Agencija ZDA za kibernetsko varnost in varnost infrastrukture (CISA) je organizacijam dala nov vir za analizo sumljivih in potencialno zlonamernih datotek, URL-jev in naslovov IP, tako da je svojo platformo Malware Next-Gen Analysis dala na voljo vsem v začetku tega tedna.
Vprašanje zdaj je, kako bodo organizacije in varnostni raziskovalci uporabljali platformo in kakšno novo obveščanje o grožnjah bo omogočilo poleg tega, kar je na voljo prek VirusTotal in drugih storitev analize zlonamerne programske opreme.
Platforma Malware Next-Gen uporablja dinamična in statična orodja za analizo za analizo predloženih vzorcev in ugotavljanje, ali so zlonamerni. Organizacijam daje možnost, da pridobijo pravočasne in uporabne informacije o novih vzorcih zlonamerne programske opreme, kot so funkcionalnosti in dejanja, ki jih niz kode lahko izvede v sistemu žrtve, so sporočili iz CISA. Takšna inteligenca je lahko ključnega pomena za varnostne ekipe podjetij za namene lova na grožnje in odzivanja na incidente, ugotavlja agencija.
»Naš novi avtomatizirani sistem omogoča analitikom CISA za lov na kibernetske grožnje, da bolje analizirajo, povezujejo, obogatijo podatke in delijo vpoglede v kibernetske grožnje s partnerji,« je povedal Eric Goldstein, izvršni pomočnik direktorja CISA za kibernetsko varnost. pripravljeno izjavo. "Omogoča in podpira hiter in učinkovit odziv na razvijajoče se kibernetske grožnje ter na koncu ščiti kritične sisteme in infrastrukturo.«
Od CISA postavil platformo Oktobra lani je približno 400 registriranih uporabnikov iz različnih ameriških zveznih, državnih, lokalnih, plemenskih in teritorialnih vladnih agencij poslalo vzorce v analizo Malware Next-Gen. Od več kot 1,600 datotek, ki so jih uporabniki poslali doslej, je CISA približno 200 prepoznala kot sumljive datoteke ali URL-je.
S potezo CISA ta teden, da bo platforma na voljo vsem, lahko vsaka organizacija, varnostni raziskovalec ali posameznik predloži zlonamerne datoteke in druge artefakte v analizo in poročanje. CISA bo zagotovila analizo samo registriranim uporabnikom na platformi.
Jason Soroko, višji podpredsednik produkta pri prodajalcu upravljanja življenjskega cikla certifikatov Sectigo, pravi, da je obljuba platforme CISA za analizo naslednje generacije zlonamerne programske opreme v vpogledu, ki ga lahko potencialno zagotovi. »Drugi sistemi se osredotočajo na odgovor na vprašanje, ali je bilo to že videno in ali je zlonamerno,« ugotavlja. "Pristopu CISA bi lahko na koncu dali prednost drugače, da bi postal 'ali je ta vzorec zlonameren, kaj počne in ali je bilo to že videno'."
Platforma za analizo zlonamerne programske opreme
Trenutno je na voljo več platform – VirusTotal je najbolj znana –, ki uporabljajo več protivirusnih skenerjev ter statična in dinamična orodja za analizo za analizo datotek in URL-jev glede zlonamerne programske opreme in druge zlonamerne vsebine. Takšne platforme služijo kot nekakšen centraliziran vir za znane vzorce zlonamerne programske opreme in povezano vedenje, ki ga varnostni raziskovalci in ekipe lahko uporabijo za prepoznavanje in oceno tveganja, povezanega z novo zlonamerno programsko opremo.
Kako drugačna bo zlonamerna programska oprema CISA Next-Gen od teh ponudb, ostaja neznanka.
"Vlada ZDA trenutno ni podrobno opisala, v čem se to razlikuje od drugih odprtokodnih možnosti analize peskovnika, ki so na voljo," pravi Soroko. Dostop, ki ga bodo imeli registrirani uporabniki do analize zlonamerne programske opreme, namenjene ameriškim vladnim agencijam, bi lahko bil dragocen, pravi. »Razlog za sodelovanje bi bil dostop do poglobljene analize CISA. Za tiste med nami zunaj vlade ZDA bomo še videli, ali je to boljše ali enako kot druga okolja za analizo odprtokodnih peskovnikov.«
Naredimo razliko
Callie Guenther, višja vodja raziskave kibernetskih groženj pri Critical Start, pravi, da je možno, da bodo nekatere organizacije sprva nekoliko previdne pri prispevanju vzorcev in drugih artefaktov platformi, ki jo upravlja vlada, zaradi težav z zaupnostjo podatkov in skladnostjo. Toda potencialna prednost s stališča obveščanja o grožnjah bi lahko spodbudila sodelovanje, ugotavlja Guenther. "Odločitev o delitvi s CISA bo verjetno upoštevala ravnotežje med krepitvijo kolektivne varnosti in varovanjem občutljivih informacij."
CISA lahko razlikuje svojo platformo in zagotovi večjo vrednost z vlaganjem v zmogljivosti, ki ji omogočajo odkrivanje vzorcev zlonamerne programske opreme, ki se izogibajo peskovniku, pravi Saumitra Das, podpredsednica inženiringa pri Qualys. "CISA bi morala poskušati vlagati tako v klasifikacijo vzorcev zlonamerne programske opreme, ki temelji na umetni inteligenci, kot tudi v tehnike dinamične analize, odporne proti posegom … ki bi lahko bolje odkrile [indikatorje ogroženosti],« pravi.
Velik napredek bi bil tudi večji poudarek na zlonamerni programski opremi, ki cilja na sisteme Linux, pravi Das. »Veliko trenutnega poudarka je na vzorcih sistema Windows iz primerov uporabe EDR, toda z [Kubernetesom] in selitvijo v oblak je zlonamerna programska oprema Linux v porastu in se precej razlikuje po svoji strukturi,« pravi.
- Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
- PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
- PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
- PlatoESG. Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
- PlatoHealth. Obveščanje o biotehnologiji in kliničnih preskušanjih. Dostopite tukaj.
- vir: https://www.darkreading.com/vulnerabilities-threats/cisa-s-new-malware-analysis-platform-could-enable-better-threat-intelligence
