Агентство кибербезопасности и безопасности инфраструктуры США (CISA) предоставило организациям новый ресурс для анализа подозрительных и потенциально вредоносных файлов, URL-адресов и IP-адресов, сделав свою платформу анализа вредоносного ПО следующего поколения доступной для всех ранее на этой неделе.
Теперь вопрос заключается в том, как организации и исследователи безопасности будут использовать эту платформу и какие новые данные об угрозах она предоставит, помимо тех, что доступны через VirusTotal и другие службы анализа вредоносного ПО.
Платформа Malware Next-Gen использует инструменты динамического и статического анализа для анализа отправленных образцов и определения их вредоносности. По словам CISA, это дает организациям возможность получать своевременную и полезную информацию о новых образцах вредоносного ПО, например, о функциональности и действиях, которые строка кода может выполнять в системе-жертве. Подобная информация может иметь решающее значение для групп корпоративной безопасности в целях поиска угроз и реагирования на инциденты, отмечает агентство.
«Наша новая автоматизированная система позволяет аналитикам CISA по поиску угроз кибербезопасности лучше анализировать, сопоставлять, обогащать данные и делиться информацией о киберугрозах с партнерами», — сказал Эрик Гольдштейн, исполнительный помощник директора CISA по кибербезопасности, в подготовленное заявление, "Оно облегчает и поддерживает быстрое и эффективное реагирование на развивающиеся киберугрозы, в конечном итоге защищая критически важные системы и инфраструктуру».
Поскольку СНГА развернул платформу В октябре прошлого года около 400 зарегистрированных пользователей из различных федеральных, штатных, местных, племенных и территориальных правительственных учреждений США предоставили образцы для анализа в Malware Next-Gen. Из более чем 1,600 файлов, отправленных пользователями, CISA определила около 200 как подозрительные файлы или URL-адреса.
Благодаря решению CISA на этой неделе сделать платформу доступной для всех, любая организация, исследователь безопасности или частное лицо смогут отправлять вредоносные файлы и другие артефакты для анализа и составления отчетов. CISA будет предоставлять анализ только зарегистрированным пользователям платформы.
Джейсон Сороко, старший вице-президент по продуктам компании Sectigo, поставщика средств управления жизненным циклом сертификатов, говорит, что перспективность платформы CISA Malware Next-Generation Analysis заключается в той информации, которую она потенциально может предоставить. «Другие системы концентрируются на ответе на вопрос: «было ли это замечено раньше и является ли оно вредоносным», — отмечает он. «Подход CISA может в конечном итоге расставить приоритеты по-другому: «является ли этот образец вредоносным, что он делает и было ли это замечено раньше?»
Платформа анализа вредоносного ПО
В настоящее время доступно несколько платформ (самая известная из них — VirusTotal), которые используют несколько антивирусных сканеров, а также инструменты статического и динамического анализа для анализа файлов и URL-адресов на наличие вредоносных программ и другого вредоносного контента. Такие платформы служат своего рода централизованным ресурсом для известных образцов вредоносного ПО и связанного с ним поведения, который исследователи и команды безопасности могут использовать для выявления и оценки риска, связанного с новым вредоносным ПО.
Насколько будет отличаться Malware Next-Gen от CISA от этих предложений, остается неизвестным.
«В настоящее время правительство США не уточнило, чем это отличается от других доступных вариантов анализа песочницы с открытым исходным кодом», — говорит Сороко. По его словам, доступ, который получат зарегистрированные пользователи к анализу вредоносных программ, нацеленных на правительственные учреждения США, может оказаться ценным. «Получение доступа к углубленному анализу CISA станет причиной для участия. Тем из нас, кто не входит в правительство США, еще предстоит выяснить, лучше ли это или такое же, как и другие среды анализа песочницы с открытым исходным кодом».
Создание разница
Кэлли Гюнтер, старший менеджер по исследованию киберугроз в Critical Start, говорит, что вполне возможно, что некоторые организации поначалу могут быть немного осторожными в предоставлении образцов и других артефактов на государственную платформу из-за проблем с конфиденциальностью данных и соблюдением требований. Но потенциальный потенциал роста с точки зрения разведки угроз может стимулировать участие, отмечает Гюнтер. «Решение поделиться с CISA, вероятно, будет учитывать баланс между усилением коллективной безопасности и защитой конфиденциальной информации».
CISA может дифференцировать свою платформу и повысить ее эффективность, инвестируя в возможности, которые позволят ей обнаруживать образцы вредоносных программ, уклоняющихся от «песочницы», говорит Саумитра Дас, вице-президент по разработкам Qualys. CISA следует попытаться инвестировать как в классификацию образцов вредоносного ПО на основе искусственного интеллекта, так и в методы динамического анализа, устойчивые к несанкционированному вмешательству… которые могли бы лучше выявлять [индикаторы компрометации]», — говорит он.
По словам Даса, более пристальное внимание к вредоносному ПО, нацеленному на системы Linux, также было бы большим улучшением. «В настоящее время основное внимание уделяется образцам Windows из сценариев использования EDR, но с появлением [Kubernetes] и миграции в облако вредоносное ПО для Linux находится на подъеме и сильно отличается по своей структуре», — говорит он от вредоносного ПО для Windows.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.darkreading.com/vulnerabilities-threats/cisa-s-new-malware-analysis-platform-could-enable-better-threat-intelligence
