De siste 5 årene har begrepet sandbox, eller sandkasse, blitt så gjennomgripende og trivielt at mange kunder jeg snakker med har glemt hva de egentlig brukes til. Sandkasse er en type analyseverktøy som brukes for å finne ukjent skadelig kode, dynamisk malware-analyse for å være nøyaktig. Du lar en ukjent fil boltre seg i et virtuelt miljø og overvåker hva som skjer. Dynamisk analyse er ofte ikke alt som bør gjøres. I Ciscos Threat Grid blir det utført mange andre typer analyser, som statisk analyse (der vi ser på koden og sammenstilling av filen) tekniske analyser av minneaktivitet og mønstre på disken, samt før og etter analyse av master boot record, oppstartssekvens. Kort sagt, er Threat Grid en omfattende malware-analysemotor.
Vi har tidligere vist hvordan den kan brukes til etterforskning av sikkerhetshendelser i denne bloggen. Men hva om du ikke har tid til det? Hva om du bare vil at dine sikkerhetsverktøy automatisk skal sende inn mistenkelige filer til en sandkasse og sjekke om de er legitime eller skadelige og blokkere de dårlige filene? Det virker så enkelt, men for noen år siden ville de fleste kundene jeg snakket med implementert en rekke kostbare punktløsninger for hvert nettverkssegment og sjekkpunkt.
Ikke alle analyser blir gjort på samme måte. På den ene siden kan du bruke en gratis åpen kildekode og skybasert sandkasse. På plussiden, det er gratis.
Ulempen er bl.a. at alle malware-koderne bruker de samme gratis åpne kildekodebaserte sandkassene for å teste deres koder. De designer sine filer for å unngå å bli oppdaget i slike miljø.
Threat Grid utfører analyse av ukjent kode og leverer trusseletterretning til hele Ciscos sikkerhetsportefølje. Uavhengig av hvilken løsning som opprinnelig sendte inn filen, vil den påfølgende evalueringen deles med de integrerte produktene for å informere og gi kapabilitet til å håndheve oppdaterte regler. Den gir også en felles oversikt over all mulig skadelig kode som blir sett på tvers av infrastrukturen.
Hver Cisco sikkerhetsteknologi du investerer i vil gi deg et antall daglige innsendinger til Threat Grid av mistenkelige filer. Du kan sette regler for hva som skal sendes inn automatisk. Om du stadig overgår tilgjengelige daglige innsendinger eller om du ser at din organisasjons bruksmønster endres eller hackerkampanjer øker, kan daglig kapasitet økes ved å utvide med Sample Packs. Disse lar hver av dine Cisco sikkerhetsenheter få mulighet til å sende flere ukjente filer til analyse, slik at du ikke ender opp med en haug av skadelig kode som du ikke er i stand til å inspisere.
Ikke bruk de samme sandkassene som hackerne bruker for å teste sin skadelige kode. Utnytt dine eksisterende Cisco-investeringer for å analysere, oppdage og blokkere flere trusler i din infrastruktur. Mer informasjon er tilgjengelig på nettsiden til Threat Grid eller registrere deg for en gratis demo og prøvekonto her.
Nils Roald
Cisco Sales AMP North Europe
niroald@cisco.com