Giải pháp cung cấp thông tin tình báo mối đe dọa được Kaspersky giới thiệu cho các nhà phân tích SOC và đội ứng phó sự cố qua việc đối chiếu mã độc với mẫu phần mềm độc hại đã từng được phát tán bởi các nhóm APT. Sử dụng phương pháp độc quyền của mình, Kaspersky Threat Attribution Engine giúp đối chiếu mã độc được phát hiện với mẫu mã độc có trong một trong những cơ sở dữ liệu phần mềm độc hại lớn nhất trong ngành. Dựa trên sự tương đồng về mã, phần mềm giúp nhận diện sự liên quan giữa mã độc với nhóm hoặc chiến dịch APT cụ thể. Thông tin này giúp các chuyên gia bảo mật ưu tiên đối phó các mối đe dọa rủi ro cao, thay vì tập trung vào những sự cố ít nghiêm trọng hơn.
Bằng việc biết tin tặc nào đang tấn công công ty và với mục đích gì, bộ phận an ninh mạng có thể nhanh chóng đưa ra kế hoạch ứng phó sự cố phù hợp. Tuy nhiên, nhận diện tin tặc đứng sau một cuộc tấn công là nhiệm vụ đầy thách thức, không chỉ đòi hỏi lượng lớn thông tin tình báo mối đe dọa an ninh mạng, mà còn cần những kỹ năng phù hợp để phân tích những thông tin đó. Kaspersky Threat Attribution Engine có thể tự động hóa việc phân loại và nhận dạng phần mềm độc hại tinh vi.
Giải pháp được phát triển từ một công cụ nội bộ được sử dụng bởi Nhóm nghiên cứu và phân tích toàn cầu của Kaspersky (GReAT). Trước đó, Kaspersky Threat Attribution Engine đã được sử dụng trong quá trình điều tra các chiến dịch tấn công iOS implant LightSpy, TajMahal, ShadowHammer, ShadowPad và Dtrack campaigns.
Để xác định mối đe dọa có liên quan đến một nhóm hoặc chiến dịch APT đã biết hay không và cụ thể là mối đe dọa nào, Kaspersky Threat Attribution Engine sẽ tự động phân tách tệp độc hại mới tìm thấy thành các mảnh nhị phân nhỏ. Sau đó, công cụ tiến hành so sánh với các mảnh trong bộ hơn 60.000 tệp liên quan đến tấn công APT của Kaspersky. Để chính xác hơn, giải pháp cũng kết hợp một cơ sở dữ liệu lớn các tệp có trong danh sách trắng. Việc này cải thiện đáng kể chất lượng của việc phân loại phần mềm độc hại và nhận dạng tấn công, từ đó phục vụ cho hoạt động phản ứng sự cố.
Tùy thuộc vào mức độ tương hợp của tệp được phân tích với các mẫu trong cơ sở dữ liệu, Kaspersky Threat Attribution Engine tính toán mức độ phổ biến, phân tích nguồn gốc mã độc và tin tặc thực hiện tấn công bằng một mô tả ngắn, cũng như liên kết dữ liệu đến tài nguyên riêng tư và công khai về các chiến dịch đã thực hiện trước đây. Báo cáo Kaspersky APT Intelligence cho thấy, những thông tin về chiến thuật, kỹ thuật và quy trình được sử dụng bởi tác nhân đe dọa, cũng như các bước phản hồi cần thực hiện tiếp theo.
Kaspersky Threat Attribution Engine được thiết kế để triển khai trên mạng của khách hàng, trên nền tảng trực tuyến, thay vì trong cơ sở dữ liệu đám mây của bên thứ ba. Cách tiếp cận này cho phép khách hàng quyền kiểm soát đối với việc chia sẻ dữ liệu.
Ngoài các thông tin về mối đe dọa có sẵn trên mạng, khách hàng có thể tạo cơ sở dữ liệu của riêng mình bằng cách điền vào đó mẫu mã độc được tìm thấy bởi những nhà phân tích an ninh mạng nội bộ. Bằng cách này, Kaspersky Threat Attribution Engine sẽ được thông tin về phần mềm độc hại có trong cơ sở dữ liệu của khách hàng, trong khi vẫn giữ bí mật thông tin này.
