El nuevo servicio de inteligencia para empresas: ¡rayos X para las ciberamenazas!

Eugene Kaspersky nos habla de un nuevo servicio en desarrollo para detectar ciberamenazas.

Los humanos son curiosos. Está en su naturaleza intentar responder a los “por qué” y los “cómo” de cualquier cosa. Y esto también se aplica a la ciberseguridad; de hecho, el doble: responder a los “por qué” y los “cómo” de las ciberamenazas es la base sobre la que se basa la ciberseguridad y, por consiguiente, sobre la que se basa KL.

Para nosotros, responder a los “por qué” y los “cómo” significa desmontar cada ciberataque en sus respectivas piezas constitutivas, analizarlas todas y, si es necesario, desarrollar una protección específica. Y siempre es mejor hacerlo proactivamente, con base en los errores de los otros y sin esperar a que ataquen lo que protegemos.

Para resolver esta desafiante tarea, tenemos un montón de servicios de inteligencia para empresas. Esta colección de herramientas ciberprecisas consta de formación de personal, servicios de inteligencia de seguridad que dan información detallada sobre ataques descubiertos, servicios de pruebas de penetración, auditoria de aplicaciones, investigación de incidentes, etc.

Ese “etcétera” incluye nuestro nuevo servicio (KTL, Kaspersky Threat Lookup), un microscopio inteligente para diseccionar objetos sospechosos y descubrir las fuentes y los historiales de seguimiento de los ciberataques, correlaciones multivariadas y grados de peligro en infraestructuras corporativas. Se trata de un rayo X para ciberamenazas.

De hecho, todos nuestros usuarios ya cuentan con la versión lite de este servicio. Nuestros productos para hogar ya pueden comprobar la puntuación de seguridad de un archivo, pero los clientes empresariales necesitan contar con un análisis más profundo y riguroso de las amenazas.

KTL se puede usar no solo para analizar archivos, sino también URLs, direcciones IP y dominios. Puede analizar objetos en busca de ataques dirigidos, especificaciones de comportamiento y estadísticas, información WHOIS/DNS, atributos de archivos, descargar cadenas, etc.

Sí, es como un motor de búsqueda pero que solo busca ciberamenazas. El personal especializado solo debe introducir los detalles de cierto objeto sospechoso en él y KTL nos devolverá un informe sobre su “maldad” (aspectos históricos, geográficos, entre otros, además de sus conexiones con otros eventos y objetos). Todo en tiempo real, 24/7.

Los resultados, los objetos sospechosos y los indicadores de peligro se pueden exportar a formatos legibles (STIX, OpenIOC, JSON, Yara, Snort, CSV…) para integrarse con los SIEM corporativos.

¿Y de dónde extrae sus datos KTL? Existen varias fuentes.

En primer lugar, está nuestro KSN basado en la nube, el cual contiene información anónima sobre la situación epidémica de cientos de millones de usuarios de todo el mundo. Al usarlo, los clientes no solo cuidan de sí mismos (participar en KSN incrementa automáticamente la calidad de la protección), sino que también ayudan a cumplir con una importante misión humanitaria: cuidar de otros y, a su vez, reducir el nivel general de ciberamenazas que hay en Internet.

En segundo lugar, está nuestra tecnología que analiza la actividad de la red, incluidas trampas de spam, monitorización botnet, gusanos, varios sensores de redes y robots inteligentes que funcionan mediante aprendizaje automático. Y, por supuesto, están los resultados de las investigaciones que realizan los ciberninjas de GReAT sobre los complejos ataques dirigidos.

En tercer lugar, están nuestros desarrolladores de software. A propósito, su papel crecerá con el tiempo hasta llegar a ser predominante. Sí, tenemos grandes planes para el futuro, pero no entraré en detalles todavía.

Por ahora, les hablaré de nuestros planes para un futuro próximo.

En la actualidad, estamos trabajando en añadir a KTL funciones de análisis de objetos sospechosos en un entorno seguro (un aislamiento de procesos en la nube).

Por ejemplo, se mueve un archivo al aislamiento de procesos y se ejecuta en una máquina virtual especial (con un sistema de inicio patentado). Las máquinas virtuales están totalmente aisladas de otras y de redes internas y cuentan con una conectividad externa limitada. Las máquinas virtuales son idénticas a los ordenadores físicos, por lo que los objetos hacen lo mismo que harían en el mundo real. Las máquinas registran todas las acciones que un objeto en ejecución lleva a cabo (como nuestra protección KATA para ataques dirigidos). Todos los resultados se compilan en un informe detallado en el que se muestra cómo habría actuado el objeto si hubiera estado en una situación del mundo real; además, también se entrega una opinión del alcance del comportamiento de riesgo.

Además, la segmentación es una herramienta útil con la que trabajar con archivos de metadatos y URLs. En las próximas versiones se añadirá la habilidad de extraer diferentes metadatos y realizar búsquedas personalizadas en los mismos. Por ello, será posible realizar investigaciones extensas sobre malware basándonos en la similitud de varios parámetros y comprender así la globalidad de los ataques sofisticados. Por ejemplo, con la ayuda de esta herramienta, será posible pedirle: “busca archivos que al iniciarse hagan esto o aquello” o “busca todos los archivos que se llamen así” o “busca archivos que se ajusten a estos parámetros de un motor antivirus” o “busca archivos cuyo código contenga esta u otra línea”.

Cómo podrán ver, tenemos en desarrollo un ciberrayo X multifunción, pero algunas de sus funcionalidades ya se pueden usar (y nos pueden recomendar nuevas características:).

Aquí encontrarán más detalles sobre KTL.

Consejos