Kaspersky、新たな攻撃を既存の攻撃グループと関連付ける「Kaspersky Threat Attribution Engine」

　Kasperskyは9日、マルウェアデータベースを利用し、新たな攻撃を既知の高度サイバー攻撃（Advanced Persistent Threat：APT）グループと関連付ける新しい脅威インテリジェンスソリューソン「Kaspersky Threat Attribution Engine」を提供開始した。

　Kaspersky Threat Attribution Engineは、Kasperskyのグローバル調査分析チーム（GReAT）が使用している社内向けツールを社外向けに展開するもので、組織のセキュリティオペレーションセンター（SOC）のアナリストやインシデント対応者が、発見したマルウェアサンプルを既知のAPTグループと結び付けることを支援するソリューション。

　あるサイバー脅威が、既知のAPTグループまたは攻撃活動と関連しているかどうかを特定するため、新たに見つかった悪意のあるファイルをバイナリの断片に自動的に分解し、それらの断片をKasperskyがこれまでに収集した6万を超えるAPT関連のファイルと比較する。より正確な関連付けを行うために、ホワイトリスト化されたファイルで構成される大規模なデータベースも取り入れている。これにより、マルウェアの優先順位付けと攻撃の識別の品質が大幅に向上するとともに、インシデント対応を円滑にする。

　Kaspersky Threat Attribution Engineでは、分析したマルウェアとデータベース内のサンプルとの類似度に応じて評価スコアを計算し、以前に起こったサイバー攻撃の概要説明と公開情報および非公開情報へのリンク、考えうるマルウェアの発生源と作成者を表示する。また、別途、Kaspersky APT Intelligence Reportサービスを利用している場合は、特定した攻撃者によって使用されている戦術、手法、および手順と、さらなる対応ステップについての専用レポートを確認できる。

　ソリューションは、サードパーティのクラウド環境ではなく、企業のネットワーク上にオンプレミスで導入できるように設計されており、導入企業がデータの共有を制御できる。さらに、導入企業は脅威インテリジェンスに加えて、独自のデータベースを作成し、社内のアナリストが発見したマルウェアサンプルをそのデータベースに蓄積できる。この方法により、情報の機密を維持しつつ、企業のデータベースにある既存マルウェアと類似するマルウェアを結び付けられるようになる。