美國網路安全與基礎設施安全局 (CISA) 本週稍早向所有人開放其惡意軟體下一代分析平台,為各組織提供了分析可疑和潛在惡意檔案、URL 和 IP 位址的新資源。
現在的問題是,組織和安全研究人員將如何使用該平台,以及除了 VirusTotal 和其他惡意軟體分析服務提供的功能之外,它將支援哪種新的威脅情報。
惡意軟體下一代平台使用動態和靜態分析工具來分析提交的樣本並確定它們是否是惡意的。 CISA 表示,它為組織提供了一種及時獲取有關新惡意軟體樣本的可操作資訊的方法,例如一串程式碼可以在受害者係統上執行的功能和操作。該機構指出,此類情報對於企業安全團隊進行威脅追蹤和事件回應至關重要。
CISA 網路安全執行助理總監Eric Goldstein 在一份報告中表示:「我們的新自動化系統使CISA 的網路安全威脅搜尋分析師能夠更好地分析、關聯、豐富數據,並與合作夥伴分享網路威脅見解。 」 準備好的聲明。 “它促進並支持快速有效地應對不斷變化的網路威脅,最終保護關鍵系統和基礎設施。
自從CISA 推出平台 去年 400 月,來自美國聯邦、州、地方、部落和領地政府機構的約 1,600 名註冊用戶向 Malware Next-Gen 提交了樣本進行分析。迄今為止,在用戶提交的 200 多個文件中,CISA 識別出約 XNUMX 個為可疑文件或 URL。
隨著 CISA 本週採取行動,讓每個人都可以使用該平台,任何組織、安全研究人員或個人都可以提交惡意文件和其他工件進行分析和報告。 CISA將僅向平台上的註冊用戶提供分析。
證書生命週期管理供應商 Sectigo 的產品高級副總裁 Jason Soroko 表示,CISA 惡意軟體下一代分析平台的前景在於它可能提供的洞察力。 「其他系統專注於回答『以前是否見過這種情況以及是否是惡意的』這個問題,」他指出。 “CISA 的方法最終可能會被優先考慮為‘這個樣本是否是惡意的,它有什麼作用,以及以前是否見過’。”
惡意軟體分析平台
目前有多個平台(VirusTotal 是最廣為人知的),它們使用多個防毒掃描程式以及靜態和動態分析工具來分析檔案和 URL 中是否存在惡意軟體和其他惡意內容。此類平台充當已知惡意軟體樣本和相關行為的集中資源,安全研究人員和團隊可以使用它來識別和評估與新惡意軟體相關的風險。
CISA 的下一代惡意軟體與這些產品有何不同仍不得而知。
「目前,美國政府尚未詳細說明與其他可用的開源沙箱分析選項有何不同,」索羅科說。他說,註冊用戶對針對美國政府機構的惡意軟體進行分析的存取權限可能很有價值。 「獲得 CISA 的深入分析將是參與的原因。對於我們這些美國政府以外的人來說,這是否比其他開源沙箱分析環境更好或相同還有待觀察。
有所作為
Critical Start 網路威脅研究資深經理 Callie Guenther 表示,由於資料機密性和合規性問題,一些組織最初可能對向政府運作的平台提供樣本和其他工件持謹慎態度。但岡瑟指出,從威脅情報的角度來看,潛在的好處可能會鼓勵參與。 “與 CISA 共享的決定可能會考慮加強集體安全和保護敏感資訊之間的平衡。”
Qualys 工程副總裁 Saumitra Das 表示,CISA 可以透過投資於偵測逃避沙箱的惡意軟體樣本的功能,使其平台脫穎而出並提供更多價值。 “CISA 應該嘗試投資基於人工智慧的惡意軟體樣本分類以及防篡改動態分析技術……這可以更好地發現[妥協指標],」他說。
達斯表示,更加關注針對 Linux 系統的惡意軟體也將是一個巨大的進步。他說:「目前的許多關注點都集中在EDR 用例中的Windows 樣本上,但隨著[Kubernetes] 和雲端原生遷移的發生,Linux 惡意軟體正在增加,並且其結構與Windows 惡意軟體有很大不同。”
