Technologue.id, Jakarta - Kaspersky telah merilis solusi intelijen ancaman terbaru yang ditujukan untuk membantu para analis SOC dan tim responden insiden menghubungkan sampel malware ke kelompok APT yang sebelumnya telah terungkap.
Dengan menggunakan metode yang telah dipatenkan, Kaspersky Threat Attribution Engine akan mencocokkan kode berbahaya yang ditemukan dengan salah satu database malware terbesar di industri, dan, berdasarkan kemiripan kode, akan menautkannya ke grup atau kampanye APT tertentu. Informasi ini nantinya akan membantu para pakar keamanan memprioritaskan ancaman berisiko tinggi terlebih dahulu sebelum insiden lainnya.
Dengan mengetahui siapa yang menargetkan perusahaan mereka, dan untuk tujuan apa, tim keamanan dapat dengan cepat membuat rencana respons insiden yang paling sesuai untuk serangan tersebut. Namun, mengungkap aktor yang berada di balik serangan adalah tugas yang menantang, karena tidak hanya membutuhkan sejumlah besar intelijen ancaman yang telah dikumpulkan (TI) tetapi juga keterampilan tepat untuk menafsirkannya. Untuk mengotomatiskan klasifikasi dan identifikasi malware yang canggih, Kaspersky menghadirkan Kaspersky Threat Attribution Engine terbarunya.
Solusi ini telah berevolusi dari alat internal yang digunakan oleh Tim Penelitian dan Analisis Global (GReAT) Kaspersky, yaitu tim pemburu ancaman berpengalaman yang terkenal di dunia. Kaspersky Threat Attribution Engine sendiri telah digunakan dalam penyelidikan implan iOS LightSpy, TajMahal, ShadowHammer, ShadowPad dan kampanye Dtrack.
Untuk menentukan apakah ancaman berkaitan dengan grup atau kampanye APT yang telah diketahui dan teridentifikasi, Kaspersky Threat Attribution Engine secara otomatis menguraikan file berbahaya yang baru ditemukan menjadi potongan-potongan kecil biner. Setelah itu, ia akan membandingkan potongan-potongan tersebut dengan koleksi Kaspersky yang berjumlah lebih dari 60.000 file terkait APT. Untuk atribusi yang lebih akurat, solusi ini juga menggabungkan database besar file yang termasuk ke dalam whitelist. Ini secara signifikan akan meningkatkan kualitas triase malware, identifikasi serangan dan memfasilitasi respon insiden.
Bergantung pada seberapa mirip file yang dianalisis dengan sampel dalam database, Kaspersky Threat Attribution Engine akan menghitung skor reputasi serta menyoroti kemungkinan asal dan penciptanya dengan deskripsi singkat dan tautan ke sumber daya pribadi maupun publik, dan menguraikan kampanye sebelumnya. Para pelanggan Kaspersky APT Intelligence Reporting dapat melihat laporan khusus mengenai taktik, teknik, dan prosedur yang digunakan oleh aktor ancaman yang diidentifikasi, serta langkah-langkah lebih lanjut.
Kaspersky Threat Attribution Engine dirancang untuk digunakan pada jaringan pelanggan, "di lokasi", dan bukan di lingkungan cloud pihak ketiga. Pendekatan ini memberikan kontrol kepada pelanggan dalam berbagi data.
Selain intelijen ancaman yang tersedia "out of the box", pelanggan dapat membuat database mereka sendiri dan mengisinya dengan sampel malware yang ditemukan oleh analis internal. Dengan begitu, Kaspersky Threat Attribution Engine akan mempelajari untuk mengaitkan malware dengan analog yang terdapat di basis data pelanggan dan tetap menjaga kerahasiaan informasi terkait.
"Terdapat beberapa cara untuk mengungkapkan siapa yang berada di balik serangan. Sebagai contoh, analis dapat mengandalkan artefak dalam malware, yang dapat menentukan bahasa asli aktor ancaman, atau alamat IP yang menunjukkan di mana mereka berada. Namun, itu bukan masalah bagi aktor ancaman yang terampil untuk memanipulasi ini, bahkan mereka dapat mengarahkan seorang peneliti untuk menjadi macet dalam penyelidikan, seperti yang telah kita lihat dalam banyak kasus. Pengalaman kami menunjukkan bahwa cara terbaik adalah mencari kode bersama (shared code) yang memiliki kemiripan sampel dengan yang sudah teridentifikasi pada insiden atau kampanye sebelumnya. Sayangnya, penyelidikan manual semacam itu bisa memakan waktu berhari-hari atau bahkan berbulan-bulan. Untuk mengotomatisasi dan mempercepat tugas tersebut, kami menciptakan Kaspersky Threat Attribution Engine, yang sekarang tersedia untuk para pelanggan perusahaan." komentar Costin Raiu, Direktur Global Research & Analysis Team di Kaspersky.
Kaspersky Threat Attribution Engine tersedia secara komersial di seluruh dunia. Informasi lebih lanjut tentang solusi tersedia melalui tautan ini.