Обновленная «песочница» «Лаборатории Касперского»

«Лаборатория Касперского» представила версию Kaspersky Research Sandbox 3.0 с расширенными возможностями для ИБ-специалистов. В решении появилась функциональность для более глубокого анализа файлов и интерактивное исследование угроз, при этом теперь можно установить продукт всего на один сервер вместо двух. Технические изменения обеспечат большую гибкость и эффективность использования песочницы, помогут сократить расходы на обнаружение и анализ угроз.

Улучшен анализ вредоносных объектов – появилось визуальное интерактивное взаимодействие во время детонации потенциально вредоносных файлов (в рамках режима Virtual Network Computing, VNC). ИБ-аналитики смогут взаимодействовать со средой выполнения в режиме реального времени, отслеживать поведение вредоносных программ по мере их развертывания и выполнения, а также запускать дополнительные инструменты для более детального исследования. Это позволит проводить углубленный анализ, а также расширит возможности для обнаружения сложных угроз, которые адаптируются под традиционные методы использования песочниц.

Расширен статистический анализ файлов – благодаря этому в исполняемых файлах будет вестись поиск таких ключевых атрибутов, как строки, заголовки, разделы, таблицы импорта и экспорта исполняемых файлов, а также сформирован график энтропии файла. ИБ-специалисты смогут получать дополнительную важную информацию о характеристиках вредоносного ПО.

Предотвращение обхода защитных мер – улучшено обнаружение упакованных и обфусцированных (с преднамеренно запутанным кодом для затруднения анализа) скриптов за счет интеграции с интерфейсом Microsoft AMSI (Antimalware Scan Interface). Поддержка AMSI в том числе позволяет анализировать вредоносные скрипты на PowerShell, которые часто используют атакующие.

Выбор источника глобальных данных об угрозах – теперь в этом качестве можно использовать не только Kaspersky Private Security Network (KPSN), но и Kaspersky Security Network (KSN). Такая гибкость обеспечивает более экономичный и быстрый вариант развертывания решения, что особенно актуально для пилотных проектов. Подключение KSN также позволит вдвое снизить системные требования к оборудованию, так как для KPSN не требуется дополнительный сервер.

Улучшенный дизайн – наряду с серьезным техническим обновлением полностью переработан пользовательский интерфейс, чтобы сделать решение более удобным, а также оптимизировать процесс изучения потенциальных угроз. В частности, улучшилась визуализация страницы «Системные активности» (System Activities): теперь аналитики смогут фильтровать представленные в отчете данные и фокусироваться только на релевантных вредоносных процессах. Функция поиска в таблице истории позволит быстрее находить результаты предыдущего анализа, что поможет ИБ-командам быстро возобновлять прошлые исследования.

Kaspersky Research Sandbox – это автоматизированная система поведенческого и статического анализа файлов и обнаружения угроз. Решение разработано на базе внутреннего лабораторного комплекса-песочницы – запатентованной технологии «лаборатории Касперского», которую компания развивает более 20 лет. В Research Sandbox используются знания о поведении вредоносных программ, накопленные в ходе непрерывного изучения киберугроз.