Jak zespoły SOC mogą oszczędzać czas i zasoby dzięki ANY.RUN: plan działania

Zespoły SOC codziennie mierzą się z szeregiem wyzwań – od nadmiaru alertów, które należy zbadać, przez problemy z koordynacją działań między analitykami, aż po nie zawsze optymalną infrastrukturę. W tym artykule przyjrzymy się tym trudnościom i pokażemy, w jaki sposób rozwiązanie ANY.RUN pomaga je wyeliminować. 

1. Zwiększenie skuteczności wykrywania

Wyzwanie: złośliwe oprogramowanie jest coraz sprytniejsze. Techniki bezplikowe, wieloetapowe szkodliwe funkcje, zaawansowane szyfrowanie, unikanie wykrywania przez tradycyjne metody ochrony – to tylko wybrane cechy, które sprawiają, że specjaliści z działów SOC mają ręce pełne roboty. 

Rozwiązanie: ANY.RUN rozwiązuje ten problem oddając w ręce analityków w pełni interaktywny sandbox. Dzięki temu mogą oni nie tylko obserwować zagrożenie, ale także wchodzić z nim w interakcję – tak samo, jak faktyczny użytkownik komputera. Mamy tu na myśli otwieranie plików, wpisywanie haseł, klikanie podejrzanych linków – wszystko, co może wyzwolić łańcuch infekcji. 

W tej sesji analizy można zobaczyć, dlaczego jest to tak ważne. 

Fałszywy dokument z niebezpiecznym linkiem do pliku PDF analizowany w sandboksie ANY.RUN
Fałszywy dokument z niebezpiecznym linkiem do pliku PDF analizowany w sandboksie ANY.RUN

W powyższym przykładzie phishingowa wiadomość e-mail zawiera załącznik SVG oraz zapisane w treści hasło. Otwarcie pliku SVG ujawnia sfałszowany dokument zawierający link pozwalający na pobranie PDF-a. Wykonanie tej czynności wyzwala pobranie archiwum ZIP, które może zostać otwarte wyłącznie ręcznie z użyciem hasła z treści wiadomości.

Wpisywanie hasła znajdującego się w treści wiadomości phishingowej
Wpisywanie hasła znajdującego się w treści wiadomości phishingowej


W środku znajduje się plik wykonywalny. W momencie uruchomienia go ANY.RUN natychmiast oznacza obiekt jako AsyncRAT – trojana zdalnego dostępu pozwalającego atakującym na szpiegowanie użytkowników i przejmowanie kontroli nad ich systemami. 

Zagrożenie AsyncRAT wykryte przez sandbox ANY.RUN
Zagrożenie AsyncRAT wykryte przez sandbox ANY.RUN

Bez interaktywnego dostępu nie mogłoby dojść do ujawnienia tego zagrożenia. W pełni zautomatyzowane narzędzie nie kliknęłoby odnośnika, nie skopiowałoby hasła i nie otworzyłoby archiwum. Atak najprawdopodobniej nie zostałby wykryty.

Co sandbox oferuje analitykom

  • Wszystkie szczegóły dotyczące procesu – wgląd we wszystkie działania wykonane przez złośliwe oprogramowanie. 
  • Wgląd w aktywność sieciową – możliwość zablokowania komunikacji z cyberprzestępczymi serwerami zanim dojdzie do kradzieży i wysłania danych. 
  • Detale dotyczące konfiguracji złośliwego programu – możliwość ujawnienia domen zaszytych w kodzie zagrożenia i innych wskaźników infekcji.

Pozytywny wpływ na działalność firmy

  • Skuteczniejsze wykrywanie zagrożeń: mniej martwych punktów i poprawa cyberodporności.
  • Oszczędności finansowe: unikanie kosztownych włamań dzięki powstrzymywaniu cyberprzestępców już na wczesnym etapie.
  • Proaktywne łagodzenie skutków zagrożeń: usuwanie luk zanim atakujący zdążą je wykorzystać.

2. Przyspieszenie kategoryzacji alertów i reakcji na incydenty 

Wyzwanie: gdy zagrożenie ominie pierwszą linię obrony, liczy się każda sekunda. Im dłużej trwa nadanie priorytetu alertowi lub reakcja na incydent, tym wyższe ryzyko rozprzestrzenienia się złośliwego programu, infekcji systemów i powstania kosztownych szkód. 

