卡巴斯基发布了最新的威胁情报解决方案，旨在帮助安全运营中心（SOC）分析人员和事件响应者溯源恶意软件样本到先前发现的APT组织。使用其专有方法，卡巴斯基威胁溯源引擎可将发现的恶意代码与业界最大的恶意软件数据库之一进行匹配，可在几秒钟内将根据代码的相似性，将其与特定的APT组织或活动联系起来。这些信息能够帮助安全专家优先处理高风险威胁，而不是严重程度较低的事件。

通过了解谁正在攻击公司，出于什么目的发动攻击，安全团队可以迅速提出针对攻击量身定制的事件响应计划。但是，揭示攻击幕后的行为者是一项很具挑战性的任务，这不仅需要收集大量的威胁情报（TI），还需要正确的技能来解读这些情报。为了自动对复杂恶意软件进行分类和识别，卡巴斯基推出了其最新的卡巴斯基威胁溯源引擎。

该解决方案是从卡巴斯基全球研究和分析团队（GReAT）使用的一款内部工具演化而来的，该团队是世界知名的资深威胁追踪团队。例如，在调查iOS植入物 LightSpy、TajMahal、ShadowHammer、ShadowPad和 Dtrack行动时，都用到了卡巴斯基威胁溯源引擎。

为了判断一种威胁是否与已知的APT组织或攻击行动有关，并且查明与哪个组织有关，卡巴斯基威胁溯源引擎会自动将新发现的恶意文件分解成小的二进制片段。之后，将这些片段与卡巴斯基收集到的超过60,000个与APT相关的文件进行比较。为了获得更精确的溯源，该解决方案集成了一个大型白名单文件数据库。这大大提升了恶意软件分类和攻击识别的质量，促进了事件响应。

根据所分析文件与数据库中样本的相似程度，卡巴斯基威胁溯源引擎将计算被分析文件的声誉得分，并通过简短说明突出显示其可能的来源和作者，并附上相关私人和公关资源的链接，介绍其之前的攻击活动情况。卡巴斯基APT情报报告服务订阅用户可以得到一份专门的报告，介绍被识别的威胁行为者使用的战术、技术和步骤，以及进一步的应对步骤。

卡巴斯基威胁溯源引擎被设计成可部署在客户网络中，即“本地部署”，而不是在第三方云环境中部署。这种方法使客户能够控制数据共享。

除了“即开即用”的威胁情报外，客户还可以创建自己的数据库，将自主分析发现的恶意软件样本导入该解决方案。这样一来，卡巴斯基威胁溯源引擎就会学习将恶意软件与客户数据库中的恶意软件进行类似的溯源，同时对这些信息进行保密。

卡巴斯基全球研究和分析团队总监Costin Raiu评论说：“有多种方法可以揭示谁是攻击的幕后黑手。例如，分析人员可以依靠恶意软件中的人工证据，判断攻击者所使用的母语，或者根据IP地址判断攻击者可能的地理位置。但是，对熟练的攻击者来说，操纵这些证据不是问题，从而导致研究人员在调查中陷入困境，这种情况在很多案例中都出现过。我们的经验表明，最好的方法是寻找共享代码，寻找这些样本与之前的事件或攻击行动中发现的其他样本的共同之处。不幸的是，这种人工调查可能需要几天甚至几个月的时间。为了自动化并加快这项任务，我们创建了卡巴斯基威胁溯源引擎，目前该解决方案已经可供公司客户使用”。

卡巴斯基威胁溯源引擎已在全球范围内上市。更多有关该解决方案的详情，请点击此链接。

关于卡巴斯基

卡巴斯基是一家成立于1997年的全球网络安全公司。卡巴斯基不断将深度威胁情报和安全技术转化成最新的安全解决方案和服务，为全球的企业、关键基础设施、政府和消费者提供安全保护。公司提供全面的安全产品组合，包括领先的端点保护解决方案以及多种针对性的安全解决方案和服务，全面抵御复杂的和不断演化的数字威胁。全球有超过4亿用户使用卡巴斯基技术保护自己，我们还帮助全球250,000家企业客户保护最重要的东西。