Kaspersky Threat Attribution Engine: công cụ hỗ trợ thông tin tấn công APT

(ĐTTD) Giải pháp cung cấp thông tin tình báo mối đe dọa cho các nhà phân tích SOC và đội ứng phó sự cố bằng cách đối chiếu mã độc với mẫu phần mềm độc hại đã chính thức được Kaspersky đưa ra.

Theo đó, Kaspersky Threat Attribution Engine sẽ giúp đối chiếu mã độc được phát hiện với mẫu mã độc có trong một trong những cơ sở dữ liệu phần mềm độc hại lớn nhất trong ngành. Dựa trên sự tương đồng về mã, phần mềm giúp nhận diện sự liên quan giữa mã độc với nhóm hoặc chiến dịch APT cụ thể. Thông tin này giúp các chuyên gia bảo mật ưu tiên đối phó các mối đe dọa rủi ro cao, thay vì tập trung vào những sự cố ít nghiêm trọng hơn.

Không chỉ đơn giản là nhận biết ai đang tấn công công ty và với mục đích gì để đưa ra kế hoạch ứng phó sự cố phù hợp. Nhận diện tin tặc đứng sau một cuộc tấn công là nhiệm vụ đầy thách thức, không chỉ đòi hỏi lượng lớn thông tin tình báo mối đe dọa an ninh mạng, mà còn cần những kỹ năng phù hợp để phân tích những thông tin đó.

Để có thể dễ dàng phân loại và nhận dạng phần mềm độc hại tinh vi, Kaspersky Threat Attribution Engine sẽ cho bạn lời giải đáp rõ ràng nhất.

Cụ thể, Kaspersky Threat Attribution Engine sẽ tự động phân tách tệp độc hại mới tìm thấy thành các mảnh nhị phân nhỏ. Sau đó, tiến hành so sánh với các mảnh trong bộ hơn 60.000 tệp liên quan đến tấn công APT của Kaspersky. Để xác định chính xác hơn, giải pháp cũng kết hợp một cơ sở dữ liệu lớn các tệp có trong danh sách trắng. Việc này cải thiện đáng kể chất lượng của việc phân loại phần mềm độc hại và nhận dạng tấn công, từ đó phục vụ cho hoạt động phản ứng sự cố.

Tùy thuộc vào mức độ tương hợp của tệp được phân tích với các mẫu trong cơ sở dữ liệu mà Kaspersky Threat Attribution Engine tính toán mức độ phổ biến, phân tích nguồn gốc mã độc và tin tặc thực hiện tấn công bằng một mô tả ngắn, cũng như liên kết dữ liệu đến tài nguyên riêng tư và công khai về các chiến dịch đã thực hiện trước đây.

Kaspersky Threat Attribution Engine được thiết kế để triển khai trên mạng, trên nền tảng trực tuyến, thay vì trong cơ sở dữ liệu đám mây của bên thứ ba. Cách tiếp cận này cho khách hàng quyền kiểm soát đối với việc chia sẻ dữ liệu.

 “Có nhiều cách để nhận diện ai là người đứng sau một vụ tấn công mạng. Ví dụ: các nhà phân tích có thể dựa vào dấu hiệu trong phần mềm độc hại để xác định kẻ tấn công có phải là người bản địa hay không, hoặc địa chỉ IP có thể cho biết địa điểm tấn công. Tuy nhiên, nếu là tin tặc lành nghề, chúng có thể thao túng những điều này và khiến các nhà nghiên cứu dễ bị đánh lừa khi điều tra. Kinh nghiệm của chúng tôi cho thấy cách tốt nhất là tìm kiếm từ điểm chung của mã độc với những mẫu được xác định trong các sự cố hoặc chiến dịch trước đó. Không may là cách điều tra thủ công như vậy có thể mất vài ngày hoặc thậm chí vài tháng. Để tự động hóa và tiết kiệm thời gian cho công việc này, chúng tôi đã tạo ra Kaspersky Threat Attribution Engine, hiện đã có sẵn để phục vụ cho khách hàng của công ty.” Ông Costin Raiu, Giám đốc Nhóm phân tích và nghiên cứu toàn cầu tại Kaspersky cho biết.

Kaspersky Threat Attribution Engine hiện được bán trên thị trường trên toàn cầu. Thông tin thêm về giải pháp có tại link.

ĐTTD