أصبحت تقنية كاسبرسكي المعروفة بـ Sandboxing، أو فحص البرمجيات في بيئة منعزلة، متاحة الآن لاستخدام العملاء في شبكاتهم، من خلال الحلّ Kaspersky Research Sandbox الذي صُمّم ليُوظَّف في مقارّ العمل للشركات التي تطبّق قيودًا صارمة على مشاركة البيانات، وذلك لتمكينها من بناء مراكز عمليات أمنية داخلية أو تشكيل فرق للاستجابة لطوارئ الحاسوب. ويساعد هذا الحل على اكتشاف التهديدات الموجّهة وتحليلها مع ضمان الاحتفاظ بجميع الملفات التي يجري فحصها داخل مقرّ الشركة.
وكشفت دراسة استطلاعية أجرتها كاسبرسكي العام الماضي بين مجموعة من صانعي القرار في مجال تقنية المعلومات عن تعرض حوالي نصف الشركات (48%) في منطقة الشرق الأوسط وتركيا وإفريقيا لهجوم موجّه. وغالبًا ما تُصمّم هذه التهديدات للعمل في سياق محدّد داخل الشركة الضحية؛ فقد لا يؤدي الملف الخبيث دوره التخريبي حتى يُفتَح تطبيق محدد في النظام، على سبيل المثال، أو ما لم يتصفح المستخدم مستندًا ما. وبالإضافة إلى ذلك، يمكن لبعض الملفات أن تُحدّد أنها ليست بعدُ في بيئة المستخدم النهائي ما لم يوجد ما يشير إلى أن هناك شخصًا يعمل على الجهاز المتصل بالشبكة (النقطة الطرفية)، بالتالي لن تقوم تلك الملفات بتشغيل الشيفرات الخبيثة. ومع ذلك، ونظرًا لأن مركز العمليات الأمنية يتلقى في العادة الكثير من التنبيهات الأمنية، فسيصعب على المحللين التحقّق من كل منها يدويًا لتحديد أيها أكثر خطورة.
وبات بالإمكان الآن تطبيق تقنيات Sandboxing من كاسبرسكي داخل الشركات، لمساعدتها على تحليل التهديدات المتقدمة تحليلًا أدقّ، وفي الوقت المناسب. ويحاكي الحلّ Kaspersky Research Sandbox، افتراضيًا، طريقة عمل نظام الشركة باستخدام معلّمات عشوائية (مثل اسم المستخدم واسم الحاسوب وعنوان بروتوكول الإنترنت IP وما إلى ذلك) ويقلّد بيئة يجري استخدامها بنشاط، لتعجز البرمجيات الخبيثة عن تمييز أنه يجري تشغيلها على جهاز افتراضي.
وجرى تطوير Kaspersky Research Sandbox من مجمّع يستخدمه باحثو كاسبرسكي المختصون في مكافحة البرمجيات الخبيثة التابعون للشركة باستخدام تقنيات Sandboxing. ولكن الشركة قررت جعل هذه التقنيات متاحة للعملاء ضمن حلّ داخلي معزول يُثبّت على أنظمتها. لذلك، فإن جميع الملفات التي تخضع للتحليل لن تغادر مقرّ الشركة، ما يجعل الحلّ مناسبًا للشركات التي تطبّق قيودًا صارمة على مشاركة البيانات.
يحتوي Kaspersky Research Sandbox على واجهة برمجية خاصة تتيح تكامله مع حلول الأمن الأخرى، لتتمكّن تلقائيًا من إرسال أي ملف مشبوه للتحليل. كما يمكن إرسال نتائج التحليل إلى نظام إدارة مهام مركز العمليات الأمنية. وتعمل أتمتة المهام المتكررة على تقليل الوقت اللازم للتحقيق في أي حادث أمني.
ويتيح تركيب الحلّ ضمن شبكة الشركة المزيد من الإمكانات التي تمكّنه من عكس صورة بيئة التشغيل بدقة، فقد أصبح بالإمكان الآن توصيل الأجهزة الافتراضية التي يشكّلها الحلّ Kaspersky Research Sandbox بالشبكة الداخلية للشركة، ما يعني إمكانية الكشف عن البرمجيات الخبيثة المصممة للتشغيل في بنية تحتية معينة، وفهم مقاصدها التخريبية.
