Больше возможностей, ниже системные требования: «Лаборатория Касперского» обновила Kaspersky Research Sandbox 3.0.

В новой версии песочницы появилось интерактивное взаимодействие в режиме VNC, интеграция с Microsoft AMSI для анализа вредоносных скриптов на PowerShell, расширены возможности статического анализа файлов, а требования к оборудованию теперь могут быть снижены вдвое за счёт использования облачного сервиса репутации индикаторов.

«Лаборатория Касперского» представляет новую версию Kaspersky Research Sandbox 3.0 с расширенными возможностями для ИБ-специалистов. В решении появилась функциональность для более глубокого анализа файлов и интерактивное исследование угроз, при этом теперь можно установить продукт всего на один сервер вместо двух. Технические изменения обеспечат большую гибкость и эффективность использования песочницы, а также помогут организациям сократить расходы на обнаружение и анализ угроз.

Что нового
Улучшенный анализ вредоносных объектов. Появилось визуальное интерактивное взаимодействие во время детонации потенциально вредоносных файлов (в рамках режима Virtual Network Computing, VNC). ИБ-аналитики смогут взаимодействовать со средой выполнения в режиме реального времени, отслеживать поведение вредоносных программ по мере их развёртывания и выполнения, а также запускать дополнительные инструменты для более детального исследования. Это позволит проводить углублённый анализ, а также расширит возможности для обнаружения сложных угроз, которые адаптируются под традиционные методы использования песочниц.
Расширенный статический анализ. После обновления пользователям доступен расширенный статический анализ файлов. Благодаря этому в исполняемых файлах будет осуществляться поиск таких ключевых атрибутов, как строки, заголовки, разделы, таблицы импорта и экспорта исполняемых файлов, а также сформирован график энтропии файла. ИБ-специалисты смогут получать дополнительную важную информацию о характеристиках вредоносного ПО.
Предотвращение обхода защитных мер. Злоумышленники постоянно придумывают новые методы обфускации кода (преднамеренное запутывание кода для затруднения его анализа) в рамках кибератак. Значительно улучшить обнаружение упакованных и обфусцированных скриптов в Kaspersky Research Sandbox 3.0 помогает интеграция с интерфейсом Microsoft AMSI (Antimalware Scan Interface). Поддержка AMSI в том числе позволяет анализировать вредоносные скрипты на PowerShell, которые часто используют атакующие. 
Выбор источника данных об угрозах. Теперь в качестве источника глобальных данных о киберугрозах можно использовать не только Kaspersky Private Security Network (KPSN), но и Kaspersky Security Network (KSN). Такая гибкость обеспечивает более экономичный и быстрый вариант развёртывания решения, что особенно актуально для пилотных проектов. Подключение KSN также позволит вдвое снизить системные требования к оборудованию, так как не потребуется дополнительный сервер для KPSN. В результате Kaspersky Research Sandbox станет доступнее для компаний с ограниченными ресурсами.
Улучшенный дизайн. Наряду с серьёзным техническим обновлением, полностью переработан пользовательский интерфейс, чтобы сделать решение ещё более удобным, а также оптимизировать процесс изучения потенциальных угроз. В частности, улучшилась визуализация страницы «Системные активности» (System Activities): теперь аналитики смогут фильтровать представленные в отчёте данные и фокусироваться только на релевантных вредоносных процессах. Функция поиска в таблице истории позволит быстрее находить результаты предыдущего анализа, что поможет ИБ-командам быстро возобновлять прошлые исследования. 

«Kaspersky Research Sandbox 3.0 предоставляет ИБ-командам расширенные возможности для анализа, лучшую видимость и контроль за поведением вредоносного ПО. Кроме того, существенно снизился порог входа для организаций с ограниченными аппаратными ресурсами — для локального развертывания песочницы достаточно всего одного сервера. В основе решения Kaspersky Research Sandbox лежат передовые технологии и более чем 20-летний опыт исследований вредоносного ПО и анализа сложных угроз ведущими экспертами „Лаборатории Касперского“. С выпуском этой версии продукта командам, отвечающим за кибербезопасность, стал доступен обновлённый профессиональный интерактивный инструмент для ещё более глубокого изучения вредоносных программ», — комментирует Борис Сторонкин, руководитель продуктов Threat Intelligence «Лаборатории Касперского».

Kaspersky Research Sandbox — автоматизированная система поведенческого и статического анализа файлов и обнаружения угроз. Решение разработано на базе внутреннего лабораторного комплекса-песочницы — запатентованной технологии, которую компания развивает на протяжении более 20 лет. В Kaspersky Research Sandbox используются знания о поведении вредоносных программ, накопленные в ходе непрерывного изучения киберугроз, благодаря которым «Лаборатория Касперского» обнаруживает более 467 тысяч новых вредоносных объектов каждый день.

Материал подготовлен АО "Лаборатория Касперского"