US Cybersecurity and Infrastructure Security Agency (CISA) har gitt organisasjoner en ny ressurs for å analysere mistenkelige og potensielt skadelige filer, URL-er og IP-adresser ved å gjøre Malware Next-Gen Analysis-plattformen tilgjengelig for alle tidligere denne uken.
Spørsmålet nå er hvordan organisasjoner og sikkerhetsforskere vil bruke plattformen og hva slags ny trusselintelligens den vil muliggjøre utover det som er tilgjengelig via VirusTotal og andre skadevareanalysetjenester.
Malware Next-Gen-plattformen bruker dynamiske og statiske analyseverktøy for å analysere innsendte prøver og avgjøre om de er skadelige. Det gir organisasjoner en måte å få rettidig og handlingsdyktig informasjon om nye malware-eksempler, for eksempel funksjonaliteten og handlingene en kodestreng kan utføre på et offersystem, sa CISA. Slik etterretning kan være avgjørende for bedriftssikkerhetsteam for trusseljakt og hendelsesformål, bemerket byrået.
"Vårt nye automatiserte system gjør det mulig for CISAs cybersikkerhetstrusseljaktanalytikere å bedre analysere, korrelere, berike data og dele cybertrusselsinnsikt med partnere," sa Eric Goldstein, CISAs administrerende assisterende direktør for cybersikkerhet, i en utarbeidet uttalelse. 'Den letter og støtter rask og effektiv respons på utviklende cybertrusler, og sikrer til slutt kritiske systemer og infrastruktur."
Siden CISA rullet ut plattformen i oktober i fjor har rundt 400 registrerte brukere fra ulike amerikanske føderale, statlige, lokale, stamme- og territorielle myndigheter sendt inn prøver for analyse til Malware Next-Gen. Av de mer enn 1,600 filene som brukere har sendt inn så langt, identifiserte CISA rundt 200 som mistenkelige filer eller URL-er.
Med CISAs trekk denne uken for å gjøre plattformen tilgjengelig for alle, kan enhver organisasjon, sikkerhetsforsker eller enkeltperson sende inn skadelige filer og andre artefakter for analyse og rapportering. CISA vil kun gi analyse til registrerte brukere på plattformen.
Jason Soroko, senior visepresident for produkt hos leverandøren av sertifikatlivssyklusstyring Sectigo, sier at løftet til CISAs Malware Next-Generation Analysis-plattform ligger i den innsikten den potensielt kan gi. "Andre systemer konsentrerer seg om å svare på spørsmålet 'har dette blitt sett før og er det ondsinnet'," bemerker han. "CISAs tilnærming kan ende opp med å bli prioritert annerledes for å bli 'er denne prøven ondsinnet, hva gjør den, og har dette blitt sett før'."
Malware Analyseplattform
Flere plattformer – VirusTotal er den mest kjente – er for tiden tilgjengelig som bruker flere antivirusskannere og statiske og dynamiske analyseverktøy for å analysere filer og URL-er for skadelig programvare og annet skadelig innhold. Slike plattformer fungerer som en slags sentralisert ressurs for kjente malware-prøver og tilhørende atferd som sikkerhetsforskere og team kan bruke for å identifisere og vurdere risiko forbundet med ny malware.
Hvor forskjellig CISAs Malware Next-Gen vil være fra disse tilbudene er fortsatt ukjent.
"På dette tidspunktet har den amerikanske regjeringen ikke detaljert hva som gjør dette forskjellig fra andre åpen kildekode-sandkasseanalysealternativer som er tilgjengelige," sier Soroko. Tilgangen som registrerte brukere vil få til analyser av skadelig programvare rettet mot amerikanske offentlige etater kan være verdifull, sier han. «Å få tilgang til CISAs dybdeanalyse ville være grunnen til å delta. Det gjenstår å se for de av oss utenfor den amerikanske regjeringen om dette er bedre eller det samme som andre åpen kildekode-sandkasseanalysemiljøer.»
Gjøre en forskjell
Callie Guenther, seniorleder, cybertrusselforskning ved Critical Start, sier at det er mulig at noen organisasjoner i utgangspunktet kan være litt forsiktige med å bidra med prøver og andre gjenstander til en myndighetsdrevet plattform på grunn av datakonfidensialitet og overholdelsesproblemer. Men den potensielle oppsiden fra et trusseletterretningssynspunkt kan oppmuntre til deltakelse, bemerker Guenther. "Beslutningen om å dele med CISA vil sannsynligvis vurdere balansen mellom å forbedre kollektiv sikkerhet og ivareta sensitiv informasjon."
CISA kan differensiere sin plattform og levere mer verdi ved å investere i evner som gjør det mulig å oppdage sandkasseunnvikende skadelig programvare, sier Saumitra Das, visepresident for ingeniørfag i Qualys. "CISA bør prøve å investere i både AI-basert klassifisering av skadevareprøver, så vel som manipulasjonssikre dynamiske analyseteknikker … som bedre kan avdekke [indikatorer på kompromiss],» sier han.
Et større fokus på skadelig programvare rettet mot Linux-systemer vil også være en stor forbedring, sier Das. "Mye av det nåværende fokuset er på Windows-eksempler fra EDR-brukstilfeller, men med [Kubernetes] og skybasert migrering, er Linux-malware på vei opp og er ganske annerledes i strukturen," sier han.
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
- PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
- PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
- PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
- kilde: https://www.darkreading.com/vulnerabilities-threats/cisa-s-new-malware-analysis-platform-could-enable-better-threat-intelligence
