US Cybersecurity and Infrastructure Security Agency (CISA) har gett organisationer en ny resurs för att analysera misstänkta och potentiellt skadliga filer, URL:er och IP-adresser genom att göra sin Malware Next-Gen Analysis-plattform tillgänglig för alla tidigare denna vecka.
Frågan är nu hur organisationer och säkerhetsforskare kommer att använda plattformen och vilken typ av ny hotintelligens den kommer att möjliggöra utöver vad som är tillgängligt via VirusTotal och andra skadliga analystjänster.
Malware Next-Gen-plattformen använder dynamiska och statiska analysverktyg för att analysera inlämnade prover och avgöra om de är skadliga. Det ger organisationer ett sätt att få aktuell och handlingsbar information om nya skadliga prover, såsom funktionalitet och åtgärder som en kodsträng kan utföra på ett offersystem, sa CISA. Sådan intelligens kan vara avgörande för företagssäkerhetsteam för hotjakt och incidentrespons, noterade byrån.
"Vårt nya automatiserade system gör det möjligt för CISA:s cybersäkerhets-hotjaktanalytiker att bättre analysera, korrelera, berika data och dela insikter om cyberhot med partners", säger Eric Goldstein, CISA:s verkställande assisterande direktör för cybersäkerhet, i en förberett uttalande. "Det underlättar och stöder snabba och effektiva svar på cyberhot under utveckling, vilket i slutändan skyddar kritiska system och infrastruktur.”
Sedan CISA rullade ut plattformen i oktober förra året har cirka 400 registrerade användare från olika amerikanska federala, statliga, lokala, stam- och territoriella myndigheter lämnat in prover för analys till Malware Next-Gen. Av de mer än 1,600 200 filer som användare har skickat hittills identifierade CISA cirka XNUMX som misstänkta filer eller webbadresser.
Med CISAs drag denna vecka för att göra plattformen tillgänglig för alla, kan alla organisationer, säkerhetsforskare eller individer skicka in skadliga filer och andra artefakter för analys och rapportering. CISA kommer endast att tillhandahålla analys till registrerade användare på plattformen.
Jason Soroko, senior vice president för produkt hos leverantören av certifikatlivscykelhantering Sectigo, säger att löftet om CISA:s Malware Next-Generation Analysis-plattform ligger i den insikt den potentiellt kan ge. "Andra system koncentrerar sig på att svara på frågan "har detta setts tidigare och är det skadligt", konstaterar han. "CISA:s tillvägagångssätt kan sluta prioriteras annorlunda för att bli "är det här provet skadligt, vad gör det och har det setts tidigare".
Malware Analysis Platform
Flera plattformar – VirusTotal är den mest kända – finns för närvarande tillgängliga som använder flera antivirusskannrar och statiska och dynamiska analysverktyg för att analysera filer och webbadresser för skadlig programvara och annat skadligt innehåll. Sådana plattformar fungerar som ett slags centraliserad resurs för kända skadliga program och tillhörande beteende som säkerhetsforskare och team kan använda för att identifiera och bedöma risker förknippade med ny skadlig programvara.
Hur annorlunda CISA:s Malware Next-Gen kommer att vara från dessa erbjudanden är fortfarande okänt.
"För närvarande har den amerikanska regeringen inte detaljerat vad som skiljer detta från andra tillgängliga sandlådeanalysalternativ med öppen källkod", säger Soroko. Tillgången som registrerade användare kommer att få till analys av skadlig programvara riktad mot amerikanska statliga myndigheter kan vara värdefull, säger han. ”Att få tillgång till CISA:s djupgående analys skulle vara anledningen till att delta. Det återstår att se för de av oss utanför den amerikanska regeringen om detta är bättre eller samma som andra sandlådeanalysmiljöer med öppen källkod.”
Göra skillnad
Callie Guenther, senior manager, cyberhotsforskning på Critical Start, säger att det är möjligt att vissa organisationer initialt kan vara lite försiktiga med att bidra med prover och andra artefakter till en statlig plattform på grund av datakonfidentialitet och problem med efterlevnad. Men den potentiella uppsidan ur hotintelligenssynpunkt kan uppmuntra deltagande, noterar Guenther. "Beslutet att dela med CISA kommer sannolikt att överväga balansen mellan att förbättra den kollektiva säkerheten och att skydda känslig information."
CISA kan differentiera sin plattform och leverera mer värde genom att investera i kapacitet som gör det möjligt att upptäcka prover på sandlådeundvikande skadlig programvara, säger Saumitra Das, vice vd för teknik på Qualys. "CISA borde försöka investera i både AI-baserad klassificering av skadlig kod, såväl som manipuleringsbeständiga dynamiska analystekniker … som bättre skulle kunna avslöja [indikatorer på kompromiss]”, säger han.
Ett större fokus på skadlig programvara som riktar sig mot Linux-system skulle också vara en stor förbättring, säger Das. "Mycket av det nuvarande fokuset ligger på Windows-exempel från EDR-användningsfall, men med [Kubernetes] och molnbaserad migrering är Linux-skadlig programvara på uppgång och är helt annorlunda i sin struktur", säger han.
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
- PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
- Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
- PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
- Källa: https://www.darkreading.com/vulnerabilities-threats/cisa-s-new-malware-analysis-platform-could-enable-better-threat-intelligence