Rozwiązanie: ANY.RUN oferuje wgląd w zachowanie zagrożenia w czasie rzeczywistym, bez potrzeby czekania na zakończenie sesji analizy. Zespoły SOC mogą dostrzec niebezpieczną aktywność już w momencie jej rozpoczęcia się – większość złośliwych programów może dzięki temu zostać zneutralizowana w czasie kilkunastu sekund: zobacz sesję analizy.

Wykrywanie zagrożenia RedLine Stealer w ciągu kilkunastu sekund 
Wykrywanie zagrożenia RedLine Stealer w ciągu kilkunastu sekund 

Powyższy przykład pokazuje przesłanie do sandboxa podejrzanego pliku wykonywalnego. W ciągu zaledwie 18 sekund ANY.RUN zidentyfikował zagrożenie RedLine Stealer – narzędzie kradnące dane logowania i inne wrażliwe informacje. Tak szybkie wykrycie pozwala zespołowi bezpieczeństwa na natychmiastowe podjęcie działań i zablokowanie zagrożenia zanim zdąży się rozprzestrzenić oraz wykonać szkodliwe czynności. 

Pozytywny wpływ na działalność firmy

  • Minimalizacja ekspozycji na zagrożenie: złośliwe programy mogą być powstrzymywane na wczesnym etapie – zanim przeniosą się na kolejne systemy.
  • Efektywność operacyjna: redukcja alertów, które muszą być analizowane ręcznie, dzięki czemu specjaliści mogą się zająć poważniejszymi przypadkami.
  • Szybsza i skuteczniejsza obsługa incydentów: minimalizacja wpływu potencjalnych zagrożeń na reputację marki w oczach klientów i kontrahentów.

3. Uproszczenie szkoleń i wdrażania nowych pracowników

Wyzwanie: Większość narzędzi bezpieczeństwa wymaga przeszkolenia obsługującego je personelu – im bardziej rozwiązania są skomplikowane, tym większy wiąże się z tym problem. Nowi pracownicy, szczególnie młodsi analitycy, nierzadko muszą szkolić się nawet kilka miesięcy, zanim będą mogli uczestniczyć w faktycznym procesie badawczym. W efekcie dochodzi do spowolnienia wdrażania nowych pracowników oraz do konieczności polegania na garstce wyszkolonych ekspertów. 

Rozwiązanie: ANY.RUN jest wyposażony w intuicyjny interfejs oraz możliwości interaktywnej analizy zagrożeń, dzięki czemu nawet mniej doświadczeni członkowie zespołu bezpieczeństwa mogą szybko zdobyć niezbędną wiedzę. Nowi analitycy pracują bezpośrednio z rzeczywistymi zagrożeniami w kontrolowanym, wirtualnym środowisku, a dodatkowe funkcje, takie jak śledzenie skryptów czy asystent AI, sprawiają, że skomplikowane złośliwe programy mogą zostać opisane w postaci przejrzystych, łatwych do zrozumienia zagadnień.  

W kolejnej przykładowej sesji z rozwiązaniem ANY.RUN młodszy analityk bada próbkę obejmującą szkodliwe skrypty. Dzięki mechanizmowi analizy skryptów (funkcja Script Tracer) analityk podąża za kolejnymi etapami i widzi, w jaki sposób atak postępuje. Nie ma konieczności domyślania się czegokolwiek, ani korzystania z zewnętrznych narzędzi. 

Z kolei asystent AI (funkcja AI Summary) pozwala analitykowi szybko zapoznać się z kluczowymi zdarzeniami mającymi miejsce w ramach sesji, łącznie z plikami zapisywanymi przez złośliwy program, poleceniami wiersza poleceń czy aktywnością sieciową. Wszystko jest wytłumaczone łatwym do zrozumienia językiem. 

ANY.RUN wykorzystuje sztuczną inteligencję do przystępnego prezentowania działań wykonywanych przez zagrożenie
ANY.RUN wykorzystuje sztuczną inteligencję do przystępnego prezentowania działań wykonywanych przez zagrożenie

Pozytywny wpływ na działalność firmy

  • Wykwalifikowany personel: szybsza gotowość zespołu do walki z realnymi zagrożeniami bez konieczności polegania na najbardziej doświadczonych analitykach.
  • Szybkie i efektywne szkolenie personelu: brak konieczności kosztownego i długotrwałego procesu szkoleniowego.
  • Szybsze wdrażanie nowych pracowników: nowi analitycy mogą błyskawicznie zacząć wnosić wkład w ochronę firmy bez dodatkowego obciążania bardziej doświadczonych pracowników.

