Инструмент помогает аналитикам SOC-команд и сотрудникам отделов по реагированию на киберинциденты сопоставлять новые вредоносные операции с уже известными, эффективно определять источники и организаторов.
Чтобы выяснить, от какой именно кибергруппы исходит угроза, решение Kaspersky Threat Attribution Engine разбирает обнаруженный образец вредоносного кода на отдельные фрагменты, а затем ищет сходства в базе «Лаборатории Касперского». Эта информация помогает экспертам по кибербезопасности приоритизировать угрозы по степени риска, выделять наиболее серьёзные из них и вовремя принимать защитные меры.
Зная, кто и с какой целью атакует компанию, сотрудники отделов по кибербезопасности могут быстро разработать и запустить план по реагированию на киберинцидент. Однако определение авторства — это сложная задача, для решения которой требуется не только большой объём информации о ранее происходивших инцидентах, но и умение её интерпретировать. Новый инструмент позволяет автоматизировать процесс классификации и распознавания сложного вредоносного ПО.
В зависимости от того, насколько анализируемый файл похож на образцы, хранящиеся в базе, решение Kaspersky Threat Attribution Engine определяет возможное происхождение и кибергруппу, стоящую за атакой, даёт короткое описание и ссылки на частные и публичные ресурсы с информацией о кампаниях, где был задействован сходный код. Подписчикам Kaspersky APT Intelligence Reporting доступен также подробный отчёт о тактиках, техниках и процедурах, используемых кибергруппой, и инструкция, как действовать дальше.
В основу решения лёг внутренний инструмент, используемый командой GReAT*. В частности, с его помощью изучались iOS-имплант LightSpy, TajMahal, ShadowHammer и Dtrack. Одно из наиболее свежих расследований, для которого применялся Kaspersky Threat Attribution Engine, — кампания кибершпионажа CactusPete, направленная на финансовые и военные организации в Восточной Европе. В период с марта 2019 по апрель 2020 года эксперты обнаружили 300 относящихся к ней вредоносных образцов.
Решение Kaspersky Threat Attribution Engine может быть развёрнуто в сети клиента, также в 2021 году станет доступно развёртывание в сторонней облачной сети. Кроме того, оно может быть использовано для создания собственной базы и заполнения её вредоносными образцами, которые находят аналитики компании-заказчика.
«Есть разные способы определять, кто именно стоит за атакой. Например, аналитики могут находить во вредоносном коде некие артефакты, которые указывают на язык, на котором говорят атакующие, или IP-адреса, позволяющие предположить их местонахождение. Однако продвинутые кибергруппы могут подделывать такого рода данные и направлять исследователя по ложному следу — это происходит довольно часто. Наш опыт показывает, что лучший способ — искать сходные фрагменты кода с теми, что использовались ранее в других кампаниях. К сожалению, если делать это вручную, то на это могут уходить дни и даже месяцы. Чтобы автоматизировать и ускорить процесс, мы создали Kaspersky Threat Attribution Engine», — комментирует Сергей Новиков, заместитель руководителя глобального центра исследований и анализа угроз.
Более подробно о решении можно узнать на странице https://www.kaspersky.ru/enterprise-security/cyber-attack-attribution-tool.
*Kaspersky Global Research and Analysis Team – глобальный центр исследований и анализа угроз «Лаборатории Касперского»
Материал подготовлен АО "Лаборатория Касперского"
Среди основных обновлений – изменения службы уведомлений, Telegram-бота, VPN, Xauth, а также отказ от службы «Веб-фильтр SkyDNS» и соответствующих категорий и стандартного набора правил
«МойОфис» и «СёрчИнформ» подтвердили совместимость своих продуктов: решения для совместной работы и хранения документов «МойОфис Документы Онлайн» и DLP-системы для защиты от утечек информации «СёрчИнформ КИБ»
«Группа Астра» объявляет о выходе службы каталога ALD Pro 2.5.0. Этот релиз содержит несколько десятков дополнений и улучшений, благодаря которым продукт стал еще более безопасным, надежным, производительным и удобным в использовании
Компания «Киберпротект» представила обновление Кибер Протего. Начиная с версии 10.5, в российской DLP-системе существенно расширены возможности для Linux-инфраструктур, добавлены новые контролируемые каналы передачи данных, функции контроля рабочего времени
Версия 1.9.14 является развитием редакции 1.9 «1С:Библиотека электронных документов 8», которая предназначена для обеспечения обмена электронными документами в прикладных решениях, разработанных на платформе «1С:Предприятие» версии 8.3.24.1548 и выше
Решение для интеллектуального корпоративного поиска Content AI Intelligent Search, cерверное решение для распознавания и конвертации документов ContentReader® Server и многофункциональный OCR SDK для разработчиков ContentReader® Engine получили официальный статус продуктов с признаками искусственного интеллекта. Это подтвердила экспертиза, проводимая специалистами Минцифры РФ
ФСТЭК России сертифицировал Dr.Web Industrial для защиты серверов и рабочих станций в промышленных системах управления.
Deckhouse Kubernetes Platform (DKP) от компании «Флант» достигла значимого показателя – к началу 2025 года количество кластеров под управлением платформы превысило 1000, охватывая широкий спектр отраслей: ретейл, промышленность, банкинг, финтех, сырьевые компании, госструктуры, ИТ, медицину, образование, логистику и СМИ. Большой проектный опыт позволил разработчику занять лидирующие позиции по контрибуциям в Kubernetes среди российских компаний и стать отраслевым технологическим стандартом.
Его появление в портфолио продуктов компании обусловлено мировым трендом на развитие платформ по защите облачных рабочих нагрузок
Ваши контактные данные не публикуются на сайте.