Además de la excelente respuesta del usuario de Quora, destacaré algunos diferenciadores clave específicos de la plataforma de detección de infracciones de Lastline:
- Enfoque de emulación de sistema completo para Sandboxing
La mayoría de las soluciones de Sandboxing utilizan virtualización y dependen de las llamadas del sistema para la detección. Esto proporciona una visión fundamentalmente limitada del comportamiento del malware y la vulnerabilidad a las huellas digitales y la evasión. En Lastline, emulamos un sistema completo, incluida la CPU y la memoria, lo que significa que el malware no puede ejecutar ningún comportamiento en el que no tengamos visibilidad. Por ejemplo, cuando se le presenta un ciclo de bloqueo (una técnica de evasión cada vez más común), el sandbox de Lastline puede ver el ciclo ejecutándose en la CPU, interactuar con él y forzar la ejecución. Los sandboxes que se basan en la virtualización no pueden ver este bucle ni interactuar con él, lo que limita su capacidad para determinar la malicia. Más allá de la susceptibilidad a la evasión, hay un impacto significativo en la cantidad de información disponible después de la detección exitosa de un objeto malicioso. Por ejemplo, en un POC reciente en el que nos compararon con un competidor popular, los dos entornos limitados detectaron con éxito una pieza de malware. Sin embargo, mientras que el competidor produjo solo una línea de texto que marcaba la muestra como maliciosa, Lastline pudo devolver un informe de varias páginas que detallaba cada comportamiento que el malware había ejecutado. Esto se vuelve importante al proporcionar contexto para reducir el tiempo de respuesta a incidentes.
- Escalabilidad de detección + enfoque de software
El acercamiento común al sandboxing está basado en dispositivos. En contraste, la plataforma de software de Lastline se ejecuta en hardware estándar. Esto permite a los clientes hacer cosas muy interesantes, como escalar la capacidad de análisis de malware de forma gratuita, sobre la marcha. Esto significa que si está experimentando un volumen anormalmente alto de objetos desconocidos, simplemente puede hacer girar más motores Lastline (Sandbox Component) para manejar el volumen en paralelo. Los entornos limitados basados en dispositivos se dejarían encendidos a través de la cola de análisis, lo que dejaría una ventana de tiempo abierta en la que carecería de visibilidad en una violación de seguridad activa. Una metáfora simple que ilustra el contraste es el alojamiento web de un solo servidor frente al host elástico en la nube, como Rackspace (empresa). Lanza suficiente tráfico en el servidor único y tu aplicación deja de funcionar, mientras que el alojamiento elástico permite el aprovisionamiento sobre la marcha para manejar cualquier volumen de tráfico.
- Interoperabilidad + Arquitectura abierta
Nuestra plataforma fue construida con potentes API y recientemente hemos agregado integraciones llave en mano con socios como IBM (compañía), Tripwire, Bit9 (compañía), Juniper Networks (compañía) … la lista continúa. Piense en los SIEM, la seguridad de la red, los puntos finales, los MSSP, etc. Además, nuestro entorno de pruebas impulsa la solución Dell SecureWorks MSSP y las soluciones APT que ofrecen Watchguard y Barracuda Networks (compañía). Nuestra filosofía es que debemos ofrecer no solo la mejor detección, sino que también debemos hacerlo de tal manera que se adapte a los flujos de trabajo existentes de IR y SOC. Capacitamos a los equipos para aprovechar al máximo sus infraestructuras de seguridad existentes, en lugar de ofrecer una solución independiente que aumente la complejidad.
Lo que dijo el usuario de Quora “En otras palabras, como respondedor de incidentes es más valioso para mí si detecto malware en la fase de entrega ANTES de la infección en lugar de identificar el tráfico C2 DESPUÉS de que una infección ya haya ocurrido”. está de acuerdo con lo que estamos escuchando de las compañías con las que trabajamos en todas las industrias. Es por eso que ofrecemos más que sandboxing independiente. Al combinar el análisis de red con el sandboxing, podemos detectar y tomar medidas en las etapas clave de la cadena de ataque de extremo a extremo, desde Drive-by hasta Download hasta el C2 posterior.
Espero que esto ayude a arrojar algo de luz. Por favor no dude en contactarme con cualquier pregunta. Además, puede obtener más información en nuestro sitio web: Lastline Breach Detection Platform.
