Kaspersky acelera la detección de ATP con Kaspersky Threat Attribution Engine

  • Endpoint

Datos Inteligencia Amenazas

La solución compara un código malicioso descubierto con una de las mayores bases de datos de malware de la industria y, según las similitudes del código, lo vincula a un grupo de APT, ayudando a los expertos en seguridad a priorizar las amenazas de alto riesgo sobre otras menos graves.

Kaspersky ha lanzado una nueva solución de inteligencia de amenazas destinada a ayudar a los analistas de SOC y expertos en detección de incidentes a atribuir muestras de malware a grupos de amenazas persistes avanzadas (APT) conocidos. Usando su método patentado, Kaspersky Threat Attribution Engine compara un código malicioso descubierto con una de las bases de datos de malware más grandes de la industria y, según las similitudes del código, lo vincula a un grupo o campaña APT específico. Esta información ayuda a los expertos en seguridad a priorizar las amenazas de alto riesgo sobre los incidentes menos graves.

Recomendados: 

WEBINAR >> Vídeo colaboración y reuniones virtuales para una comunicación efectiva Registro 

WEBINAR >> Automatización Inteligente de Procesos para asegurar la continuidad del negocio Registro

Al saber quién está atacando a su empresa y con qué propósito, los equipos de seguridad pueden elaborar rápidamente el plan de respuesta a incidentes personalizado para el ataque. Sin embargo, revelar al actor que está detrás de un ataque es una tarea desafiante, que requiere no solo una gran cantidad de inteligencia de amenazas, sino también las habilidades adecuadas para interpretarlo. Kaspersky Threat Attribution Engine permite automatizar la clasificación e identificación de malware sofisticado.

La solución ha evolucionado a partir de una herramienta interna utilizada por el Equipo Global de Investigación y Análisis (GReAT) de Kaspersky, un equipo de threat hunters con experiencia mundial. Por ejemplo, Kaspersky Threat Attribution Engine se aprovechó en la investigación de las campañas LightSpy, TajMahal, ShadowHammer, ShadowPad y Dtrack.

Disponible a nivel mundial, Kaspersky Threat Attribution Engine está diseñado para implementarse en la red de un cliente, "on-premise", en lugar de en un entorno cloud de terceros. Este enfoque otorga al cliente un control sobre el intercambio de datos. Además de la inteligencia de amenazas "lista para usar", los clientes pueden crear su propia base de datos y llenarla con muestras de malware encontradas por analistas internos. De esa forma, Kaspersky Threat Attribution Engine aprenderá a atribuir malware análogo al de la base de datos de un cliente, manteniendo confidencial esta información.

“Hay varias formas de revelar quién está detrás de un ataque. Por ejemplo, los analistas pueden confiar en los artefactos del malware, que pueden determinar el idioma nativo de los atacantes o las direcciones IP que sugieren dónde podrían ubicarse. Sin embargo, no es un problema para un atacante experto manipularlos, lo que lleva a un investigador a estancarse en una investigación, como ya hemos visto en muchos casos. Nuestra experiencia muestra que la mejor manera es buscar el código compartido que las muestras de malware tienen en común con otras identificadas en incidentes o campañas anteriores. Desafortunadamente, dicha investigación manual puede llevar días o incluso meses. Para automatizar y acelerar esta tarea, creamos Kaspersky Threat Attribution Engine, que ahora está disponible para los clientes de la compañía”, comenta Costin Raiu, director del Equipo Global de Investigación y Análisis de Kaspersky.

Suscríbete a nuestro Newsletter

* Todos los campos son requeridos