Kaspersky presentó su nueva solución Threat Intelligence diseñada para ayudar a los interesados y analistas de SOC a asignar muestras de malware detectadas a grupos de amenazas persistentes avanzadas (APT) ya identificadas.
El “Motor de atribución de amenazas de Kaspersky” compara efectivamente cualquier código malicioso nuevo descubierto con el referenciado en una de las bases de datos más grandes del sector y, según las similitudes, lo vincula a un grupo o campaña APT específico. Esta información ayuda a los expertos en seguridad a priorizar las amenazas de alto riesgo sobre los incidentes menos graves.
Al descubrir quién está atacando su negocio y con qué propósito, los equipos de seguridad pueden desarrollar rápidamente un plan de respuesta apropiado para contrarrestar la amenaza. Sin embargo, identificar la organización detrás de cualquier ataque es una tarea difícil, que requiere no solo una gran cantidad de Inteligencia de amenazas, sino también las habilidades para interpretarlo.
“Nuestra experiencia muestra que la mejor manera de atribuir un ataque es buscar un código compartido entre las muestras y otros ya identificados en incidentes o campañas anteriores. Desafortunadamente, tal investigación, realizada individualmente y sin automatización, puede tomar días o incluso meses para los analistas. Para acelerar este análisis, creamos Kaspersky Threat Attribution Engine, ahora disponible para los servicios de seguridad de cada compañía “, explica Costin Raiu, director del equipo de investigación y análisis global (GReAT ) de Kaspersky.
Según las similitudes entre el archivo analizado y las muestras contenidas en la base de datos, Kaspersky Threat Attribution Engine determina su puntaje de reputación. También destaca su origen y el autor potencial, a través de un breve resumen del análisis que presenta enlaces a recursos privados y públicos, así como campañas anteriores que pueden vincularse a la muestra analizada. Las empresas que utilizan Kaspersky APT Intelligence Reporting pueden acceder a un informe dedicado a las tácticas, técnicas y procedimientos utilizados por el actor de la amenaza en cuestión, así como a las posibles respuestas al ataque.
El motor de atribución de amenazas de Kaspersky se ha utilizado, entre otras cosas, para investigaciones sobre el malware iOS LightSpy, así como para las campañas TajMahal, ShadowHammer, ShadowPad y Dtrack.