وعلامة على ذلك، يمكن للمحللين إعداد إصدار Windows الخاص بهم والمزوّد ببرمجيات محدّدة مسبقة الثبيت، لمحاكاة بيئتهم المؤسسية محاكاة تامة، وبالتالي يبسّط الحلّ اكتشاف الشركة للتهديدات المدرِكة للبيئة المحيطة بها، مثل البرمجيات الخبيثة المكتشفة حديثًا والتي استُخدمت في هجمات ضد عدد من الشركات الصناعية، كذلك يدعم نظام التشغيل “أندرويد” في الكشف عن البرمجيات الخبيثة الموجهة ضدّ الأجهزة المحمولة.
ويقدّم الحلّ Kaspersky Research Sandbox تقارير مفصلة عن تحليله للملف، تتضمّن خرائط التنفيذ وقائمة موسعة من الأحداث التي يقوم بها الملف الخاضع للتحليل، بما يشمل الأنشطة التقنية المؤسسية والشبكية مدعومة بلقطات الشاشة، فضلًا عن قائمة بالملفات التي جرى تنزيلها وتعديلها. ويمكن لفرق الاستجابة للحوادث الأمنية الرقمية، عند معرفة ما تفعله كل برمجية خبيثة بالضبط، التوصّل إلى التدابير المطلوبة لحماية المؤسسة من التهديدات، كما سيتمكّن محللو مراكز العمليات الأمنية وفرق الاستجابة لطوارئ الحاسوب من إنشاء قواعد YARA الخاصة بهم لاستخدامها في التحقّق من الملفات التي خضعت للتحليل.
وقال فينيامين ليفتسوف نائب الرئيس للأعمال المؤسسية لدى كاسبرسكي، إن الحلّ Kaspersky Cloud Sandbox، الذي أطلقته الشركة في العام 2018، “يعمل بطريقة مثالية” مع الشركات التي تحتاج إلى إجراء تحليلات للتهديدات المعقدة من دون إنفاق إضافي على البنية التحتية للتجهيزات، لكنه أوضح أن الشركات التي تدير مراكز للعمليات الأمنية ولديها فرق للاستجابة لطوارئ الحاسوب، وتطبّق قيودًا صارمة على مشاركة البيانات، “تتطلب مزيدًا من القدرة على التحكّم في الملفات التي تحللها”. وأضاف الخبير المسؤول: “الآن، أصبح بوسع الشركات، مع إطلاقنا الحلّ Kaspersky Research Sandbox، اختيار طريقة التوظيف الأنسب لها، فضلًا عن تمتّعها بالقدرة على تحديد السمات المنشودة في بيئة الفحص المنعزلة ضمن أماكن العمل”.
هذا ويمكن دمج Kaspersky Research Sandbox بمنصة Kaspersky Private Security Network، فهذا الدمج يسمح للشركات بالحصول على رؤى أوضح حول سلوك الملفات، بجانب تلقيها معلومات حول سمعة الملفات التي جرى تنزيلها أو عناوين URL التي تتصل بها البرمجيات الخبيثة، وذلك من قاعدة بيانات كاسبرسكي الخاصة بمعلومات التهديدات والمثبتة داخل مركز بيانات العميل.
ويُعدّ Kaspersky Research Sandbox جزءًا من مجموعة منتجات كاسبرسكي الخاصة بالباحثين الأمنيين، ويتضمن وظائف Kaspersky Threat Attribution Engine وKaspersky CyberTrace وKaspersky Threat Data Feeds. ويساعد هذا المنتج الشركات على التحقّق من التهديدات المتقدمة والتحقيق فيها، ويسهّل الاستجابة للحوادث عبر تقديم المعلومات المهمة ذات الصلة بالتهديدات.
يمكن الاطلاع على مزيد من المعلومات حول Kaspersky Research Sandbox على الموقع الرسمي.