2017年 Mar月 14日
新增企业情报服务:卡巴斯基网络威胁X光机!
人类拥有旺盛的好奇心,天性就喜欢探索一切事物的”原因”和”手段”。 网络安全也不例外;事实上 – 人类对于网络安全拥有加倍的好奇心:了解网络威胁的”原因”和”手段”是构建网络安全的基础;也是卡巴斯基成立成长的土壤。
对卡巴斯基来说,探索”原因”和”手段”意味着对每一种网络攻击进行细致拆解、全面分析,然后根据需要制定针对这些攻击的具体防御措施。完成这一系列工作最好的办法往往是基于对方的错误主动出击,而不是坐等防御对象受到攻击后被动防守。
为了迎接这一挑战性十足的任务,我们为企业开发了大量智能服务。在这一系列的网络精准工具集合中,有员工培训、能提供所发现攻击的详细信息的安全情报服务、专家渗透测试服务、应用审计、事件调查等等。
现在,”等等”中包含我们的新服务 – KTL(卡巴斯基威胁查找),这种智能显微镜式的功能可用于细致分析可疑的对象,找到网络攻击源头/跟踪攻击历史,多元分析相关性,掌握企业基础架构的危险程度。整个过程相对于给网络威胁拍X光片。
实际上,我们已经为所有用户提供了此项服务的精简版。此外,我们针对家庭用户的产品支持检查文件的安全评级,但企业客户需要对威胁进行更深入、更彻底的分析。
首先,KTL不仅可用于检查文件,还可用于检查URL、IP地址和域。它能分析对象,确定针对性攻击的特点、行为和统计方面的细节、WHOIS/DNS数据、文件属性、下载链及其他信息。
没错,它确实有些像搜索引擎,但搜索的目标只是网络威胁。专业人员只需输入某个可疑对象的详细信息,KTL就能返回该对象的完整内幕信息,包括历史、地理位置及其他多个方面,另外还包括与其他事件和对象的联系。这一切全部实时完成,24/7全天候待命。
分析结果、可疑对象及其他IoC(攻陷指标)可导出为机器可读共享格式(STIX、OpenIOC、JSON、Yara、Snort、CSV…),以便与公司的SIEM(安全信息和事件管理)相集成。
那么KTL是从哪里获得这些数据的呢?数据有下面几个来源。
首先,数据源于卡巴斯基的基于云的KSN,它包含世界各地数亿用户提供的横行网络威胁的匿名信号。通过使用这些数据,客户不仅能更好地保护自己(参与KSN能自动提高防御质量),还有助于履行一个重要的人道主义使命:保护他人,由此帮助降低了整个互联网的总体网络攻击水平。
其次,数据源于卡巴斯基的网络活动分析技术,包括垃圾邮件陷阱、僵尸网络监测、网络爬虫、各种网络传感器以及以机器学习为动力的智能机器人。当然,还有对GReAT网络忍者复杂攻击的调查结果。
再次,数据源于卡巴斯基的合作软件开发商。顺便说一下,这些开发商的作用将随着时间推移越来越重要,最终将成为主导力量。是的,我们有各种面向未来的大计划,但不会在此详细阐述。
下面将简单说说我们的近期计划……
目前,我们正在研究如何添加在安全环境 – 即云沙箱中分析可疑对象的KTL功能。
例如,将一个文件放入沙箱中并在特殊的虚拟机(具有专利日志记录系统)上运行。各个虚拟机彼此之间完全隔离,虚拟机与内部网络完全隔离,与外部的连接受到限制。虚拟机与物理计算机完全相同,因此对象在其中运行感觉和在真实世界中一样安全。随后机器会记录运行对象执行的所有操作(很像卡巴斯基的KATA反针对性攻击平台)。所有结果均编写成详细报告;其中说明了文件若是在真实世界中会有怎样的行为,同时还对威胁行为给予全面审查。
另外,目前在筹备中的还有处理元数据文件和URL的各种有用工具。在即将推出的版本中,将增加提取不同元数据并在这些元数据中进行自定义搜索的功能。因此,可以基于跨各种参数的相似性来对恶意软件进行深入研究,了解复杂攻击的总体情况。例如,借助此工具,可以要求它执行:”启动这项或那项操作时查找文件”、”查找具有此类名称的所有文件”、”查找根据AV引擎的这项或那项判断检测到的文件”或者”查找代码中包含这行或那行的文件”。
所以,正如你看到的,我们将开发了一款多功能网络X光机,但其中一些功能目前已经可用(所以你可以推荐新的有用功能:))。
关于KTL的更多详情,请访问这里。
