La tecnología sandbox de Kaspersky ya está disponible para las redes de sus clientes. Kaspersky Research Sandbox en versión on-premise está diseñado para empresas con fuertes restricciones a la hora de compartir datos, y facilita la creación de sus centros de operaciones de seguridad interna (SOC) o equipos de respuesta a emergencias informáticas (CERT).

Esta solución les ayuda a detectar y analizar amenazas concretas, al tiempo que se aseguran de que todos los archivos examinados se mantienen dentro de la organización.

Tal y como revela una encuesta de Kaspersky realizada a los responsables de TI, el 45% de las empresas sufrieron un ataque dirigido durante el año pasado. Dichas amenazas suelen estar diseñadas para funcionar exclusivamente en un contexto determinado en la organización de la víctima. Así, un archivo puede no realizar ninguna acción maliciosa hasta que no se abra una aplicación concreta o hasta que el usuario no se desplace por un documento específico. Además, algunos archivos pueden identificar que no están en el entorno del usuario final (por ejemplo, si no hay indicios de que alguien esté trabajando en el dispositivo final) y no ejecutarán el código malicioso. No obstante, como un SOC suele recibir numerosas alertas de seguridad, los analistas no pueden investigar todas manualmente para identificar cuál de ellas es la más peligrosa.

Para facilitar a las empresas un análisis más preciso y oportuno de las amenazas avanzadas, ya se puede implementar la tecnología sandbox de Kaspersky en la organización de un cliente. Kaspersky Research Sandbox imita el sistema de la empresa con parámetros aleatorios (como el nombre del usuario y del ordenador, la dirección IP, etc.) a la vez que simula un entorno de uso activo, de modo que el malware no puede diferenciar si se ejecuta en una máquina virtual.

Kaspersky Research Sandbox ha ido evolucionando desde el complejo sandbox interno utilizado por los propios investigadores antimalware de la compañía. Ahora, estas tecnologías están disponibles para los clientes a modo de instalación independiente. Por tanto, los archivos analizados no saldrán del área de la compañía, lo que convierte a la solución en idónea para compañías con fuertes restricciones a la hora de compartir datos.

Kaspersky Research Sandbox cuenta con una API especial para la integración de otras soluciones de seguridad, de modo que un archivo sospechoso se puede enviar automáticamente para su estudio, y los resultados del análisis también pueden ser exportados al sistema de gestión de tareas de un SOC. Esta automatización de las tareas rutinarias reduce el tiempo necesario para la investigación de incidentes. 

A medida que la solución se instala en la red de los clientes, esta ofrece más capacidades que reflejan su entorno operativo. A partir de ahora, las máquinas virtuales de Kaspersky Research Sandbox pueden conectarse a la red interna de una empresa, obteniendo como resultado que puedan descubrir malware diseñado para ejecutarse solamente en una determinada infraestructura y obtener una mejor comprensión de sus intenciones. Además, los analistas pueden configurar su versión de Windows con software específico preinstalado para reproducir completamente su entorno empresarial. Este hecho simplifica la detección por parte de una compañía de las amenazas del entorno, como el malware descubierto recientemente y utilizado en los ataques contra las empresas industriales. Además, Kaspersky Research Sandbox es compatible con Android para detectar malware móvil.

Kaspersky Research Sandbox proporciona informes detallados sobre la ejecución de los archivos. Estos incluyen mapas de ejecución y una extensa lista de eventos realizados por el objeto analizado, incluyendo sus actividades de red y sistemas con capturas de pantalla, así como una selección de archivos descargados y modificados. Al conocer con exactitud lo que cada malware realiza, los responsables de la respuesta a los incidentes pueden proponer las medidas necesarias para proteger a la empresa de la amenaza. Los analistas del SOC y del CERT podrán crear también sus reglas YARA para verificar los archivos analizados contra ellos. 

«Nuestra solución Kaspersky Cloud Sandbox, lanzada en el año 2018, es perfecta para las entidades que necesitan analizar amenazas complejas sin necesidad de invertir más en infraestructura de hardware. Sin embargo, las compañías con SOCs y CERTs internos, y severas restricciones en el intercambio de datos, requieren más control sobre los archivos que analizan. Ahora, con Kaspersky Research Sandbox pueden elegir la opción de implementación que más les convenga, así como personalizar las imágenes del sandbox en las instalaciones de cualquier entorno empresarial», señala Veniamin Levtsov, VP Corporate Business de Kaspersky.

Kaspersky Research Sandbox se puede integrar con Kaspersky Private Security Network. No solo permite a las empresas obtener información sobre el comportamiento de un objeto, sino también recibir información sobre la reputación de los archivos descargados o las direcciones URL con las que se comunica el malware desde la base de datos de inteligencia de amenazas de Kaspersky, instalada en el centro de datos del cliente. 

Kaspersky Research Sandbox forma parte de la cartera de productos de Kaspersky para los investigadores de seguridad. Incluye Kaspersky Threat Attribution Engine, Kaspersky CyberTrace y Kaspersky Threat Data Feeds. Esta oferta ayuda a las empresas a validar e investigar las amenazas avanzadas y facilita la respuesta a los incidentes proporcionando información relevante sobre estas.