{"id":26272,"date":"2021-10-21T11:21:55","date_gmt":"2021-10-21T09:21:55","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=26272"},"modified":"2021-10-21T11:21:55","modified_gmt":"2021-10-21T09:21:55","slug":"ask-the-analyst","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/ask-the-analyst\/26272\/","title":{"rendered":"C\u00f3mo contactar con un analista de seguridad"},"content":{"rendered":"

A menudo, los empleados de los centros de operaciones de seguridad y los departamentos de seguridad de la informaci\u00f3n acuden a los especialistas de Kaspersky en busca de una ayuda experta. Hemos analizado los motivos m\u00e1s comunes de estas solicitudes con los que hemos desarrollado un servicio especializado que ayuda a los clientes a realizar su consulta directamente con un experto del \u00e1rea que necesita.<\/p>\n

Por qu\u00e9 ibas a necesitar la ayuda de un experto<\/h2>\n

La amenaza de los ciberataques crece constantemente a medida que los ciberdelincuentes encuentran cada vez m\u00e1s formas de conseguir sus objetivos, descubriendo nuevas vulnerabilidades en el hardware<\/em> y software<\/em> de aplicaciones, servidores, puertas de enlace de VPN y sistemas operativos que acaban convirtiendo en armas. Cada d\u00eda surgen cientos de miles de variedades de malware<\/em> y son muchas las organizaciones, incluidas las corporaciones m\u00e1s importantes e incluso agencias gubernamentales, que caen en las redes de los ataques ransomware<\/em>. Adem\u00e1s, no dejan de salir a la luz nuevas amenazas sofisticadas y campa\u00f1as de APT.<\/p>\n

Teniendo esto en cuenta, la inteligencia de amenazas<\/a> (TI por sus siglas en ingl\u00e9s) juega un papel de vital importancia. Con tan solo conocer la informaci\u00f3n sobre las herramientas y t\u00e1cticas de los ataques se puede construir un sistema de protecci\u00f3n adecuado que, en caso de incidente, permita una investigaci\u00f3n eficaz, detectando intrusos en la red, expuls\u00e1ndolos y determinando el vector de ataque principal para evitar que se repita el ataque.<\/p>\n

Aplicar la inteligencia de amenazas en una organizaci\u00f3n determinada requiere contar con un especialista interno cualificado que pueda utilizar los datos del proveedor de la inteligencia de amenazas en la pr\u00e1ctica. Por consiguiente, este experto se convierte en el activo m\u00e1s valioso de cualquier investigaci\u00f3n de amenazas. Dicho esto, contratar, formar y mantener a los analistas de ciberseguridad es caro, por lo que no todas las empresas pueden permitirse mantener a un equipo de expertos.<\/p>\n

Las preguntas m\u00e1s frecuentes<\/h2>\n

Son varios los departamentos de Kaspersky que ayudan a los clientes a enfrentarse a los ciberincidentes. Est\u00e1n el Equipo de an\u00e1lisis e investigaci\u00f3n global (GReAT), el Equipo de respuesta a emergencias global (GERT) y el equipo de investigaci\u00f3n de amenazas, el Kaspersky Threat Research Team. En total, hemos juntado a m\u00e1s de 250 analistas y expertos de primera categor\u00eda mundial. Y todos estos equipos reciben una gran cantidad de solicitudes relacionadas con las ciberamenazas. Despu\u00e9s de analizar las \u00faltimas solicitudes, hemos identificado las siguientes categor\u00edas.<\/p>\n

An\u00e1lisis de malware<\/em> o software<\/em> sospechoso<\/h3>\n

Una situaci\u00f3n con la que nos encontramos muy a menudo implica la activaci\u00f3n de la l\u00f3gica de detecci\u00f3n en la seguridad del endpoint<\/em> o las reglas de la b\u00fasqueda de amenazas<\/a>. El servicio de seguridad de la empresa o SOC investiga la alerta, encuentra un objeto sospechoso o malicioso, pero no cuenta con los recursos para llevar a cabo un estudio detallado. Entonces la empresa pide a nuestros expertos que determinen la funcionalidad del objeto en cuesti\u00f3n, su grado de peligrosidad y c\u00f3mo asegurarse de que el incidente quede resuelto despu\u00e9s de su eliminaci\u00f3n.<\/p>\n

