ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Kötü Amaçlı Yazılım Yeni Nesil Analiz platformunu bu hafta başında herkesin kullanımına sunarak kuruluşlara şüpheli ve potansiyel olarak kötü amaçlı dosyaları, URL’leri ve IP adreslerini analiz etmek için yeni bir kaynak sağladı.
Şimdi asıl soru, kuruluşların ve güvenlik araştırmacılarının platformu nasıl kullanacakları ve VirusTotal ve diğer kötü amaçlı yazılım analiz hizmetleri aracılığıyla elde edilenlerin ötesinde ne tür yeni tehdit istihbaratına olanak sağlayacağıdır.
Malware Next-Gen platformu, gönderilen örnekleri analiz etmek ve bunların kötü amaçlı olup olmadığını belirlemek için dinamik ve statik analiz araçlarını kullanır. CISA, kuruluşlara, bir kod dizisinin kurban bir sistemde yürütebileceği işlevsellik ve eylemler gibi yeni kötü amaçlı yazılım örnekleri hakkında zamanında ve eyleme dönüştürülebilir bilgiler edinmenin bir yolunu sağladığını söyledi. Ajans, bu tür istihbaratın kurumsal güvenlik ekipleri için tehdit avcılığı ve olaylara müdahale amacıyla hayati önem taşıyabileceğini belirtti.
CISA’nın siber güvenlikten sorumlu yönetici yardımcısı Eric Goldstein, “Yeni otomatik sistemimiz, CISA’nın siber güvenlik tehdit avcılığı analistlerinin verileri daha iyi analiz etmesine, ilişkilendirmesine, zenginleştirmesine ve siber tehdit içgörülerini ortaklarla paylaşmasına olanak tanıyor” dedi. hazırlanmış beyan. “Gelişen siber tehditlere hızlı ve etkili müdahaleyi kolaylaştırıyor ve destekliyor, sonuçta kritik sistemleri ve altyapıyı koruyor.”
CISA’dan bu yana platformu kullanıma sunduk Geçtiğimiz Ekim ayında, çeşitli ABD federal, eyalet, yerel, kabile ve bölgesel hükümet kurumlarından yaklaşık 400 kayıtlı kullanıcı, Malware Next-Gen’e analiz için örnekler gönderdi. CISA, şimdiye kadar kullanıcıların gönderdiği 1.600’den fazla dosyadan yaklaşık 200’ünün şüpheli dosya veya URL olduğunu belirledi.
CISA’nın bu hafta platformu herkesin kullanımına sunma hamlesiyle birlikte, herhangi bir kuruluş, güvenlik araştırmacısı veya birey, kötü amaçlı dosyaları ve diğer yapıları analiz ve raporlama için gönderebilir. CISA, yalnızca platformdaki kayıtlı kullanıcılara analiz sağlayacaktır.
Sertifika yaşam döngüsü yönetimi tedarikçisi Sectigo’nun üründen sorumlu kıdemli başkan yardımcısı Jason Soroko, CISA’nın Yeni Nesil Kötü Amaçlı Yazılım Analizi platformunun vaadinin, potansiyel olarak sağlayabileceği içgörüde yattığını söylüyor. “Diğer sistemler ‘bu daha önce görüldü mü ve kötü niyetli mi’ sorusunu yanıtlamaya odaklanıyor” diye belirtiyor. “CISA’nın yaklaşımı, ‘bu örnek kötü amaçlı mı, ne işe yarıyor ve bu daha önce görüldü mü’ şeklinde farklı şekilde önceliklendirilebilir.”
Kötü Amaçlı Yazılım Analiz Platformu
Dosyaları ve URL’leri kötü amaçlı yazılım ve diğer kötü amaçlı içeriklere karşı analiz etmek için birden fazla antivirüs tarayıcısı ve statik ve dinamik analiz aracı kullanan çeşitli platformlar (en yaygın olarak bilineni VirusTotal’dır) şu anda mevcuttur. Bu tür platformlar, güvenlik araştırmacılarının ve ekiplerinin yeni kötü amaçlı yazılımlarla ilişkili riskleri tanımlamak ve değerlendirmek için kullanabileceği, bilinen kötü amaçlı yazılım örnekleri ve ilgili davranışlar için bir tür merkezi kaynak görevi görür.
CISA’nın Yeni Nesil Kötü Amaçlı Yazılım ürününün bu tekliflerden ne kadar farklı olacağı bilinmiyor.
Soroko, “Şu anda ABD hükümeti, bunu mevcut diğer açık kaynaklı sanal alan analiz seçeneklerinden farklı kılan şeyin ne olduğunu ayrıntılı olarak açıklamadı” diyor. Kayıtlı kullanıcıların ABD devlet kurumlarını hedef alan kötü amaçlı yazılımların analizine erişebilmesinin değerli olabileceğini söylüyor. “Katılmanın nedeni CISA’nın derinlemesine analizine erişim sağlamak olacaktır. ABD hükümeti dışındaki bizler için bunun daha iyi olup olmadığı veya diğer açık kaynaklı sanal alan analiz ortamlarıyla aynı olup olmadığı görülecektir.”
Bir farklılık yaratmak
Critical Start’ta siber tehdit araştırması üst düzey yöneticisi Callie Guenther, bazı kuruluşların veri gizliliği ve uyumluluk sorunları nedeniyle başlangıçta devlet tarafından işletilen bir platforma örnekler ve diğer eserler ekleme konusunda biraz ihtiyatlı davranmasının mümkün olduğunu söylüyor. Ancak Günther, tehdit istihbaratı açısından potansiyel olumlu durumun katılımı teşvik edebileceğini belirtiyor. “CISA ile paylaşma kararı muhtemelen kolektif güvenliğin artırılması ile hassas bilgilerin korunması arasındaki dengeyi dikkate alacaktır.”
Qualys mühendislikten sorumlu başkan yardımcısı Saumitra Das, CISA’nın sanal alandan kaçan kötü amaçlı yazılım örneklerini tespit etmesini sağlayan yeteneklere yatırım yaparak platformunu farklılaştırabileceğini ve daha fazla değer sunabileceğini söylüyor. “CISA, kötü amaçlı yazılım örneklerinin hem AI tabanlı sınıflandırmasına hem de kurcalamaya dayanıklı dinamik analiz tekniklerine yatırım yapmaya çalışmalıdır. [indicators of compromise],” diyor.
Das, Linux sistemlerini hedef alan kötü amaçlı yazılımlara daha fazla odaklanılmasının da büyük bir gelişme olacağını söylüyor. “Mevcut odak noktasının büyük bir kısmı EDR kullanım örneklerinden alınan Windows örnekleri üzerindedir ancak [Kubernetes] ve bulut tabanlı geçiş gerçekleştiğinde, Linux kötü amaçlı yazılımları artıyor ve yapıları Windows kötü amaçlı yazılımlarından oldukça farklı” diyor.