Logo Zephyrnet

Trí thông minh dữ liệu tạo

An ninh mạng

Nền tảng phân tích phần mềm độc hại của CISA có thể thúc đẩy mối đe dọa tốt hơn cho Intel

Được xuất bản lại bởi Plato
Được xuất bản lại bởi Plato

Ngày:

Lượt xem: 55

Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) đã cung cấp cho các tổ chức một tài nguyên mới để phân tích các tệp, URL và địa chỉ IP đáng ngờ và có khả năng độc hại bằng cách cung cấp nền tảng Phân tích thế hệ phần mềm độc hại tiếp theo cho mọi người vào đầu tuần này.

Câu hỏi bây giờ là các tổ chức và nhà nghiên cứu bảo mật sẽ sử dụng nền tảng như thế nào và loại thông tin về mối đe dọa mới nào sẽ được cung cấp ngoài những gì có sẵn thông qua VirusTotal và các dịch vụ phân tích phần mềm độc hại khác.

Nền tảng Malware Next-Gen sử dụng các công cụ phân tích động và tĩnh để phân tích các mẫu được gửi và xác định xem chúng có độc hại hay không. CISA cho biết, nó cung cấp cho các tổ chức một cách để có được thông tin kịp thời và hữu ích về các mẫu phần mềm độc hại mới, chẳng hạn như chức năng và hành động mà một chuỗi mã có thể thực thi trên hệ thống nạn nhân. Cơ quan này lưu ý rằng thông tin tình báo như vậy có thể rất quan trọng đối với các nhóm bảo mật doanh nghiệp nhằm mục đích tìm kiếm mối đe dọa và ứng phó sự cố.

Eric Goldstein, trợ lý giám đốc điều hành an ninh mạng của CISA cho biết: “Hệ thống tự động mới của chúng tôi cho phép các nhà phân tích săn lùng mối đe dọa an ninh mạng của CISA phân tích, tương quan, làm phong phú dữ liệu tốt hơn và chia sẻ thông tin chi tiết về mối đe dọa mạng với các đối tác”. tuyên bố chuẩn bị. 'Nó tạo điều kiện và hỗ trợ phản ứng nhanh chóng và hiệu quả trước các mối đe dọa mạng đang gia tăng, cuối cùng là bảo vệ các hệ thống và cơ sở hạ tầng quan trọng.”

Kể từ CISA ra mắt nền tảng Tháng 400 năm ngoái, khoảng 1,600 người dùng đã đăng ký từ nhiều cơ quan chính phủ liên bang, tiểu bang, địa phương, bộ lạc và lãnh thổ của Hoa Kỳ đã gửi mẫu để phân tích cho Malware Next-Gen. Trong số hơn 200 tệp mà người dùng đã gửi cho đến nay, CISA đã xác định khoảng XNUMX tệp là tệp hoặc URL đáng ngờ.

Với động thái của CISA trong tuần này nhằm cung cấp nền tảng cho mọi người, bất kỳ tổ chức, nhà nghiên cứu bảo mật hoặc cá nhân nào cũng có thể gửi các tệp độc hại và các tạo phẩm khác để phân tích và báo cáo. CISA sẽ chỉ cung cấp phân tích cho người dùng đã đăng ký trên nền tảng.

Jason Soroko, phó chủ tịch cấp cao về sản phẩm của nhà cung cấp quản lý vòng đời chứng chỉ Sectigo, cho biết lời hứa về nền tảng Phân tích phần mềm độc hại thế hệ tiếp theo của CISA nằm ở khả năng hiểu biết sâu sắc mà nền tảng này có thể cung cấp. Ông lưu ý: “Các hệ thống khác tập trung trả lời câu hỏi 'điều này đã từng xảy ra trước đây chưa và nó có độc hại không'. “Cách tiếp cận của CISA cuối cùng có thể được ưu tiên khác nhau để trở thành 'mẫu này có độc hại không, nó làm gì và điều này đã từng được thấy trước đây chưa'."

Nền tảng phân tích phần mềm độc hại

Một số nền tảng — VirusTotal là nền tảng được biết đến rộng rãi nhất — hiện có sẵn, sử dụng nhiều trình quét chống vi-rút và các công cụ phân tích tĩnh và động để phân tích các tệp và URL để tìm phần mềm độc hại và nội dung độc hại khác. Các nền tảng như vậy đóng vai trò như một loại tài nguyên tập trung cho các mẫu phần mềm độc hại đã biết và hành vi liên quan mà các nhà nghiên cứu và nhóm bảo mật có thể sử dụng để xác định và đánh giá rủi ro liên quan đến phần mềm độc hại mới.

Phần mềm độc hại Thế hệ tiếp theo của CISA sẽ khác biệt như thế nào so với các dịch vụ này vẫn chưa được biết.

Soroko nói: “Tại thời điểm này, chính phủ Hoa Kỳ chưa trình bày chi tiết điều gì làm cho giải pháp này khác biệt với các tùy chọn phân tích sandbox nguồn mở khác hiện có”. Ông nói, quyền truy cập mà người dùng đã đăng ký sẽ có được để phân tích phần mềm độc hại nhắm vào các cơ quan chính phủ Hoa Kỳ có thể có giá trị. “Được tiếp cận với phân tích chuyên sâu của CISA sẽ là lý do để tham gia. Những người trong chúng tôi bên ngoài chính phủ Hoa Kỳ vẫn còn phải xem liệu điều này tốt hơn hay giống với các môi trường phân tích hộp cát nguồn mở khác.”

Tạo nên sự khác biệt

Callie Guenther, quản lý cấp cao, bộ phận nghiên cứu mối đe dọa mạng tại Critical Start, cho biết có thể ban đầu một số tổ chức có thể hơi thận trọng khi đóng góp mẫu và các hiện vật khác cho nền tảng do chính phủ điều hành vì các vấn đề về tuân thủ và bảo mật dữ liệu. Nhưng lợi thế tiềm tàng từ quan điểm tình báo về mối đe dọa có thể khuyến khích sự tham gia, Guenther lưu ý. “Quyết định chia sẻ với CISA có thể sẽ xem xét sự cân bằng giữa việc tăng cường an ninh tập thể và bảo vệ thông tin nhạy cảm.”

Saumitra Das, phó chủ tịch kỹ thuật tại Qualys, cho biết CISA có thể tạo sự khác biệt cho nền tảng của mình và mang lại nhiều giá trị hơn bằng cách đầu tư vào các khả năng cho phép nó phát hiện các mẫu phần mềm độc hại trốn tránh hộp cát. "CISA nên cố gắng đầu tư vào cả việc phân loại mẫu phần mềm độc hại dựa trên AI cũng như các kỹ thuật phân tích động chống giả mạo… để có thể phát hiện ra [các chỉ số thỏa hiệp] tốt hơn,” ông nói.

Das cho biết, việc tập trung nhiều hơn vào phần mềm độc hại nhắm mục tiêu vào hệ thống Linux cũng sẽ là một cải tiến lớn. Ông cho biết: “Phần lớn trọng tâm hiện tại là các mẫu Windows từ các trường hợp sử dụng EDR nhưng với [Kubernetes] và quá trình di chuyển trên nền tảng đám mây đang diễn ra, phần mềm độc hại Linux đang gia tăng và có cấu trúc khá khác biệt so với phần mềm độc hại Windows.

tại chỗ_img

Tin tức mới nhất

tại chỗ_img

Bản quyền @ 2024 Plato Technologies Inc.