«Лаборатория Касперского» обновила Kaspersky Research Sandbox

«Лаборатория Касперского» представляет новую версию Kaspersky Research Sandbox — Kaspersky Research Sandbox 3.0, с расширенными возможностями для ИБ-специалистов. В решении появилась функциональность для более глубокого анализа файлов и интерактивное исследование угроз, при этом теперь можно установить продукт всего на один сервер вместо двух. Технические изменения обеспечат большую гибкость и эффективность использования песочницы, а также помогут организациям сократить расходы на обнаружение и анализ угроз.

Что нового

Улучшенный анализ вредоносных объектов. Появилось визуальное интерактивное взаимодействие во время детонации потенциально вредоносных файлов (в рамках режима Virtual Network Computing, VNC). ИБ-аналитики смогут взаимодействовать со средой выполнения в режиме реального времени, отслеживать поведение вредоносных программ по мере их развертывания и выполнения, а также запускать дополнительные инструменты для более детального исследования. Это позволит проводить углубленный анализ, а также расширит возможности для обнаружения сложных угроз, которые адаптируются под традиционные методы использования песочниц.

Расширенный статический анализ. После обновления пользователям доступен расширенный статический анализ файлов. Благодаря этому в исполняемых файлах будет осуществляться поиск таких ключевых атрибутов, как строки, заголовки, разделы, таблицы импорта и экспорта исполняемых файлов, а также сформирован график энтропии файла. ИБ-специалисты смогут получать дополнительную важную информацию о характеристиках вредоносного ПО.

Предотвращение обхода защитных мер. Злоумышленники постоянно придумывают новые методы обфускации кода (преднамеренное запутывание кода для затруднения его анализа) в рамках кибератак. Значительно улучшить обнаружение упакованных и обфусцированных скриптов в Kaspersky Research Sandbox 3.0 помогает интеграция с интерфейсом Microsoft AMSI (Antimalware Scan Interface). Поддержка AMSI в том числе позволяет анализировать вредоносные скрипты на PowerShell, которые часто используют атакующие. 

Выбор источника данных об угрозах. Теперь в качестве источника глобальных данных о киберугрозах можно использовать не только Kaspersky Private Security Network (KPSN), но и Kaspersky Security Network (KSN). Такая гибкость обеспечивает более экономичный и быстрый вариант развертывания решения, что особенно актуально для пилотных проектов. Подключение KSN также позволит вдвое снизить системные требования к оборудованию, так как не потребуется дополнительный сервер для KPSN. В результате Kaspersky Research Sandbox станет доступнее для компаний с ограниченными ресурсами.

Улучшенный дизайн. Наряду с серьезным техническим обновлением, полностью переработан пользовательский интерфейс, чтобы сделать решение еще более удобным, а также оптимизировать процесс изучения потенциальных угроз. В частности, улучшилась визуализация страницы «Системные активности» (System Activities): теперь аналитики смогут фильтровать представленные в отчете данные и фокусироваться только на релевантных вредоносных процессах. Функция поиска в таблице истории позволит быстрее находить результаты предыдущего анализа, что поможет ИБ-командам быстро возобновлять прошлые исследования. 

«Kaspersky Research Sandbox 3.0 предоставляет ИБ-командам расширенные возможности для анализа, лучшую видимость и контроль за поведением вредоносного ПО. Кроме того, существенно снизился порог входа для организаций с ограниченными аппаратными ресурсами — для локального развертывания песочницы достаточно всего одного сервера. В основе решения Kaspersky Research Sandbox лежат передовые технологии и более чем 20-летний опыт исследований вредоносного ПО и анализа сложных угроз ведущими экспертами «Лаборатории Касперского». С выпуском этой версии продукта командам, отвечающим за кибербезопасность, стал доступен обновленный профессиональный интерактивный инструмент для еще более глубокого изучения вредоносных программ», — комментирует Борис Сторонкин, руководитель продуктов Threat Intelligence «Лаборатории Касперского».