Kaspersky presenta nueva solución de inteligencia de amenazas

Noticias

[11/06/2020] Kaspersky ha lanzado su nueva solución de inteligencia de amenazas con el objetivo de ayudar a los analistas del SOC y a los respondedores de incidentes a atribuir muestras de malware a grupos APT previamente revelados.

“Utilizando nuestro método patentado, Kaspersky Threat Attribution Engine compara un código malicioso descubierto con una de las mayores bases de datos de malware de la industria y, basándose en las similitudes del código, lo vincula con un grupo o campaña APT específico. Esta información ayuda a los expertos en seguridad a priorizar las amenazas de alto riesgo sobre los incidentes menos graves”, señaló Costin Raiu, director global de Research & Analysis Team en Kaspersky.

Al saber quién está atacando a su empresa y con qué propósito, añadió el ejecutivo, los equipos de seguridad pueden elaborar rápidamente el plan de respuesta a incidentes más adecuado para el ataque. “Sin embargo, descubrir al actor que está detrás de un ataque es una tarea difícil, que requiere no solo una gran cantidad de información de inteligencia sobre amenazas (TI) recopilada, sino también las habilidades adecuadas para interpretarla. Para automatizar la clasificación e identificación de malware sofisticado, Kaspersky presenta su nuevo Kaspersky Threat Attribution Engine”, indicó el ejecutivo.
Añadió que la solución ha evolucionado a partir de una herramienta interna utilizada por el Equipo de Investigación y Análisis Global de Kaspersky (GReAT, por sus siglas en inglés). Por ejemplo, Kaspersky Threat Attribution Engine fue aprovechado en la investigación del implante iOS LightSpy, TajMahal, ShadowHammer, ShadowPad y las campañas Dtrack, señaló.

“Para determinar si una amenaza está relacionada con un grupo o campaña APT conocida e identificar cuál, Kaspersky Threat Attribution Engine descompone automáticamente un archivo malicioso recién encontrado en pequeñas piezas binarias. Después de eso, compara estas piezas con las de la colección de Kaspersky de más de 60 mil archivos relacionados con APT. Para una atribución más precisa, la solución también incorpora una gran base de datos de archivos de la lista blanca. Esto mejora significativamente la calidad del triaje del malware y la identificación de los ataques y facilita la respuesta a los incidentes”, explicó Raiu.

Dependiendo de la similitud del archivo analizado con las muestras de la base de datos, añadió, Kaspersky Threat Attribution Engine calcula su puntuación de reputación y destaca su posible origen y autor con una breve descripción y enlaces a recursos tanto privados como públicos, esbozando las campañas anteriores. Los suscriptores de Kaspersky APT Intelligence Reporting pueden ver un informe dedicado a las tácticas, técnicas y procedimientos utilizados por el actor de la amenaza identificada, así como los pasos de respuesta posteriores.

“Kaspersky Threat Attribution Engine está diseñado para ser desplegado en la red de un cliente, “in situ”, en lugar de en un entorno de nube de terceros. Este enfoque otorga al cliente el control sobre el intercambio de datos”, anotó Raiu.

Finalizó señalando que, además de la inteligencia sobre amenazas disponible “desde el principio”, los clientes pueden crear su propia base de datos y llenarla con muestras de malware encontradas por analistas internos. De esta manera, Kaspersky Threat Attribution Engine aprenderá a atribuir un malware análogo al de la base de datos de un cliente, manteniendo esta información confidencial”, finalizó.

Ver información original al respecto en Fuente>