Nueva solución de inteligencia de amenazas con el objetivo de ayudar a los analistas del SOC

Mediante su método patentado, Kaspersky Threat Attribution Engine compara el código malicioso descubierto con una de las mayores bases de datos de malware de la industria y, basándose en las similitudes del código, lo vincula con un grupo o campaña APT específico. Esta información ayuda a los expertos en seguridad a priorizar las amenazas de alto riesgo sobre los incidentes de menor gravedad.

Al saber quién está atacando a su empresa y con qué propósito, los equipos de seguridad pueden elaborar rápidamente el plan de respuesta a incidentes más adecuado para el ataque. Sin embargo, descubrir al actor que está detrás de un ataque es una tarea difícil, que requiere no solo una gran cantidad de información de inteligencia sobre amenazas (TI) recopilada, sino también las habilidades adecuadas para interpretarla. Para automatizar la clasificación e identificación de malware sofisticado, Kaspersky presenta su nuevo Kaspersky Threat Attribution Engine.

La solución ha evolucionado a partir de una herramienta interna utilizada por el Equipo de Investigación y Análisis Global de Kaspersky (GReAT, por sus siglas en inglés). Así, Kaspersky Threat Attribution Engine se utilizó en la investigación del implante iOS LightSpy, TajMahal, ShadowHammer, ShadowPad y las campañas Dtrack

Para determinar si una amenaza está relacionada con un grupo o campaña APT conocida e identificar cuál, Kaspersky Threat Attribution Engine descompone automáticamente un archivo malicioso recién encontrado en pequeñas piezas binarias. Después, compara estas piezas con las de la colección de Kaspersky de más de 60 mil archivos relacionados con APT. Para una atribución más precisa, la solución también incorpora una gran base de datos de archivos de la lista blanca. Esto mejora significativamente la calidad del triaje del malware y la identificación de los ataques, y facilita la respuesta a los incidentes.

Dependiendo de la similitud del archivo analizado con las muestras de la base de datos, Kaspersky Threat Attribution Engine calcula su puntuación de reputación y señala su posible origen y autor con una breve descripción y enlaces a recursos tanto privados como públicos que describen las campañas anteriores. Los suscriptores de Kaspersky APT Intelligence Reporting pueden ver un informe sobre las tácticas, técnicas y procedimientos utilizados por el actor de la amenaza identificada, así como otras medidas de respuesta adicionales.

Kaspersky Threat Attribution Engine está diseñado para ser desplegado en la red “on-premise” del cliente, en lugar de en un entorno cloud de terceros. Este enfoque otorga al cliente el control sobre el intercambio de datos.

Además de la inteligencia sobre amenazas, los clientes pueden crear su propia base de datos y alimentarla con las muestras de malware encontradas por los analistas internos. De esta forma, Kaspersky Threat Attribution Engine aprenderá a atribuir un malware análogo al de la base de datos del cliente, manteniendo esta información confidencial.

«Hay varias maneras de revelar quién está detrás de un ataque. Por ejemplo, los analistas pueden basarse en los artefactos del malware, que pueden determinar el idioma nativo de los atacantes, o en las direcciones IP que sugieren dónde podrían estar ubicados. Sin embargo, un atacante hábil podría ser capaz de manipularlos, lo que lleva a los analistas a atascarse en una investigación, como ya hemos visto en muchos casos. Según nuestra experiencia, la mejor manera es buscar el código compartido que las muestras tienen en común con otras identificadas en incidentes o campañas anteriores. Desafortunadamente, este tipo de investigación manual puede llevar días o incluso meses.