Kaspersky’nin BT konusunda karar verme yetkisine sahip kişiler arasında yaptığı ankete göre, geçtiğimiz yıl Orta Doğu, Türkiye ve Afrika bölgelerindeki kurumsal şirketlerin yaklaşık yarısı (%48) hedefli bir saldırıya uğradı. Bu tehditler genellikle yalnızca hedef alınan kurumda çalışacak şekilde tasarlanıyor. Örneğin dosyalar belirli bir uygulama açılmadan veya kullanıcı dosyayı incelemeden zararlı faaliyet göstermiyor. Ayrıca bazı dosyalar bir son kullanıcı ortamında olup olmadığını da anlayabiliyor. Örneğin uç noktada kimsenin çalıştığına dair bir işaret olmadığında zararlı kod çalıştırılmıyor. Ancak, güvenlik operasyonları merkezleri çok sayıda güvenlik uyarısı aldığından analistler hepsini inceleyip hangisinin en tehlikelisi olduğunu tespit edemiyor.
Şirketlerin gelişmiş tehditleri daha hassas ve zamanında analiz etmelerine yardımcı olmak için Kaspersky’nin sanal ortam teknolojileri müşterilerin kurumsal yapısına entegre edilebiliyor. Kaspersky Research Sandbox rastgele değerlerle (kullanıcı ve bilgisayar adı, IP adresi vb.) kurumun sistemini taklit ediyor. Zararlı yazılım, aktif kullanılan bir ortam gibi davranan sistemin sanal bir makinede çalıştığını fark edemiyor.
Kaspersky Research Sandbox şirketin kendi zararlı yazılım araştırmacılarının kullandığı dahili sanal ortam sisteminden geliştirildi. Şimdi bu teknolojiler yerinde kurulumla müşterilere sunuluyor. Bu sayede, analiz edilen hiçbir dosya şirket dışına çıkmıyor. Bu da çözümü veri paylaşımı konusunda sıkı kısıtlamalara sahip şirketler için ideal bir hale getiriyor.
Kaspersky Research Sandbox
Kaspersky Research Sandbox diğer güvenlik çözümleriyle entegrasyon için özel bir API’ye sahip. Bu sayede, şüpheli dosyalar analiz için otomatik olarak gönderilebiliyor. Analiz sonuçları güvenlik operasyonları merkezinin görev yönetimi sistemine de gönderilebiliyor. Tekrar eden görevlerin otomatik hale getirilmesiyle vaka incelemesi için gereken süre azaltılıyor.
Çözüm müşterinin ağına kurulduğundan çalıştığı ortamda çok daha fazla özellik kazanıyor. Kaspersky Research Sandbox’ın sanal makineleri kurumların iç ağlarına da bağlanabiliyor. Bunun sonucunda çözüm, yalnızca belirli bir altyapıda çalışmak üzere tasarlanmış zararlı yazılımları ortaya çıkarıp amacını anlayabiliyor. Ayrıca analistler kurumsal ortamı tamamen taklit edebilmek için önceden belirli yazılımlar yüklenmiş Windows sürümleri de kurabiliyor. Çözüm kurumların, endüstri şirketlerine yönelik son saldırılarda kullanılan zararlı yazılımlar gibi bulunduğu ortamın farkına varan tehditleri tespit etmesini de kolaylaştırıyor.
Kaspersky Research Sandbox ayrıca mobil zararlı yazılımları tespit etmek için Android işletim sistemine de destek veriyor.
Kaspersky Research Sandbox dosyaların çalışma şekline dair ayrıntılı raporlar sunuyor. Raporlarda çalışma haritaları ve analiz edilen nesnenin yaptığı faaliyetlerin listesi bulunuyor. Bu listede ağ ve sistemlerdeki aktivitelerin ekran görüntülerinin yanı sıra indirilen ve değiştirilen dosyaların ayrıntıları da yer alıyor. Hangi zararlı yazılımın tam olarak ne yaptığını bilen müdahale ekipleri, kurumu tehditlere karşı korumak için gereken adımları atabiliyor. Güvenlik operasyonları merkezlerinde ve bilgisayarlı acil durum müdahale ekiplerinde çalışan analistler kendi YARA kurallarını oluşturarak analiz edilen dosyaları bunlarla karşılaştırabiliyor.
Kaspersky Kurumsal Pazardan Sorumlu Başkan Yardımcısı Veniamin Levtsov, “2018’de kullanıma sunulan Kaspersky Cloud Sandbox çözümümüz, donanım altyapısına ek yatırım yapmadan karmaşık tehditleri analiz etmek isteyen kurumlar için ideal. Ancak, dahili güvenlik operasyonları merkezine ve bilgisayarlı acil durum müdahale ekiplerine sahip, veri paylaşımı konusunda sıkı kısıtlamalar uygulayan şirketler analiz ettikleri dosyalar üzerinde daha fazla kontrol sahibi olmak istiyor. Şimdi bu şirketler Kaspersky Research Sandbox ile kendilerine en uygun kurulum tipini seçip yerinde sanal ortam sistemlerini her tür kurumsal ortama özel hale getirebiliyor.” dedi.
Kaspersky Research Sandbox, Kaspersky Private Security Network ile entegre edilebiliyor. Bu sayede kurumlar yalnızca nesnelerin davranışları hakkında bilgi edinmekle kalmıyor, aynı zamanda indirilen dosyaların veya zararlı yazılımın iletişim kurduğu URL’lerin itibarları hakkında bilgi de alabiliyor. Müşterinin veri merkezine kurulan Kaspersky tehdit istihbaratı veri tabanı bu bilgileri sunuyor.
Kaspersky Research Sandbox güvenlik araştırmacılarına yönelik Kaspersky ürün portföyünün bir parçası. Bu ürün portföyünde Kaspersky Tehdit İlişkilendirme Motoru, Kaspersky CyberTrace ve Kaspersky Tehdit Verisi Akışları yer alıyor. Bu ürünler kurumların gelişmiş tehditleri tespit edip incelemesine yardımcı oluyor ve tehditler hakkında bilgi vererek müdahale edilmesini sağlıyor.
Kaspersky Research Sandbox çözümü hakkında daha fazla bilgiyi resmi web sitesindebulabilirsiniz.