美国网络安全和基础设施安全局 (CISA) 本周早些时候向所有人开放其恶意软件下一代分析平台,为各组织提供了分析可疑和潜在恶意文件、URL 和 IP 地址的新资源。
现在的问题是,组织和安全研究人员将如何使用该平台,以及除了 VirusTotal 和其他恶意软件分析服务提供的功能之外,它将支持哪种新的威胁情报。
恶意软件下一代平台使用动态和静态分析工具来分析提交的样本并确定它们是否是恶意的。 CISA 表示,它为组织提供了一种及时获取有关新恶意软件样本的可操作信息的方法,例如一串代码可以在受害者系统上执行的功能和操作。该机构指出,此类情报对于企业安全团队进行威胁追踪和事件响应至关重要。
CISA 网络安全执行助理总监 Eric Goldstein 在一份报告中表示:“我们的新自动化系统使 CISA 的网络安全威胁搜寻分析师能够更好地分析、关联、丰富数据,并与合作伙伴分享网络威胁见解。” 准备好的陈述。 “它促进并支持快速有效地应对不断变化的网络威胁,最终保护关键系统和基础设施。”
自从CISA 推出平台 去年 400 月,来自美国联邦、州、地方、部落和领地政府机构的约 1,600 名注册用户向 Malware Next-Gen 提交了样本进行分析。迄今为止,在用户提交的 200 多个文件中,CISA 识别出约 XNUMX 个为可疑文件或 URL。
随着 CISA 本周采取行动,让每个人都可以使用该平台,任何组织、安全研究人员或个人都可以提交恶意文件和其他工件进行分析和报告。 CISA将仅向平台上的注册用户提供分析。
证书生命周期管理供应商 Sectigo 的产品高级副总裁 Jason Soroko 表示,CISA 恶意软件下一代分析平台的前景在于它可能提供的洞察力。 “其他系统专注于回答‘以前是否见过这种情况以及是否是恶意的’这个问题,”他指出。 “CISA 的方法最终可能会被优先考虑为‘这个样本是否是恶意的,它有什么作用,以及以前是否见过’。”
恶意软件分析平台
目前有多个平台(VirusTotal 是最广为人知的),它们使用多个防病毒扫描程序以及静态和动态分析工具来分析文件和 URL 中是否存在恶意软件和其他恶意内容。此类平台充当已知恶意软件样本和相关行为的集中资源,安全研究人员和团队可以使用它来识别和评估与新恶意软件相关的风险。
CISA 的下一代恶意软件与这些产品有何不同仍不得而知。
“目前,美国政府尚未详细说明其与其他可用的开源沙箱分析选项有何不同,”索罗科说。他说,注册用户对针对美国政府机构的恶意软件进行分析的访问权限可能很有价值。 “获得 CISA 的深入分析将是参与的原因。对于我们这些美国政府以外的人来说,这是否比其他开源沙箱分析环境更好或相同还有待观察。”
独树一帜
Critical Start 网络威胁研究高级经理 Callie Guenther 表示,由于数据机密性和合规性问题,一些组织最初可能对向政府运行的平台提供样本和其他工件持谨慎态度。但冈瑟指出,从威胁情报的角度来看,潜在的好处可能会鼓励参与。 “与 CISA 共享的决定可能会考虑加强集体安全和保护敏感信息之间的平衡。”
Qualys 工程副总裁 Saumitra Das 表示,CISA 可以通过投资于检测逃避沙箱的恶意软件样本的功能,使其平台脱颖而出并提供更多价值。 “CISA 应该尝试投资基于人工智能的恶意软件样本分类以及防篡改动态分析技术……这可以更好地发现[妥协指标],”他说。
达斯表示,更加关注针对 Linux 系统的恶意软件也将是一个巨大的进步。他说:“当前的很多关注点都集中在 EDR 用例中的 Windows 样本上,但随着 [Kubernetes] 和云原生迁移的发生,Linux 恶意软件正在增加,并且其结构与 Windows 恶意软件有很大不同。”
- SEO 支持的内容和 PR 分发。 今天得到放大。
- PlatoData.Network 垂直生成人工智能。 赋予自己力量。 访问这里。
- 柏拉图爱流。 Web3 智能。 知识放大。 访问这里。
- 柏拉图ESG。 碳, 清洁科技, 能源, 环境, 太阳能, 废物管理。 访问这里。
- 柏拉图健康。 生物技术和临床试验情报。 访问这里。
- Sumber: https://www.darkreading.com/vulnerabilities-threats/cisa-s-new-malware-analysis-platform-could-enable-better-threat-intelligence