Ông Costin Raiu, Giám đốc Nhóm phân tích và nghiên cứu toàn cầu tại Kaspersky cho biết: “Có nhiều cách để nhận diện ai là người đứng sau một vụ tấn công mạng. Ví dụ: các nhà phân tích có thể dựa vào dấu hiệu trong phần mềm độc hại để xác định kẻ tấn công có phải là người bản địa hay không, hoặc địa chỉ IP có thể cho biết địa điểm tấn công. Tuy nhiên, nếu là tin tặc lành nghề, chúng có thể thao túng những điều này và khiến các nhà nghiên cứu dễ bị đánh lừa khi điều tra. Kinh nghiệm của chúng tôi cho thấy cách tốt nhất là tìm kiếm từ điểm chung của mã độc với những mẫu được xác định trong các sự cố hoặc chiến dịch trước đó. Không may là cách điều tra thủ công như vậy có thể mất vài ngày hoặc thậm chí vài tháng. Để tự động hóa và tiết kiệm thời gian cho công việc này, chúng tôi đã tạo ra Kaspersky Threat Attribution Engine, hiện đã có sẵn để phục vụ cho khách hàng của công ty”.
Kaspersky Threat Attribution Engine hiện được bán trên thị trường trên toàn cầu. Thông tin thêm về giải pháp được đăng tải tại đây.
ĐT
10:00 | 13/05/2020
14:00 | 14/10/2020
07:00 | 23/06/2020
15:00 | 22/04/2021
16:00 | 24/04/2020
14:00 | 27/03/2020
07:00 | 06/12/2021
17:00 | 26/08/2020
08:00 | 26/06/2020
08:00 | 12/04/2020
08:00 | 25/03/2020
14:00 | 04/02/2020
13:00 | 16/04/2024
Adobe đã bắt đầu mua video để xây dựng công cụ AI chuyển ảnh thành video của mình, nhằm bắt kịp với các đối thủ như OpenAI.
13:00 | 23/01/2024
Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ (CISA) bổ sung vào danh mục Các lỗ hổng bị khai thác đã biết (KEV) sáu lỗ hổng ảnh hưởng đến các sản phẩm của Apple, Adobe, Apache, D-Link và Joomla.
16:00 | 04/12/2023
Với mong muốn được góp sức vào sự phát triển cộng đồng, mang lại giá trị cho các tổ chức/doanh nghiệp trong ngành An toàn, an ninh thông tin, sáng ngày 30/11 vừa qua, Công ty Cổ phần Tin học Mi Mi (Mi2 JSC) đã đồng hành và tham dự Hội thảo - Triển lãm Ngày An toàn thông tin Việt Nam 2023. Sự kiện do Hiệp hội An toàn thông tin Việt Nam (VNISA) tổ chức với chủ đề “An toàn dữ liệu trong thời đại điện toán đám mây và trí tuệ nhân tạo”.
20:00 | 27/10/2023
Trong bối cảnh cuộc cách mạng 4.0 đang tiến triển mạnh mẽ, chuyển đổi số và tự động hoá trở thành các yếu tố không thể thiếu trong mọi lĩnh vực, đặc biệt là an ninh mạng. Hiểu rõ tầm quan trọng này, hai hãng công nghệ Stellar Cyber và Cyfirma đã hợp tác với Nessar – nhà phân phối chính thức tại Việt Nam tổ chức sự kiện hội thảo chuyên sâu nhằm giới thiệu nền tảng giám sát, phản ứng và thông tin tình báo về mối đe dọa an toàn thông tin (ATTT) với tính tự động hóa hơn 90%, nhằm tối ưu hóa bảo vệ dữ liệu và hệ thống khỏi các mối đe dọa phức tạp.
Telegram đã sửa một lỗ hổng zero-day trong ứng dụng máy tính để bàn Windows có thể được sử dụng để vượt qua (bypass) các cảnh báo bảo mật và tự động khởi chạy các tập lệnh Python.
10:00 | 24/04/2024