Den ersten Baustein bilden die Threat Intelligence Feeds von ANY.RUN. Sie liefern laut Anbieter einen kontinuierlichen Strom von Indikatoren (IOCs) – IP-Adressen, Domains und URLs –, die in aktiven Sandbox-Sitzungen und Untersuchungen über mehr als 15.000 Organisationen und 600.000 SOC-Fachleute hinweg beobachtet wurden. ANY.RUN betont, dass diese Daten nicht von Drittanbietern recycelt seien, sondern aus realen Ausführungsumgebungen stammten, in denen täglich echte Malware laufe.
Die Feeds lassen sich nach Darstellung des Unternehmens über Standardformate wie STIX/TAXII, CSV und JSON direkt in SIEM-, Firewall-, EDR- und Threat-Intelligence-Plattformen einbinden, sodass sich der Erkennungs-Stack automatisch aktualisiert, ohne dass Analysten eingreifen müssen. Damit solle die Wahrscheinlichkeit sinken, dass Angreifer unbemerkt im Netz verweilen. Ein SIEM, das nur auf Indikatoren von gestern reagiere, sei „ein Filter mit Löchern".
Der zweite Baustein ist Threat Intelligence Lookup. Analysten erhalten damit nach Angaben von ANY.RUN auf Abruf Zugriff auf eine fortlaufend aktualisierte Datenbank und sehen zu einer Anfrage – etwa zu einer Ziel-IP wie 181.134.198.53 – unmittelbar verwandte Malware-Familien, Netzwerkverhalten, Ausführungsketten, Erkennungskennzeichnungen und zugehörige Infrastruktur. Das größte verborgene Risiko im SOC sei nicht das Volumen der Warnmeldungen, sondern fehlender Kontext. Untersuchungsreifer Kontext stehe so innerhalb von Sekunden bereit, was Tempo und Sicherheit der Triage gerade in Phasen mit hohem Alarmaufkommen verbessere.
Den dritten Baustein bildet die Interactive Sandbox. Damit können Analysten verdächtige Dateien und URLs in einer interaktiven Live-Umgebung gefahrlos zur Ausführung bringen und das Verhalten beobachten. Die Plattform wandelt die technische Analyse anschließend in reaktionsfertige Ausgaben um. ANY.RUN verweist auf die Lücke zwischen „Analyse abgeschlossen" und „Reaktion eingeleitet": Müssten Analysten für Sicherheitsingenieure, Incident-Responder, Management und Compliance jeweils manuell eigene Berichte erstellen, verlangsame das die Untersuchung genau dann, wenn Tempo zähle. Strukturiertes Reporting senke die Reibung bei Eskalationen und beschleunige abgestimmtes Handeln über Sicherheits-, IT-, Leitungs- und Compliance-Teams hinweg.
Anlass des Beitrags ist das zehnjährige Bestehen von ANY.RUN. Zu diesem Jubiläum bietet das Unternehmen nach eigenen Angaben Sonderkonditionen für Teams an, die ihre Phishing-Analyse, ihre Bedrohungsdaten und ihre SOC-Reaktionsabläufe stärken wollen. Die Aktion ist nach Darstellung des Anbieters bis zum 31. Mai befristet.