4. Eliminacja konieczności zarządzania lokalną infrastrukturą 

Wyzwanie: Utrzymywanie lokalnej infrastruktury służącej do analizy złośliwego oprogramowania wiąże się z dużym obciążeniem zarówno w kontekście czasu, budżetu jak i zasobów IT. Zmaganie się z konfiguracją serwerów, kwestiami licencyjnymi oraz ograniczeniami sprzętowymi może stać się poważnym problemem logistycznym, szczególnie w przypadku firm działających w wielu lokalizacjach i stosujących hybrydowy model pracy. 

Rozwiązanie: ANY.RUN eliminuje ten problem dzięki zastosowaniu w pełni chmurowej platformy. Nie ma konieczności konfigurowania ani instalowania narzędzi oraz uaktualnień, a także inwestowania w sprzęt i licencje na oprogramowanie. Wszystko działa z poziomu przeglądarki internetowej. 

Zespół analityków może w ciągu kilku sekund uruchomić gotowe do użycia i skonfigurowane maszyny wirtualne (z systemami Windows, Linux oraz Android) – niezależnie od tego, czy pracują w biurze czy w lokalizacji na drugim końcu świata. ANY.RUN nie ogranicza liczby sesji badawczych, a dodawanie kont dla kolejnych analityków nie wymaga żadnych działań w infrastrukturze firmy. 

Kluczowe zalety sandboxa ANY.RUN

  • Brak konieczności konfigurowania: rozwiązanie działa z poziomu przeglądarki internetowej i jest gotowe do wykorzystania od razu po aktywowaniu licencji. 
  • Analiza bez ograniczeń: brak ograniczeń sprzętowych i wąskich gardeł spowalniających badania. 
  • Gotowe do użycia, profesjonalnie skonfigurowane maszyny wirtualne: analiza może być prowadzona na wielu platformach (Windows, Linux, Android).

Pozytywny wpływ na działalność firmy

  • Oszczędności: nie ma potrzeby inwestowania w dodatkowy sprzęt oraz oprogramowanie.
  • Skalowalność: dodawanie nowych użytkowników jest natychmiastowe.
  • Szybkość działania: działania związane z wdrażaniem nowych pracowników, analizowaniem zagrożeń oraz reagowaniem na nie przebiegają znacznie szybciej niż w przypadku tradycyjnych, utrzymywanych lokalnie konfiguracji.

5. Poprawa koordynacji zespołu

Wyzwanie: Nawet najlepsze narzędzia nie zagwarantują sukcesu, jeżeli zespół nie może efektywnie współpracować. Problemy w komunikacji między analitykami, liderami i menedżerami prowadzą w wielu działach SOC do powielania pracy, niedostrzegania ważnych alertów czy opóźnień w procesach decyzyjnych. 

Rozwiązanie: ANY.RUN posiada wbudowany tryb pracy zespołowej, dzięki któremu specjaliści z działu SOC mogą bez wysiłku współdziałać, nawet jeżeli pracują w różnych lokalizacjach i strefach czasowych. ANY.RUN pozwala błyskawicznie tworzyć różne zespoły, przydzielać role, zarządzać dostępem i śledzić postępy w pracach analitycznych z poziomu łatwego w użytkowaniu interfejsu. 

Zarządzanie zespołem w sandboksie ANY.RUN
Zarządzanie zespołem w sandboksie ANY.RUN

ANY.RUN pozwala także kontrolować ustawienia prywatności. Sesje analityczne mogą być prywatne lub charakteryzować się poziomem dostępu uzależnionym od ról poszczególnych członków zespołu. Dzięki temu poufne dane są zawsze chronione bez ograniczania wygody współpracy. 

Pozytywny wpływ na działalność firmy

  • Więcej informacji dla menedżerów: możliwość monitorowania prac analitycznych bez spowalniania pracy zespołu.
  • Przejrzysta struktura zespołu: łatwe i szybkie definiowanie ról i schematów pracy.
  • Ochrona poufności: dostęp do wrażliwych danych mają jedynie autoryzowani członkowie zespołu.

