cyberdreigingen, en beschermt uiteindelijk kritieke systemen en infrastructuur.”

Sinds CISA het platform uitgerold afgelopen oktober hebben zo'n 400 geregistreerde gebruikers van verschillende Amerikaanse federale, staats-, lokale, tribale en territoriale overheidsinstanties monsters voor analyse ingediend bij Malware Next-Gen. Van de ruim 1,600 bestanden die gebruikers tot nu toe hebben ingediend, heeft CISA er ongeveer 200 geïdentificeerd als verdachte bestanden of URL's.

Met de actie van CISA deze week om het platform voor iedereen beschikbaar te maken, kan elke organisatie, beveiligingsonderzoeker of individu kwaadaardige bestanden en andere artefacten indienen voor analyse en rapportage. CISA biedt alleen analyses aan geregistreerde gebruikers op het platform.

Jason Soroko, senior vice-president product bij Sectigo, leverancier van certificaat lifecycle management, zegt dat de belofte van CISA's Malware Next-Generation Analysis-platform ligt in het inzicht dat het potentieel kan bieden. “Andere systemen concentreren zich op het beantwoorden van de vraag ‘is dit al eerder gezien en is het schadelijk’,” merkt hij op. “De aanpak van CISA zou uiteindelijk een andere prioriteit kunnen krijgen: ‘is dit voorbeeld schadelijk, wat doet het en is dit al eerder gezien’.”

Malware-analyseplatform

Er zijn momenteel verschillende platforms – VirusTotal is de meest bekende – beschikbaar die meerdere antivirusscanners en statische en dynamische analysetools gebruiken om bestanden en URL’s te analyseren op malware en andere kwaadaardige inhoud. Dergelijke platforms dienen als een soort gecentraliseerde bron voor bekende malwaremonsters en bijbehorend gedrag, die beveiligingsonderzoekers en -teams kunnen gebruiken om de risico's die aan nieuwe malware zijn verbonden, te identificeren en te beoordelen.

Hoe verschillend Malware Next-Gen van CISA zal zijn van dit aanbod, blijft onbekend.

“Op dit moment heeft de Amerikaanse overheid niet gedetailleerd beschreven wat dit anders maakt dan andere open source sandbox-analyseopties die beschikbaar zijn”, zegt Soroko. De toegang die geregistreerde gebruikers krijgen tot de analyse van malware gericht op Amerikaanse overheidsinstanties kan waardevol zijn, zegt hij. “Toegang krijgen tot de diepgaande analyse van CISA zou de reden zijn om deel te nemen. Het valt voor degenen onder ons buiten de Amerikaanse overheid nog te bezien of dit beter of hetzelfde is als andere open source sandbox-analyseomgevingen.”

Maak het Verschil

Callie Guenther, senior manager cyberdreigingsonderzoek bij Critical Start, zegt dat het mogelijk is dat sommige organisaties in eerste instantie wat voorzichtig zijn met het bijdragen van monsters en andere artefacten aan een door de overheid beheerd platform vanwege problemen met de vertrouwelijkheid van gegevens en nalevingsproblemen. Maar het potentiële voordeel vanuit het oogpunt van dreigingsinformatie zou deelname kunnen aanmoedigen, merkt Guenther op. “Bij het besluit om het met CISA te delen zal waarschijnlijk rekening worden gehouden met de balans tussen het verbeteren van de collectieve veiligheid en het beschermen van gevoelige informatie.”

CISA kan zijn platform differentiëren en meer waarde leveren door te investeren in mogelijkheden waarmee het sandbox-ontwijkende malware-samples kan detecteren, zegt Saumitra Das, vice-president engineering bij Qualys. "CISA zou moeten proberen te investeren in zowel op AI gebaseerde classificatie van malwaremonsters als in fraudebestendige dynamische analysetechnieken … die [indicatoren van compromissen] beter aan het licht zouden kunnen brengen”, zegt hij.

Een grotere focus op malware gericht op Linux-systemen zou ook een grote verbetering zijn, zegt Das. “Veel van de huidige focus ligt op Windows-voorbeelden van EDR-gebruiksscenario’s, maar nu Kubernetes en cloud-native migratie plaatsvindt, is Linux-malware in opkomst en verschilt qua structuur behoorlijk”, zegt hij.

spot_img

Laatste intelligentie

spot_img

Copyright @ 2024 Plato Technologies Inc.