Агентство з кібербезпеки та безпеки інфраструктури США (CISA) надало організаціям новий ресурс для аналізу підозрілих і потенційно шкідливих файлів, URL-адрес і IP-адрес, зробивши свою платформу Malware Next-Gen Analysis доступною для всіх на початку цього тижня.
Питання полягає в тому, як організації та дослідники безпеки використовуватимуть платформу та яку нову інформацію про загрози вона забезпечить, крім того, що доступне через VirusTotal та інші служби аналізу зловмисного програмного забезпечення.
Платформа Malware Next-Gen використовує інструменти динамічного та статичного аналізу для аналізу надісланих зразків і визначення їх шкідливості. Це дає організаціям можливість отримувати своєчасну та корисну інформацію про нові зразки зловмисного програмного забезпечення, наприклад про функціональні можливості та дії, які рядок коду може виконувати в системі-жертві, повідомляє CISA. Така розвідувальна інформація може мати вирішальне значення для груп безпеки підприємства для виявлення загроз і реагування на інциденти, зазначає агентство.
«Наша нова автоматизована система дозволяє аналітикам CISA з пошуку кіберзагроз краще аналізувати, співвідносити, збагачувати дані та ділитися інформацією про кіберзагрози з партнерами», — сказав Ерік Голдштейн, виконавчий помічник директора з кібербезпеки CISA. підготовлена заява. "Це полегшує та підтримує швидке та ефективне реагування на нові кіберзагрози, зрештою захищаючи критично важливі системи та інфраструктуру».
Починаючи з CISA викотили платформу У жовтні минулого року близько 400 зареєстрованих користувачів з різних федеральних, державних, місцевих, племінних і територіальних урядових установ США надіслали зразки для аналізу Malware Next-Gen. CISA ідентифікувала близько 1,600 із понад 200 файлів, які надіслали користувачі, як підозрілі файли або URL-адреси.
З кроком CISA цього тижня, щоб зробити платформу доступною для всіх, будь-яка організація, дослідник безпеки чи окрема особа може надіслати шкідливі файли та інші артефакти для аналізу та звітування. CISA надаватиме аналіз лише зареєстрованим користувачам платформи.
Джейсон Сороко, старший віце-президент із продуктів постачальника управління життєвим циклом сертифікатів Sectigo, каже, що платформа аналізу наступного покоління зловмисного програмного забезпечення від CISA перспективна в розумінні, яке вона потенційно може надати. «Інші системи зосереджуються на відповіді на запитання «чи було це раніше і чи є воно зловмисним», — зазначає він. «Підхід CISA може в кінцевому підсумку отримати інший пріоритет, щоб стати «чи цей зразок зловмисний, що він робить і чи бачили це раніше».
Платформа аналізу шкідливих програм
Наразі доступно кілька платформ — найвідоміша — VirusTotal, які використовують численні антивірусні сканери та інструменти статичного та динамічного аналізу для аналізу файлів і URL-адрес на наявність шкідливого програмного забезпечення та іншого шкідливого вмісту. Такі платформи служать свого роду централізованим ресурсом для відомих зразків зловмисного програмного забезпечення та пов’язаної з ним поведінки, які дослідники безпеки та команди можуть використовувати для виявлення та оцінки ризику, пов’язаного з новим шкідливим програмним забезпеченням.
Наскільки Malware Next-Gen від CISA відрізнятиметься від цих пропозицій, залишається невідомим.
«На даний момент уряд США не уточнив, чим це відрізняється від інших доступних варіантів аналізу пісочниці з відкритим кодом», — каже Сороко. За його словами, доступ, який зареєстровані користувачі отримають до аналізу зловмисного програмного забезпечення, націленого на урядові установи США, може бути цінним. «Отримання доступу до поглибленого аналізу CISA було б причиною для участі. Тим з нас, які не належать до уряду США, ще належить побачити, чи це краще чи таке ж, як інші середовища аналізу пісочниці з відкритим кодом».
Створення різниця
Каллі Ґюнтер, старший менеджер із дослідження кіберзагроз у Critical Start, каже, що деякі організації можуть спочатку бути трохи обережними щодо внесення зразків та інших артефактів на державну платформу через проблеми з конфіденційністю даних і відповідністю. Але потенційний плюс з точки зору аналізу загроз може заохотити участь, зазначає Гюнтер. «Рішення поділитися з CISA, ймовірно, враховуватиме баланс між посиленням колективної безпеки та захистом конфіденційної інформації».
За словами Саумітра Дас, віце-президента з розробки Qualys, CISA може виділити свою платформу та збільшити цінність, інвестуючи в можливості, які дозволяють виявляти зразки зловмисного програмного забезпечення, що ухиляються від пісочниці. "CISA має спробувати інвестувати як у класифікацію зразків зловмисного програмного забезпечення на основі штучного інтелекту, так і в методи динамічного аналізу, захищені від несанкціонованого втручання… які могли б краще виявляти [індикатори компрометації]», — каже він.
Більша увага до зловмисного програмного забезпечення, націленого на системи Linux, також буде великим покращенням, каже Дас. «Багато уваги приділяється зразкам Windows із сценаріїв використання EDR, але з [Kubernetes] і міграцією в хмару, що відбувається, зловмисне програмне забезпечення Linux зростає, і воно значно відрізняється за своєю структурою», — каже він.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- джерело: https://www.darkreading.com/vulnerabilities-threats/cisa-s-new-malware-analysis-platform-could-enable-better-threat-intelligence
