Díky tomu, že odborníci vědí, kdo a s jakým cílem na jejich společnost útočí, mohou rychle přijít s nejvhodnějším plánem, jak útoku zabránit. Odhalit pachatele a strůjce útoku ale není vůbec jednoduché. Odborníci musí mít k dispozici nepřeberné množství dat o útocích (threat intelligence) a také dovednosti, díky nimž je dokážou správně interpretovat. Proto společnost Kaspersky představila nový modul Kaspersky Threat Attribution Engine, který klasifikaci a identifikaci sofistikovaného malwaru automatizuje.
Toto řešení vychází z interního nástroje používaného týmem odborníků Kaspersky GReAT (Global Research and Analysis Team). V minulosti se toto řešení podílelo na vyšetřování známých incidentů jako byly iOS implant LightSpy, TajMahal, ShadowHammer, ShadowPad a kampaně Dtrack.
Aby bylo možné určit, zda hrozba souvisí se známou skupinou APT nebo její kampaní, Kaspersky Threat Attribution Engine automaticky rozloží nově nalezený škodlivý soubor na menší binární díly. Poté je porovná s více než 60 000 APT soubory, které má Kaspersky v databázi. Pro co nejpřesnější přiřazení obsahuje řešení také rozsáhlou databázi whitelisted souborů. Tím se výrazně zlepšuje kvalita třídění malwaru a identifikace útoků, což ve finále usnadňuje reakci na incidenty.
V závislosti na tom, jak je analyzovaný soubor podobný vzorkům v databázi, vypočítá Kaspersky Threat Attribution Engine jeho reputační skóre a označí pravděpodobného autora, ke kterému přidá krátký popis s odkazy na soukromé i veřejné zdroje a zaznamenané kampaně. Předplatitelé služby Kaspersky APT Intelligence Reporting si navíc mohou projít podrobnou zprávu o taktice, technikách a postupech používaných daným útočníkem, která rovněž obsahuje další kroky reakce.
Toto nové řešení je navrženo tak, aby bylo nasazeno v síti zákazníka „on premise“, a ne v cloudovém prostření třetí strany. Díky tomu budou mít zákazníci kontrolu nad sdílením dat.
„Existuje mnoho způsobů, jak zjistit, kdo stojí za kybernetickým útokem. Analytik se například může spoléhat na artefakty malwaru, které odhalují útočníkův rodný jazyk nebo IP adresy, díky čemuž zjistí odkud pochází. Pro zkušeného hackera ale není složité vložit do kódu podvržené informace, tak aby vyšetřovatele zmátl. V minulosti jsme to zažili už mnohokrát. Podle našich zkušeností se nejvíce osvědčilo vyhledání sdílených částí kódu s jinými, už identifikovanými kódy. Tento proces by ale v lepším případě zabral celé dny. Proto jsme vytvořili řešení Kaspersky Threat Attribution Engine, které tuto práci automatizuje a urychluje,“ komentuje Costin Raiu, ředitel týmu GReAT ve společnosti Kaspersky.