inteligencia de amenazas
A menudo, los empleados de los centros de operaciones de seguridad y los departamentos de seguridad de la información acuden a los especialistas de Kaspersky en busca de una ayuda experta. Hemos analizado los motivos más comunes de estas solicitudes con los que hemos desarrollado un servicio especializado que ayuda a los clientes a realizar su consulta directamente con un experto del área que necesita.
Por qué ibas a necesitar la ayuda de un experto
La amenaza de los ciberataques crece constantemente a medida que los ciberdelincuentes encuentran cada vez más formas de conseguir sus objetivos, descubriendo nuevas vulnerabilidades en el hardware y software de aplicaciones, servidores, puertas de enlace de VPN y sistemas operativos que acaban convirtiendo en armas. Cada día surgen cientos de miles de variedades de malware y son muchas las organizaciones, incluidas las corporaciones más importantes e incluso agencias gubernamentales, que caen en las redes de los ataques ransomware. Además, no dejan de salir a la luz nuevas amenazas sofisticadas y campañas de APT.
Teniendo esto en cuenta, la inteligencia de amenazas (TI por sus siglas en inglés) juega un papel de vital importancia. Con tan solo conocer la información sobre las herramientas y tácticas de los ataques se puede construir un sistema de protección adecuado que, en caso de incidente, permita una investigación eficaz, detectando intrusos en la red, expulsándolos y determinando el vector de ataque principal para evitar que se repita el ataque.
Aplicar la inteligencia de amenazas en una organización determinada requiere contar con un especialista interno cualificado que pueda utilizar los datos del proveedor de la inteligencia de amenazas en la práctica. Por consiguiente, este experto se convierte en el activo más valioso de cualquier investigación de amenazas. Dicho esto, contratar, formar y mantener a los analistas de ciberseguridad es caro, por lo que no todas las empresas pueden permitirse mantener a un equipo de expertos.
Las preguntas más frecuentes
Son varios los departamentos de Kaspersky que ayudan a los clientes a enfrentarse a los ciberincidentes. Están el Equipo de análisis e investigación global (GReAT), el Equipo de respuesta a emergencias global (GERT) y el equipo de investigación de amenazas, el Kaspersky Threat Research Team. En total, hemos juntado a más de 250 analistas y expertos de primera categoría mundial. Y todos estos equipos reciben una gran cantidad de solicitudes relacionadas con las ciberamenazas. Después de analizar las últimas solicitudes, hemos identificado las siguientes categorías.
Análisis de malware o software sospechoso
Una situación con la que nos encontramos muy a menudo implica la activación de la lógica de detección en la seguridad del endpoint o las reglas de la búsqueda de amenazas. El servicio de seguridad de la empresa o SOC investiga la alerta, encuentra un objeto sospechoso o malicioso, pero no cuenta con los recursos para llevar a cabo un estudio detallado. Entonces la empresa pide a nuestros expertos que determinen la funcionalidad del objeto en cuestión, su grado de peligrosidad y cómo asegurarse de que el incidente quede resuelto después de su eliminación.
Si nuestros expertos pueden identificar rápidamente lo que ha enviado el cliente, responden de inmediato; contamos con una base de conocimientos gigante con las herramientas más típicas de los atacantes y más de mil millones de muestras de malware únicas. De lo contrario, nuestros analistas tendrán que investigar el asunto y, en los casos más complejos, esto podría demorarse.
Información adicional sobre los indicadores de compromiso
La mayoría de las empresas utiliza una amplia variedad de fuentes para los indicadores de compromiso (IoC por sus siglas en inglés). El valor de los IoC reside básicamente en la disponibilidad del contexto, es decir, la información adicional sobre el indicador y su relevancia. No obstante, este contexto no siempre está disponible. Por ello, después de detectar un IoC en un sistema SIEM, por ejemplo, los analistas del SOC deberán analizar la presencia de un activador y comprender que un incidente puede ser posible pero falta la información para su posterior investigación.