6. Odciążenie analityków, by mogli się zająć najpoważniejszymi zagrożeniami

Wyzwanie: Ręczna analiza jest czasochłonna, a co za tym idzie poleganie na pracy człowieka przy każdym alercie jest nieefektywne. Z kolei w pełni zautomatyzowane narzędzia często omijają zagrożenia, które wymagają interakcji ze strony użytkownika, np. strony phishingowe wykorzystujące mechanizm CAPTCHA lub szkodliwe moduły w archiwach zabezpieczonych hasłem. 

Rozwiązanie: ANY.RUN eliminuje ten problem dzięki automatycznym interakcjom (funkcja Automated Interactivity) – unikatowej technologii emulującej rzeczywiste zachowanie użytkownika w systemie operacyjnym. Funkcja Automated Interactivity samoczynnie klika, wpisuje teksty, rozwiązuje wyzwania CAPTCHA i otwiera pliki – tak samo, jak robiłby to analityk – zapewniając pełną detonację zagrożenia i przyspieszając proces badawczy. Oznacza to, że nawet w trybie zautomatyzowanym zespół bezpieczeństwa nie przegapi zagrożeń, które aktywują się dopiero po wykonaniu określonych operacji przez użytkownika. 

Zobacz sesję analizy demonstrującą automatyczne interakcje 

W powyższej przykładowej sesji do sandboxa przesłano phishingowy adres URL. Dotarcie do szkodliwej strony wymagało jednak rozwiązania wyzwania CAPTCHA, czyli zadania, którego nie mogłaby wykonać większość narzędzi badawczych. Dzięki funkcji Automated Interactivity ANY.RUN pomyślnie przeszedł przez ten etap, dotarł do zawartości phishingowej i natychmiast wykrył zagrożenie. 

Wyzwanie CAPTCHA rozwiązane z użyciem technologii Automated Interactivity
Wyzwanie CAPTCHA rozwiązane z użyciem technologii Automated Interactivity

Pozytywny wpływ na działalność firmy

  • Skalowalność: obsługa większej liczby alertów bez konieczności rozszerzania zespołu.
  • Obniżenie kosztów operacyjnych: skrócenie czasu analizy, zwiększenie poziomu automatyzacji oraz wyeliminowanie martwych punktów.
  • Niezmienna jakość wykrywania: zwiększenie liczby analiz nie wiąże się z obniżeniem jakości wyników.

7. Uzyskanie lepszej widoczności powstających zagrożeń 

Wyzwanie: Jednym z największych wyzwań stojących przed działami SOC jest pozostanie o krok przed zagrożeniami. Jeżeli zespół specjalistów nie posiada wystarczającej wiedzy lub jest wyposażony w przestarzałe informacje, praca badawcza nie polega na działaniach prewencyjnych lecz sprowadza się do reagowania na ataki, które już się rozpoczęły. To znacznie spowalnia system ochrony i zwiększa prawdopodobieństwo udanego włamania. 

Rozwiązanie: Usługa Threat Intelligence Lookup (TI Lookup) opracowana przez ANY.RUN daje Twojemu zespołowi dostęp do nieustannie uaktualnianych informacji o wskaźnikach infekcji (Indicators of Compromise – IOC), wskaźnikach działania (Indicators of Action – IOA) oraz wskaźnikach zachowania (Indicators of Behavior – IOB) gromadzonych na bazie setek tysięcy analiz w sandboksie wykonywanych przez analityków z działów SOC z całego świata. 

Dzięki ponad 40 parametrom filtrowania badacze mogą generować rozbudowane zapytania, by odkrywać wzorce niebezpiecznego zachowania, identyfikować nowe ataki i wzbogacać prace dochodzeniowe z użyciem najnowszych danych o cyberzagrożeniach. 

Spójrzmy na poniższe przykładowe zapytanie:  

threatName:”telegram” AND (threatName:”phishing” OR threatName:”possible-phishing”) AND (domainName:”*.glitch.me”) 

Zapytanie to pozwala gromadzić dane cyberwywiadowcze dotyczące kampanii phishingowych wykorzystujących szkodliwe strony WWW w domenie glitch.me i wysyłających skradzione dane z użyciem komunikatora Telegram. 

Po wprowadzeniu zapytania usługa TI Lookup wyświetli świeże próbki zagrożeń i wskaźniki pasujące do zastosowanych filtrów, łącznie z adresami IP/URL, domenami oraz odnośnikami do sesji analitycznych w sandboksie. 

