Threat Attribution Engine, atribución inmediata de los nuevos ataques a los grupos APT

29 junio, 2020
5 Compartido 1,168 Visualizaciones

Nueva solución de inteligencia de amenazas con el objetivo de ayudar a los analistas del SOC

Mediante su método patentado, Kaspersky Threat Attribution Engine compara el código malicioso descubierto con una de las mayores bases de datos de malware de la industria y, basándose en las similitudes del código, lo vincula con un grupo o campaña APT específico. Esta información ayuda a los expertos en seguridad a priorizar las amenazas de alto riesgo sobre los incidentes de menor gravedad.

Al saber quién está atacando a su empresa y con qué propósito, los equipos de seguridad pueden elaborar rápidamente el plan de respuesta a incidentes más adecuado para el ataque. Sin embargo, descubrir al actor que está detrás de un ataque es una tarea difícil, que requiere no solo una gran cantidad de información de inteligencia sobre amenazas (TI) recopilada, sino también las habilidades adecuadas para interpretarla. Para automatizar la clasificación e identificación de malware sofisticado, Kaspersky presenta su nuevo Kaspersky Threat Attribution Engine.

La solución ha evolucionado a partir de una herramienta interna utilizada por el Equipo de Investigación y Análisis Global de Kaspersky (GReAT, por sus siglas en inglés). Así, Kaspersky Threat Attribution Engine se utilizó en la investigación del implante iOS LightSpy, TajMahal, ShadowHammer, ShadowPad y las campañas Dtrack

Para determinar si una amenaza está relacionada con un grupo o campaña APT conocida e identificar cuál, Kaspersky Threat Attribution Engine descompone automáticamente un archivo malicioso recién encontrado en pequeñas piezas binarias. Después, compara estas piezas con las de la colección de Kaspersky de más de 60 mil archivos relacionados con APT. Para una atribución más precisa, la solución también incorpora una gran base de datos de archivos de la lista blanca. Esto mejora significativamente la calidad del triaje del malware y la identificación de los ataques, y facilita la respuesta a los incidentes.

Dependiendo de la similitud del archivo analizado con las muestras de la base de datos, Kaspersky Threat Attribution Engine calcula su puntuación de reputación y señala su posible origen y autor con una breve descripción y enlaces a recursos tanto privados como públicos que describen las campañas anteriores. Los suscriptores de Kaspersky APT Intelligence Reporting pueden ver un informe sobre las tácticas, técnicas y procedimientos utilizados por el actor de la amenaza identificada, así como otras medidas de respuesta adicionales.

Kaspersky Threat Attribution Engine está diseñado para ser desplegado en la red “on-premise” del cliente, en lugar de en un entorno cloud de terceros. Este enfoque otorga al cliente el control sobre el intercambio de datos.

Además de la inteligencia sobre amenazas, los clientes pueden crear su propia base de datos y alimentarla con las muestras de malware encontradas por los analistas internos. De esta forma, Kaspersky Threat Attribution Engine aprenderá a atribuir un malware análogo al de la base de datos del cliente, manteniendo esta información confidencial.

«Hay varias maneras de revelar quién está detrás de un ataque. Por ejemplo, los analistas pueden basarse en los artefactos del malware, que pueden determinar el idioma nativo de los atacantes, o en las direcciones IP que sugieren dónde podrían estar ubicados. Sin embargo, un atacante hábil podría ser capaz de manipularlos, lo que lleva a los analistas a atascarse en una investigación, como ya hemos visto en muchos casos. Según nuestra experiencia, la mejor manera es buscar el código compartido que las muestras tienen en común con otras identificadas en incidentes o campañas anteriores. Desafortunadamente, este tipo de investigación manual puede llevar días o incluso meses.

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

Tixeo firma un acuerdo con Cefiros para la distribución de su software de videoconferencia segura
Soluciones Seguridad
16 compartido1,443 visualizaciones
Soluciones Seguridad
16 compartido1,443 visualizaciones

Tixeo firma un acuerdo con Cefiros para la distribución de su software de videoconferencia segura

Vicente Ramírez - 8 agosto, 2019

Tixeo, fabricante europeo de software de videoconferencia segura en entornos multipunto, ha cerrado un acuerdo con Cefiros para la distribución…

Cuatro peligrosas apps de Apple roban datos y los envían a China
APTS
17 compartido3,111 visualizaciones
APTS
17 compartido3,111 visualizaciones

Cuatro peligrosas apps de Apple roban datos y los envían a China

Mónica Gallego - 14 septiembre, 2018

La empresa de ciberseguridad Malwarebytes asegura que cuatro de las apps de Apple Store roban datos personales de los usuarios…

La MFA de Office 365 falla por segunda vez en una semana
Soluciones Seguridad
20 compartido2,607 visualizaciones
Soluciones Seguridad
20 compartido2,607 visualizaciones

La MFA de Office 365 falla por segunda vez en una semana

Mónica Gallego - 7 diciembre, 2018

La autenticación de múltiples factores (MFA) de Microsoft para Office 365 y Azure Active Directory ha caído por segunda vez…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.