En este tipo de casos, pueden enviarnos una solicitud para proporcionar información sobre el IoC detectado y en muchas ocasiones estos IoC resultan interesantes. Por ejemplo, una vez recibimos una dirección IP que se encontraba en el flujo de tráfico de una empresa (es decir, al que se accedió desde la propia red corporativa). Entre otras cosas, esta dirección alojaba un servidor de gestión de software llamado Cobalt Strike, una herramienta de administración remota muy potente (o, simplemente, una puerta trasera) que utilizan todos los ciberdelincuentes. Su detección significa, casi con toda seguridad, que la compañía ya está siendo atacada (de forma real o en un training). Nuestros expertos aportaron información adicional sobre la herramienta y recomendaron iniciar la respuesta a incidentes de inmediato para neutralizar la amenaza y determinar la causa principal del compromiso.
Solicitud de datos sobre tácticas, técnicas y procedimientos
Los IoC son, sin lugar a duda, lo que toda empresa necesita para detener un ataque o investigar un incidente. Una vez que el grupo de ciberdelincuentes que anda detrás del ataque ha sido identificado, los analistas del SOC suelen solicitar los datos sobre las tácticas, técnicas y procedimientos del grupo. Necesitan descripciones detalladas de su modus operandi para ayudarlos a determinar dónde y cómo podrían haber penetrado los atacantes en la infraestructura, la información sobre los métodos que utilizan habitualmente para afianzarse en la red y extraer los datos. Aportamos esta información como parte de nuestro servicio Threat Intelligence Reporting.
Los métodos de los ciberdelincuentes, incluso cuando se trata del mismo grupo, pueden ser muy diversos, por lo que resulta imposible describir hasta el más mínimo detalle, ni siquiera en el informe más detallado. Por lo tanto, los clientes de la inteligencia de amenazas que utilizan nuestros informes de amenazas APT y crimeware a veces nos solicitan también información adicional sobre un aspecto particular de una técnica de ataque en un contexto específico de relevancia para ellos.
Hemos estado brindando ese tipo de respuestas, y muchas otras, a través de servicios especiales o dentro del marco limitado del soporte técnico. No obstante, tras observar el crecimiento en el número de solicitudes y comprender el valor de la experiencia y el conocimiento de las unidades de investigación, nos hemos decidido a lanzar un servicio especial llamado Kaspersky Ask the Analyst, que ofrece un acceso rápido a los consejos de nuestros expertos mediante un único punto de entrada.
Kaspersky Ask the Analyst
Nuestro nuevo servicio permite a los representantes de los clientes (principalmente analistas del SOC y empleados de seguridad de la información) recibir consejo de parte de los expertos de Kaspersky, reduciendo así sus costes de investigación. Comprendemos la importancia de una información sobre las amenazas oportuna, por ello contamos con un acuerdo de nivel de servicio para todo tipo de solicitudes. Con Kaspersky Ask the Analyst, los especialistas en seguridad de la información podrán:
- Recibir información adicional de los informes de Kaspersky Threat Intelligence, incluido el contexto de los IoC y las analíticas de GReAT y el Kaspersky Threat Research Team.
- Conseguir un análisis detallado del comportamiento de las muestras identificadas, determinar su propósito y recibir recomendaciones para mitigar las consecuencias del ataque. Los expertos en respuesta de incidentes del Kaspersky Global Emergency Response Team ayudarán en esta tarea.
- Obtener una descripción de una familia de malware específica (por ejemplo, un ransomware en particular) y consejos sobre cómo protegerse, además de contexto adicional de los IoC específicos (hash, URL, direcciones IP) para ayudar a priorizar las alertas o incidentes que los involucren. Los expertos de Kaspersky Threat Research son los que proporcionan esta información.
- Recibir una descripción de vulnerabilidades específicas y sus niveles de gravedad, así como información sobre cómo protegen los productos de Kaspersky contra la explotación. De nuevo son los expertos de Kaspersky Threat Research lo que proporcionan estos datos.
- Solicitar una investigación individual (búsqueda) de datos de la dark web. Esto proporcionará información valiosa sobre las amenazas relevantes, lo que a su vez sugiere medidas efectivas para prevenir o mitigar los ciberataques. Los expertos de Kaspersky Security Services son los que llevan a cabo la investigación.
Para más información sobre estos servicios, visita nuestro sitio web.
Consejos