Zapytanie do usługi TI Lookup i jego rezultaty
Zapytanie do usługi TI Lookup i jego rezultaty

W ten sposób analityk może w ciągu kilku sekund uzyskać dostęp do setek nowych wskaźników, które pozwolą szybko usprawnić system zabezpieczeń. Co więcej, posiadając kilka takich artefaktów można z łatwością powiązać je ze stojącymi za nimi zagrożeniami, atakami i kampaniami.

Pozytywny wpływ na działalność firmy

  • Ochrona proaktywna: dostęp do danych cyberwywiadowczych pozwalających na wzmocnienie systemów ochrony zanim dojdzie do ataku.
  • Ciągłe monitorowanie: możliwość obserwowania wzorców niebezpiecznych zachowań i uzyskiwania informacji o ewoluujących zagrożeniach charakterystycznych dla określonego środowiska.
  • Szybsza kategoryzacja i reakcja: możliwość szybkiego powiązania poszczególnych wskaźników ze znanymi zagrożeniami oraz kampaniami – szybkie i precyzyjne reagowanie na działania cyberprzestępców.

8. Rozszerzenie możliwości monitorowania i wykrywania zagrożeń 

Wyzwanie: Wiele systemów ochrony bazuje na przestarzałych lub generycznych źródłach danych o zagrożeniach. Skutkuje to słabszą wykrywalnością, koniecznością marnowania czasu na obsługę fałszywych trafień, a także coraz większą różnicą między tym, co widzi Twój zespół, a tym, co faktycznie robią cyberprzestępcy.

Rozwiązanie: Usługa Threat Intelligence Feeds (TI Feeds) od ANY.RUN dostarcza świeże, sprawdzone wskaźniki włamań pochodzące wprost z sesji badawczych w sandboksie uruchamianych przez dziesiątki tysięcy firm na całym świecie. Źródła danych obejmują wzbogacone o metadane wskaźniki powiązane z zachowaniem realnych zagrożeń i całymi łańcuchami ataków. 

Przetestuj i zintegruj strumienie TI Feeds oferowane przez ANY.RUN 

ANY.RUN umożliwia testowanie usługi TI Feeds
ANY.RUN umożliwia testowanie usługi TI Feeds

Źródła danych cyberwywiadowczych są dostępne w popularnych formatach STIX oraz MISP, a ich integracja odbywa się za pośrednictwem protokołu TAXII, co sprawia, że można je z łatwością wykorzystać bezpośrednio w rozwiązaniach SIEM, SOAR czy XDR.

Pozytywny wpływ na działalność firmy

  • Usprawnienie wykrywania: szersza widoczność dzięki danym o zagrożeniach odzwierciedlającym to, co atakujący robią tu i teraz, a nie kilka miesięcy temu. 
  • Przewaga konkurencyjna: możliwość pozostawania o krok przed najnowszymi zagrożeniami i pozycjonowania firmy jako stawiającej bezpieczeństwo na pierwszym planie.
  • Bezpieczeństwo proaktywne: najświeższe dane cyberwywiadowcze pozwalają na błyskawiczne podejmowanie działań prewencyjnych, co daje możliwość redukowania prawdopodobieństwa udanego ataku na firmę.

Pozwól ANY.RUN rozwiązać problemy Twojego działu SOC

Zespoły bezpieczeństwa funkcjonują pod olbrzymią presją – muszą wykrywać coraz więcej zagrożeń i reagować coraz szybciej, a wszystko to przy ograniczonych zasobach. Rozwiązania ANY.RUN powstały, by pomagać działom SOC w realizowaniu tych działań, szybciej, łatwiej i precyzyjniej.

Uruchom wersję trial ANY.RUN i przekonaj się, jak działa interaktywny sandbox 

Informacje o ANY.RUN 

ANY.RUN to rozwiązanie łączące chmurowy, interaktywny sandbox do analizy szkodliwych programów z rozbudowanymi źródłami danych cyberwywiadowczych. Platforma ułatwia pracę analityków z działów SOC oraz jednostek odpowiedzialnych za reagowanie na incydenty. Każdego dnia korzysta z niej ponad 500 000 profesjonalistów z całego świata. 

Źródło: https://any.run/cybersecurity-blog/action-plan-for-soc-webinar-recap/