Kaspersky、マルウェアデータベースを利用して新たな攻撃を既存APTグループと関連付ける新しい脅威インテリジェンスソリューションを提供開始
- 2020/06/26 10:30
- SecurityInsight
Kasperskyは6月24日、マルウェアデータベースを利用して新たな攻撃を既存APTグループと関連付ける新しい脅威インテリジェンスソリューション「Kaspersky Threat Attribution Engine」を提供開始することを発表した。
「Kaspersky Threat Attribution Engine」は、あるサイバー脅威が既知のAPTグループまたは攻撃活動と関連しているかどうかを特定するため、新たに見つかった悪意のあるファイルをバイナリの断片に自動的に分解し、それらの断片を当社がこれまでに収集した60,000を超えるAPT関連のファイルと比較する。
より正確な関連付けを行なうために、ホワイトリスト化されたファイルで構成される大規模なデータベースも取り入れている。これにより、マルウェアの優先順位付けと攻撃の識別の品質が大幅に向上し、インシデント対応が円滑になる。
分析したマルウェアはデータベース内のサンプルとの類似度に応じて評価スコアを計算し、以前に起こったサイバー攻撃の概要説明と公開情報および非公開情報へのリンク、考えうるマルウェアの発生源と作成者を表示。別途「Kaspersky APT Intelligence Report」サービスを利用している場合は、特定した攻撃者によって使用されている戦術、手法、および手順と、さらなる対応ステップについての専用レポートを確認することができる。
このソリューションはサードパーティのクラウド環境ではなく、企業のネットワーク上にオンプレミスで導入できるように設計されているため、導入企業がデータの共有を制御することができる。
さらに、導入企業は脅威インテリジェンスに加えて、独自のデータベースを作成して社内のアナリストが発見したマルウェアサンプルをそのデータベースに蓄積することができる。この方法により、このソリューションは、情報の機密を維持しつつ、企業のデータベースにある既存マルウェアと類似するマルウェアを結び付けられるようになる。