卡巴斯基雲沙盒加快針對複雜威脅的調查和響應

2017年最大規模的數據泄露事故利用了合法軟體的缺陷，所以對高級檢測技術的需求從未如此強烈。為了幫助企業提升對複雜威脅的調查和響應，卡巴斯基實驗室啟動了一項最新的被稱為卡巴斯基雲沙盒的服務。由於其雲端特性，該服務能夠讓企業有機會使用沙盒而無需額外的硬體基礎設施投資。相反，該解決方案作為卡巴斯基威脅服務門戶的一部分，可以通過訂閱獲取。允許客戶在虛擬環境中對可疑文件進行「引爆」，獲取該文件行為的完整報告。該解決方案旨在提高事件響應效率和網路安全取證效率，與此同時不會對企業的IT系統構成風險。

2017年，利用合法軟體缺陷的攻擊手段成為了網路罪犯高效率的商品，因為這樣惡意行為很容易隱藏在受信任的進程中。即使是有經驗的網路安全團隊也無法一直保證能夠識別出使用這種隱藏技巧的惡意軟體。為了實現這一目標，安全團隊必須裝備高級檢測技術，包括沙盒技術，而這一技術通常需要不菲的硬體投資，而這對許多IT安全團隊來說並不容易實現。利用卡巴斯基雲沙盒，可以以服務的形式從卡巴斯基威脅情報門戶獲取到高級檢測和取證功能，讓網路安全團隊既可以受益於先進的技術，又可以確保滿足自己的預算需求。這項服務能夠讓網路安全團隊和安全運營中心（SOC）的專家深入了解惡意軟體的行為和設計，檢測出那些尚未在野外發現的針對性網路威脅。

先進的反規避技術：揭露隱藏的真相

為了引誘惡意軟體顯示器有害的潛在特性，沙盒技術應當具備先進的反規避技術。被涉及在特定軟體環境下運行的惡意程序不會在一台「乾淨」的虛擬機上爆發，而且很可能會不留痕迹地銷毀自身。為了避免這種情況，卡巴斯基雲沙盒採用了多種用戶模擬技術，例如Windows按鈕點擊、文檔滾動、讓惡意軟體有機會暴露自己特殊的例行進程、用戶環境參數隨機化等多種技術。

卡巴斯基雲沙盒，使用虛擬機基礎設施，能夠讓用戶手動和自動檢測可疑文件

日誌系統：任何事件都不會在噪音中被遺漏

當惡意軟體開始執行其毀滅性行為時，卡巴斯基雲沙盒中的另一項創新技術開始生效：其日誌子系統會非侵入式地截獲惡意行為。例如，當一個Word文檔開始表現出可疑行為如開始在計算機內存中創建字元串，執行Shell命令，或者釋放惡意組件（這些行為對文本文檔來說都是異常活動）——這些事件會被卡巴斯基雲安全日誌子系統所記錄。它具有廣泛的功能，可以檢測各種各樣的惡意事件，包括DLL、註冊表項註冊和修改、HTTP和DNS請求、文件創建、刪除和修改等。之後向客戶提供包含數據可視化圖表和屏幕截圖的完整報告，以及便於閱讀的沙盒日誌。

首屈一指的檢測和事故響應性能

卡巴斯基雲沙盒的檢測性能得到了卡巴斯基安全網路（KSN）的大數據實時威脅情報的支持，為客戶提供在野外發現的已知和未知威脅的即時狀態。先進的行為分析基於20多年的卡巴斯基實驗室應對最為複雜威脅的研究經驗，能夠讓客戶檢測出之前從未見過的惡意對象。

除了能夠獲取高級檢測功能外，安全運營中心（SOC）的專家和研究人員還能夠通過卡巴斯基威脅情報門戶放大事故響應活動。在進行數字取證或事故響應時，網路安全人員可以接收有關URL、域名、IP地址、文件散列、威脅名稱、統計/行為數據和WHOIS / DNS數據的最新詳細威脅情報，之後將這些知識與樣本在雲沙盒分析中生成的感染跡象（IOC）相關聯。我們還提供將其自動整合到客戶安全操作中的API，使得網路安全團隊可以在幾分鐘之內增強他們的事故調查能力。

卡巴斯基實驗室首席技術官Nikita Shvetsov評論說：「當今的企業越來越多地收到網路犯罪的威脅，對快速事故響應和數字取證的需求從來沒有如此之大。卡巴斯基雲沙盒是卡巴斯基實驗室全球威脅情報系統的一個重要補充，專門用來應對這些挑戰。作為對卡巴斯基威脅情報門戶客戶可用的大量威脅情報的補充，卡巴斯基雲沙盒是一種獨特的文件分析服務，能夠讓網路安全研究人員和安全運行中心團隊深入了解文件的行為，同時不會給IT基礎設施造成風險」。

要了解更多有關卡巴斯基雲沙盒的詳情，請訪問https://media.kaspersky.com/en/business-security/enterprise/datasheet-kaspersky-cloud-sandbox-eng.pdf.

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！