«Лаборатория Касперского» обновила Kaspersky Research Sandbox 3.0
улучшенный анализ вредоносных объектов. Появилось визуальное интерактивное взаимодействие во время детонации потенциально вредоносных файлов (в рамках режима Virtual Network Computing, VNC). ИБ-аналитики смогут взаимодействовать со средой выполнения в режиме реального времени, отслеживать поведение вредоносных программ по мере их развёртывания и выполнения, а также запускать дополнительные инструменты для более детального исследования. Это позволит проводить углублённый анализ, а также расширит возможности для обнаружения сложных угроз, которые адаптируются под традиционные методы использования песочниц;
расширенный статистический анализ. После обновления пользователям доступен расширенный статистический анализ файлов. Благодаря этому в исполняемых файлах будет осуществляться поиск таких ключевых атрибутов, как строки, заголовки, разделы, таблицы импорта и экспорта исполняемых файлов, а также сформирован график энтропии файла. ИБ-специалисты смогут получать дополнительную важную информацию о характеристиках вредоносного ПО;
предотвращение обхода защитных мер. Злоумышленники постоянно придумывают новые методы обфускации кода (преднамеренное запутывание кода для затруднения его анализа) в рамках кибератак. Значительно улучшить обнаружение упакованных и обфусцированных скриптов в Kaspersky Research Sandbox 3.0 помогает интеграция с интерфейсом Microsoft AMSI (Antimalware Scan Interface). Поддержка AMSI в том числе позволяет анализировать вредоносные скрипты на PowerShell, которые часто используют атакующие;
выбор источника данных об угрозах. Теперь в качестве источника глобальных данных о киберугрозах можно использовать не только Kaspersky Private Security Network (KPSN), но и Kaspersky Security Network (KSN). Такая гибкость обеспечивает более экономичный и быстрый вариант развёртывания решения, что особенно актуально для пилотных проектов. Подключение KSN также позволит вдвое снизить системные требования к оборудованию, так как для KPSN не требуется дополнительный сервер. В результате Kaspersky Research Sandbox станет доступнее для компаний с ограниченными ресурсами;
улучшенный дизайн. Наряду с серьёзным техническим обновлением, полностью переработан пользовательский интерфейс, чтобы сделать решение ещё более удобным, а также оптимизировать процесс изучения потенциальных угроз. В частности, улучшилась визуализация страницы «Системные активности» (System Activities): теперь аналитики смогут фильтровать представленные в отчёте данные и фокусироваться только на релевантных вредоносных процессах. Функция поиска в таблице истории позволит быстрее находить результаты предыдущего анализа, что поможет ИБ-командам быстро возобновлять прошлые исследования.