Лаборатория Касперского планирует выпустить KPSN и Anti-APT

"Лаборатория Касперского" готовит два корпоративных продукта

Российский разработчик средств защиты "Лаборатория Касперского" провела семинар для клиентов Kaspersky Security Day, на котором рассказала о планах по выпуску двух новых продуктов для корпоративных пользователей. В частности, компания планирует летом этого года предложить российским пользователям технологию внутрикорпоративного облака под названием Kaspersky Private Security Network (KPSN), а в начале следующего года - технологию для защиты от целенаправленных атак под условным названием Kaspersky Anti-APT.

По своей сути KPSN является локальной репликой глобальной сети KSN, данными из которой пользуются все антивирусные продукты "Лаборатории Касперского" для определения репутации файлов и URL, а также выявления шаблонов вредоносного поведения. Начало эксплуатации облака KSN датируется 2008 годом, и на текущий момент KSN представляет собой глобальную сеть из более чем 200 серверов, расположенных в 6 ЦОДах компании по всему миру. Система обрабатывает до 600 тыс. запросов в день, для чего используется технология распределенных вычислений. KSN позволяет пользователям не только оперативно получать обновления антивирусных сигнатур, но и автоматически отправлять в антивирусную лабораторию компании сведения о подозрительных файлах. В результате, облачная технология KSN позволяет пользователям защищать свои устройства практически в первые минуты нападения с помощью репутационных технологий, а не ждать несколько часов пока антивирусные эксперты подготовят и поверят сигнатуру для защиты от нового вредоноса.

Однако существующая уже несколько лет облачная защита KSN требует отсылки определенных данных из корпоративной сети заказчика в облако "Лаборатории Касперского" - конечно, представители компании всегда заявляют, что ни какой информации о пользователях не собирается в KSN, тем не менее пересылка данных из корпоративной сети на внешние серверы не всегда нравится клиентам. Это связано в том числе и с определённым недоверием к производителю средств защиты, особенно когда продукты "Лаборатории Касперского" продаются зарубежным клиентам. Да и на территории России у некоторых заказчиков есть требования регуляторов не пересылать во внешние сети данных из внутренних, защищенных сегментов.

Таким клиентам "Лаборатория Касперского" собирается предложить установку локальной реплики хранилища данных из KSN - это и есть KPSN, которая уже начала тестироваться у некоторых крупных заказчиков. Для функционирования локальной установки требуется сервер с объёмом жёсткого диска в 500 Гбайт, но с большой оперативной памятью - минимум 256 Гбайт. При установке такого устройства вся репутационная информация будет накапливаться в компании, а новые сведения загружаться из глобальной KSN. Обратно же заказчики могут присылать только те файлы, которые вызывают у них подозрение - для этого клиентам, купившим KPSN, предлагают воспользоваться специальным веб-интерфейсом для основного KSN. Официально продукт планируется предложить клиентам в конце июня.

Продукт под названием Anti-APT "Лаборатория Касперского" планирует запустить на тестирование в конце это года, а открыть для всех желающих - в начале следующего. Ожидается, что этот продукт будет помогать специалистами ИБ выявлять целенаправленные атаки с помощью ранее неизвестных вредоносов и эксплойтов. Для этого "Лаборатория Касперского" планирует использовать три компонента: эмулятор рабочего окружения клиента (так называемую песочницу), сенсоры сетевой активности и агенты для рабочих станций. Информация из этих модулей, расположенных по всей корпоративной сети, будет собираться в центр управления, где и будет приниматься решение о вредоносной активности. При этом компания рассчитывает представить не только инструмент для защиты от нападений, но и для проведения последующего расследования инцидентов - сенсоры и агенты будут собирать сведения о деятельности подозрительных программ, которые могут в последствии быть использованы для поиска нарушителей и доказательства их вины. Причём, вполне возможно, что оба планируемых к выпуску корпоративных продукта будут взаимодействовать друг с другом.

ИИ научился клепать клоны Android-приложений почти за копейки

Нейросети могут за несколько минут изменить Android-приложение, пересобрать его и сохранить работоспособность. Причём цена такой операции начинается с 88 копеек, выяснили специалисты Positive Technologies. Эксперимент провели на 90 приложениях разных категорий.

Вредоносный код исследователи не добавляли: они вносили нейтральное изменение и проверяли, продолжит ли программа работать после вмешательства.

Результат получился неприятный. Закрытые коммерческие модели успешно справились с задачей в 84% попыток, модели с открытыми весами — в 61%. В среднем нейросети требовалось 14 итераций и от пяти с половиной до девяти минут.

 

Стоимость одного успешного результата составила от 0,88 до 40,89 рубля. То есть за несколько тысяч рублей потенциальный злоумышленник может попробовать модифицировать сотню популярных приложений.

На практике вместо безобидной правки в APK можно встроить перехват данных, изменить поведение программы или добавить связь с внешним сервером. Затем поддельную сборку легко выдать за оригинал, улучшенную версию или приложение, которое якобы недоступно в официальном магазине.

 

Распространять такие клоны могут через сторонние каталоги, сайты, мессенджеры и тематические сообщества. Особенно уязвимы пользователи, которые привыкли скачивать APK где придётся.

В Positive Technologies отмечают, что ИИ не изобрёл новый вид атаки, но заметно снизил порог входа. То, что раньше требовало времени и навыков реверс-инжиниринга, теперь можно частично поручить нейросети.

Разработчикам советуют защищать код от анализа и изменения, отслеживать появление неофициальных сборок и закладывать безопасность ещё на этапе разработки. Иначе клон приложения может появиться быстрее, чем команда успеет выпустить очередной патч.

RSS: Новости на портале Anti-Malware.ru