Hurtig opsporing af hackeren

Hurtig opsporing af hackeren

Kaspersky lancerer en ny trusselsintelligensløsning, der på få sekunder hjælper sikkerhedsoperationscentre (SOC), it-sikkerhedsanalytikere og -forsvarere med at finde de ansvarlige APT-grupper, der tidligere var slørede

Kaspersky har udviklet et nyt værktøj i kampen mod it-kriminelle. Med deres nye Threat Attribution Engine kan man sætte den skadelige kode, man har fundet i sit system, ind i en af verdens største databaser over malware og finde ligheder og sammentræf med bestemte APT (advanced persistance threat) grupper eller kampagner. Disse oplysninger hjælper sikkerhedseksperter med at prioritere højrisikotrusler over mindre alvorlige hændelser.

Hvis man ved, hvem det er, der angriber ens virksomhed, og hvad formålet er, så er det væsentligt nemmere for sikkerhedsteamet at skræddersy det bedste modsvar på angrebet. Normalt er det svært at afdække, hvem der står bag et angreb, og det kræver ikke alene store mængder af trusselsdata, men også de rigtige færdigheder til at fortolke dem. Med Kasperskys nye værktøj, Threat Attribution Engine, er arbejdet med at klassificere og identificere angrebet automatiseret.

Hidtil har løsningen udelukkende været brugt af Kasperskys eget globale it-sikkerhedsresearch- og analyseteam, GReAT. Det verdenskendte team består af erfarne trusselsjægere, der bl.a. har været instrumentelle i afdækningen af trusler, som iOS implantatet LightSpy, TajMahal, ShadowHammerShadowPad og Dtrack kampagnerne.

For at afgøre om en trussel er relateret til en kendt APT-gruppe eller -kampagne, og for at identificere hvem der står bag, går Kaspersky Threat Attribution Engine automatisk ind og nedbryder en nyfunden skadelig fil i små binære stykker. Herefter sammenlignes de med Kasperskys katalog over mere end 60.000 APT-relaterede filer.

For at kunne komme med en mere præcis tilskrivning, indeholder løsningen også en stor database med godsindede, hvidlistede filer. Dette forbedrer kvaliteten af malware-afdækning, identifikation af angriberne og gør det nemmere at udarbejde en god responsplan.

Afhængigt af hvor identisk den analyserede fil er med prøverne i databasen, beregner Kaspersky Threat Attribution Engine en omdømme-score og viser dens mulige oprindelse og forfatter. Samtidig fås en kort beskrivelse med links til både private og offentlige ressourcer, der kan hjælpe en videre, samt en kort beskrivelse af APT-gruppens tidligere kampagner. Abonnementer på Kaspersky APT Intelligence Reporting kan desuden se en dedikeret rapport om den pågældende trusselsaktørs taktik, teknikker og procedurer, samt forslag til respons.

Kaspersky Threat Attribution Engine implementeres på kundens eget ’on-premise’ netværk og ikke på en tredjeparts cloudløsning. På denne måde får virksomheden fuld kontrol over deling af data.

Ud over den nemme og hurtige adgang til trusselsintelligens, kan virksomheden oprette sin egen database med malware fundet af egne it-sikkerhedsfolk. Hermed kan man med Kaspersky Threat Attribution Engine lære at genkende og analysere malware fra ens egen database, men samtidig holde disse oplysninger fortrolige.

"Der er flere måder at afsløre, hvem der står bag et angreb. For eksempel kan en analytiker identificere elementer i malwaren, der viser angribernes modersmål, eller IP-adresser, der indikerer hvor de fysisk er placeret. Men det er ikke et problem for en dygtig it-kriminel at manipulere med denne information, og så kører man nemt fast i sin undersøgelse. Det har vi set mange eksempler på. Vores erfaring viser, at den bedste måde er at lede efter koder, som er identificeret i tidligere angreb. Desværre kan en sådan manuel undersøgelse tage dage eller endda måneder. Ved at automatisere, kan arbejdet gøres lynhurtigt. Og netop derfor har vi valgt at gøre Kasperskys Threat Attribution Engine tilgængelig for vores kunder," siger Costin Raiu, direktør for Kasperskys globale it-sikkerhedsresearch- og analyseteam.

- lb