Threat Intelligence Portal: Hay que profundizar más

Hemos generado una versión gratuita de nuestro Threat Intelligence Portal para un análisis detallado de las posibles amenazas.

Entiendo perfectamente que para el 95 % de los lectores, esta publicación no va a resultar útil. Pero, al 5 % restante le puede simplificar su semana laboral (y muchas semanas laborales más). Es decir, tenemos buenas noticias para los expertos en ciberseguridad (equipos SOC, investigadores independientes y aficionados a la tecnología): las herramientas que usan nuestros pájaros carpinteros y el equipo de GReAT en su rutina para seguir generando la mejor investigación de amenazas cibernéticas del mundo ya está disponible para todos y gratis, con la versión lite de nuestro Threat Intelligence Portal, también llamado TIP para acortar. No te pierdas sus características.

El Threat Intelligence Portal resuelve dos problemas principales de los expertos de ciberseguridad. En primer lugar: “¿Cuál de estos cientos de archivos sospechosos debería elegir primero?” y, segundo, “Vale, mi antivirus dice que el archivo está limpio, ¿qué es lo próximo?”.

Lanzamos una versión gratuita del Kaspersky Threat Intelligence Portal

A diferencia de los “clásicos” -(seguridad para endpoint)- productos de calidad que devuelven un veredicto conciso sobre la peligrosidad del objeto, las herramientas de analítica incorporadas en el Threat Intelligence Portal ofrecen información detallada sobre el carácter sospechoso de un archivo y en qué aspectos específicos. Y no solo los archivos. Hashes, direcciones IP y URL también pueden analizarse. Nuestra nube analiza rápidamente todos estos artículos y los resultados de cada uno vuelven en bandeja de plata: qué tienen de malo (en caso de que lo sean), con qué frecuencia se produce la infección, a qué amenazas se asemejan aún en remoto, qué herramientas se usaron para crearlo, etc. Además, los archivos se ejecutan en nuestra sandbox de la nube patentada, estando los resultados disponibles en un par de minutos.

Ya puedo oír a ese 5 % gritar: “¡Eso es VirusTotal!”

Bueno, sí y no.

Por un lado, el objetivo es el mismo: conceder a los especialistas herramientas adicionales para analizar un incidente en concreto y tomar una decisión con fundamento. Por el otro, nuestra estrategia es completamente diferente.

VirusTotal se concibió como un simple multiescáner que agrega varios motores de antivirus y lo alimenta con archivos subidos por el usuario. Por ello, la acusación “no detectas el archivo X” que lanzan a menudo los proveedores, entre los que nos incluimos; pero sería más preciso decir que no detectamos X con un escáner de archivos tradicional. Como se demuestra más tarde, lo detectamos mediante otras herramientas. Pero en VirusTotal solo verás eso. Evidentemente, en VirusTotal también han aparecido las herramientas adicionales, pero el objetivo general se centra en la amplia cobertura de motores utilizando una tecnología muy conservadora, creada hace más de 30 años.

Como expertos en el análisis profundo de amenazas complejas, nos esforzamos para que este tipo de análisis en profundidad pueda estar disponible a toda la comunidad de especialistas. El único motor que analiza objetos en el Threat Intelligence Portal pertenece a la empresa que lleva mi apellido. Y resulta ser la mejor del mundo. Combina docenas de tecnologías de análisis avanzado (como esta, esta otra o esta, etc.) y te permite echar un vistazo a los resultados detallados. Evidentemente, en comparación con la parte de nuestro motor que reside en VirusTotal, TIP ofrece un nivel de detección muy diferente.

Además, puede merecer la pena analizar los archivos con VirusTotal también, una segunda, tercera e, incluso, cuarta opción nunca está de más. Pero es de vital importancia saber cómo sopesar estas opiniones. Por cierto, si decidimos ampliar el Threat Intelligence Portal con información de un socio con otros proveedores, nuestra due diligence será muy estricta.

Otra diferencia entre el Threat Intelligence Portal y VirusTotal es… ¿cómo podría describirlo?… la distribución limitada de información. Los archivos subidos a VirusTotal están disponibles a un amplio abanico de suscriptores, mientras que con nuestro Theat Intelligence Portal no hay suscriptores con acceso a los archivos de otros usuarios.

Y hablando de suscripciones:

Hay una versión de pago mucho más rica de Threat Intelligence Portal; esto se debe en parte al acceso a los informes detallados sobre las ciberamenazas detectadas que escriben nuestros analistas más punteros. Y, si resulta que un archivo subido se asemeja a otro, como, por ejemplo, un objeto conocido de malware financiero, en la versión de pago estará disponible la información más detallada y actual sobre cómo sus desarrolladores atacan a las víctimas, qué herramientas utilizan y mucho más.

Consejos