تعتزم شركة « كاسبرسكي » اليوم الاثنين الكشف عن حل Threat Intelligence المصمم خصيصا لتقديم يد المساعدة للمساهمين والمحللين داخل مركز العمليات الأمنية (SOC) من أجل إحالة عينات البرامج الضارة التي تم الكشف عنها إلى مجموعات التهديدات المستعصية المتقدمة « APT » التي تم تحديدها في وقت سابق.
وبفضل أسلوبها المميز والاستثنائي الحاصل على براءة اختراع، يعمل محرك « كاسبرسكي » لإحالة البرمجيات الخبيثة على مقارنة جميع الشفرات الخبيثة الضارة الجديدة التي يتم اكتشافها مع تلك التي تمت الإشارة إليها، في واحدة من أكبر قواعد البيانات في هذا المجال، وذلك بناء على التشابهات وربطها مع مجموعة أو حملة من التهديدات المستعصية المتقدمة على وجه التحديد. مجمل هذه المعلومات تساعد خبراء الأمن على تحديد أولوية التهديدات التي تشكل خطرا كبيرا بالمقارنة مع الحوادث الأقل جسامة.
وتتيح عملية معرفة من يهاجم الشركة والهدف من وراء ذلك لخبراء الأمن وضع خطة عمل ملائمة على وجه السرعة لمواجهة التهديد المحتمل. ورغم ذلك، تظل عملية تحديد المنظمة التي تقف وراء أي هجوم مهمة في غاية الصعوبة ويتطلب الأمر الكثير من المهارات اللازمة لتفسير الأسباب، وأيضا كمية كبيرة من المعلومات حول التهديدات. ومن أجل التعرف على تصنيف البرامج الضارة الأكثر تطورا، تكشف « كاسبرسكي » على محركها الجديد لإحالة التهديدات عبر الموقع التالي:.Kaspersky Threat Attribution Engine.
وتم تطوير الحل اعتمادا على أداة داخلية يستخدمها فريق البحث والتحليل العالمي (GReAT) التابع لشركة « كاسبرسكي »، كما تم استخدام محرك « كاسبرسكي » لإحالة التهديدات في سياق التحقيقات حول البرمجيات الضارة » iOS LightSpy » وحملات « تاج محل »، و ShadowHammer، ShadowPad، وأيضا » Dtrack ».
خبر سار.. يقترح « le GReAT » تقديم عرض توضيحي حول هذه الخاصية خلال الجلسة الأولى من « GReAT talks » المرتقب تنظيمها يوم الأربعاء 17 يونيو على الساعة الرابعة بعد الزوال، ويمكن التسجيل من خلال الضغط على هذا الرابط.
قم بمقارنة كل رمز جديد ضار مع 60 ألف رمز تم تحديده سلفا من لدن « كاسبرسكي »
من أجل تحديد إذا ما كان التهديد مرتبطا بمجموعة أو حملة معروفة من التهديدات المستعصية المتقدمة، ومن أجل التعرف عليه، يقوم محرك إحالة التهديدات من « كاسبرسكي » بشكل آلي بتقسيم الرموز الثنائية لكل برنامج ضار جديد تم اكتشافه.
بعد ذلك، يتم مقارنة هذه العينات مع العينات التي تم تسجيلها سابقا في قاعدة بيانات « كاسبرسكي »، والتي تضم أكثر من 60 ألف ملف مرتبط مباشر مع التهديدات المستعصية المتقدمة.
ولزيادة صقل عملية الكشف عن البرمجات الضارة وتحديد صاحب الهجوم، يشمل الحل كذلك قاعدة بيانات ملفات كبيرة مدرجة في القائمة البيضاء (قائمة بيضاء مصفاة). ويسمح هذا التكوين بزيادة جودة التعرف على البرامج الضارة والهجمات بشكل كبير، لتسهيل تنفيذ الاستجابة لكل حادث.
وعلى أساس أوجه الشبه بين الملف الذي تم تحليله والعينات في قاعدة البيانات، يحدد Kaspersky Habits Attricution Engineering درجة سمعته. ويقوم أيضا على تسليط الضوء على أصل البرنامج ومؤلفه، وذلك من خلال ملخص قصير للتحليل يتضمن روابط بالموارد الخاصة والعامة، فضلا عن الحملات السابقة التي يمكن ربطها بالعينة التي تم تحليلها.
ويمكن للشركات التي تستخدم تقارير معلومات التهديدات المستعصية المتقدمة من « كاسبرسكي » الوصول إلى تقرير مخصص للتكتيكات والتقنيات والإجراءات التي يستخدمها ممثل التهديد المعني، بالإضافة إلى الردود المحتملة على الهجوم.
تم تصميم محرك « كاسبرسكي » لإحالة البرمجيات الخبيثة ليتم نشره ضمن شبكة الشركة، « في موقع الشركة »، بدلا من نشره في بيئة سحابية توفرها جهة خارجية، وهو ما يمنح الشركة المزيد من التحكم في مشاركة البيانات السرية والحساسة داخل الشركة، بالإضافة إلى قاعدة بيانات المعلومات المتعلقة بالتهديدات المتكاملة التي توفرها « كاسبرسكي ». كما يمكن للشركات أيضا إنشاء قاعدة بياناتها الخاصة وإكمالها بعينات من البرامج الضارة المحددة باستخدام محللها الداخليين. وبناء على هذه الطريقة، يتعلم الحل التعرف على منشئ البرامج الضارة المتشابهة الموجود في قاعدة بيانات الشركة، مع ضمان سرية هذه المعلومات.
وتعليقا على الموضوع، قال كوستين رايو، مدير فريق الأبحاث والتحليلات العالمية (Great) في كاسبرسكي : » هناك العديد من الطرق من أجل إحالة الهجوم، وأذكر على سبيل المثال أنه يمكن للمحللين الاعتماد على منتجات البرامج الضارة التي يمكنها تحديد اللغة الأصلية للمؤلفين، أو عناوين IP التي تقترح موقعها. ولكن، كما لوحظ في العديد من الحالات، يمكن بسهولة التلاعب في هذه البيانات بواسطة مجرم إلكتروني ماهر لإبطاء التحقيق أو حتى منع الوصول إلى الحل.و توضح تجربتنا أن أفضل طريقة هي البحث عن رمز تمت مشاركته بين العينات وغيرها من الرموز التي تم تحديدها بالفعل أثناء الحوادث أو الحملات السابقة. ولكن من المؤسف أن مثل هذا التحقيق الذي يتم بشكل فردي وبدون التشغيل التلقائي، قد يستغرق أياماً أو حتى أشهراً طويلة بالنسبة للمحللين. ومن أجل تسريع هذا التحليل، أنشأنا Kaspersky TURCES Engine، المتوفر الآن لخدمات الأمن في كل شركة ».
وابتداء من اليوم، أضحى محرك « كاسبرسكي » لإحالة البرمجيات الخبيثة متوفرا في جميع أنحاء العالم. ومن أجل الحصول على معلومات أوفى، يمكنهم زيارة موقعنا.
