「Kaspersky Cloud Sandbox」は、クラウド上でサンドボックスを利用できるサービスで、企業や組織内にサンドボックス用の機器を保有することなく、実際のWindowsユーザー環境を再現した仮想環境を利用し動的にオブジェクトを解析できる。
未知のマルウェアや高度なマルウェアを判定し、その解析結果をわかりやすく可視化することで、迅速なインシデント対応をサポートするという。
「Kaspersky Cloud Sandbox」の特徴
1. クラウド上のサンドボックスで動的な解析を実現
Kaspersky Labが提供するクラウド上のサンドボックスを用いて、仮想環境で動的にオブジェクトを解析することが可能。サンドボックス用の機器やOSのライセンスなどの保持は不要で、いつでも必要な時に利用することができる。解析結果は視覚的に分かりやすく表示され、SOCでのインシデント対応時に有効。
2. 最新のクラウドサンドボックス技術
高度な技術を用いたマルウェアの中には、サンドボックス環境を判別して解析を回避するものがあるが、Kaspersky Cloud Sandboxでは独自に開発した技術を用いて、そのようなマルウェアの解析にも対応している。
例えば、ドキュメントのスクロールやマウスクリックなど、エンドユーザー操作をサンドボックスで再現するなど、マルウェアにサンドボックス環境であることを判別させずに動作させることで、詳細な解析を実行することができる。加えて、サンドボックスのモジュールを定期的にアップデートすることにより、新たな検知回避手法に対応する。
3.「カスペルスキー セキュリティインテリジェンスサービス」に含まれる「脅威情報ルックアップサービス」「インテリジェンスレポートサービス」とのシームレスな連携
仮想環境上での動的解析によって、悪意のあるオブジェクトと判定された場合は、そのハッシュ値を元にして「カスペルスキー脅威情報ルックアップサービス」から詳細情報を取得することができる。また「インテリジェンスレポートサービス」のレポートに関連するマルウェアの場合は、Kaspersky Labのアナリストによる解析結果情報の閲覧やIOC、およびYaraルールの取得も可能。