Si nuestros expertos pueden identificar r\u00e1pidamente lo que ha enviado el cliente, responden de inmediato; contamos con una base de conocimientos gigante con las herramientas m\u00e1s t\u00edpicas de los atacantes y m\u00e1s de mil millones de muestras de malware<\/em> \u00fanicas. De lo contrario, nuestros analistas tendr\u00e1n que investigar el asunto y, en los casos m\u00e1s complejos, esto podr\u00eda demorarse.<\/p>\n

Informaci\u00f3n adicional sobre los indicadores de compromiso<\/h3>\n

La mayor\u00eda de las empresas utiliza una amplia variedad de fuentes para los indicadores de compromiso (IoC por sus siglas en ingl\u00e9s). El valor de los IoC reside b\u00e1sicamente en la disponibilidad del contexto, es decir, la informaci\u00f3n adicional sobre el indicador y su relevancia. No obstante, este contexto no siempre est\u00e1 disponible. Por ello, despu\u00e9s de detectar un IoC en un sistema SIEM, por ejemplo, los analistas del SOC deber\u00e1n analizar la presencia de un activador y comprender que un incidente puede ser posible pero falta la informaci\u00f3n para su posterior investigaci\u00f3n.<\/p>\n

En este tipo de casos, pueden enviarnos una solicitud para proporcionar informaci\u00f3n sobre el IoC detectado y en muchas ocasiones estos IoC resultan interesantes. Por ejemplo, una vez recibimos una direcci\u00f3n IP que se encontraba en el flujo de tr\u00e1fico de una empresa (es decir, al que se accedi\u00f3 desde la propia red corporativa). Entre otras cosas, esta direcci\u00f3n alojaba un servidor de gesti\u00f3n de software<\/em> llamado Cobalt Strike, una herramienta de administraci\u00f3n remota muy potente (o, simplemente, una puerta trasera) que utilizan todos los ciberdelincuentes. Su detecci\u00f3n significa, casi con toda seguridad, que la compa\u00f1\u00eda ya est\u00e1 siendo atacada (de forma real o en un training). Nuestros expertos aportaron informaci\u00f3n adicional sobre la herramienta y recomendaron iniciar la respuesta a incidentes de inmediato para neutralizar la amenaza y determinar la causa principal del compromiso.<\/p>\n

Solicitud de datos sobre t\u00e1cticas, t\u00e9cnicas y procedimientos<\/h3>\n

Los IoC son, sin lugar a duda, lo que toda empresa necesita para detener un ataque o investigar un incidente. Una vez que el grupo de ciberdelincuentes que anda detr\u00e1s del ataque ha sido identificado, los analistas del SOC suelen solicitar los datos sobre las t\u00e1cticas, t\u00e9cnicas y procedimientos del grupo. Necesitan descripciones detalladas de su modus operandi<\/em> para ayudarlos a determinar d\u00f3nde y c\u00f3mo podr\u00edan haber penetrado los atacantes en la infraestructura, la informaci\u00f3n sobre los m\u00e9todos que utilizan habitualmente para afianzarse en la red y extraer los datos. Aportamos esta informaci\u00f3n como parte de nuestro servicio Threat Intelligence Reporting.<\/p>\n

Los m\u00e9todos de los ciberdelincuentes, incluso cuando se trata del mismo grupo, pueden ser muy diversos, por lo que resulta imposible describir hasta el m\u00e1s m\u00ednimo detalle, ni siquiera en el informe m\u00e1s detallado. Por lo tanto, los clientes de la inteligencia de amenazas que utilizan nuestros informes de amenazas APT y crimeware<\/em> a veces nos solicitan tambi\u00e9n informaci\u00f3n adicional sobre un aspecto particular de una t\u00e9cnica de ataque en un contexto espec\u00edfico de relevancia para ellos.<\/p>\n

Hemos estado brindando ese tipo de respuestas, y muchas otras, a trav\u00e9s de servicios especiales o dentro del marco limitado del soporte t\u00e9cnico. No obstante, tras observar el crecimiento en el n\u00famero de solicitudes y comprender el valor de la experiencia y el conocimiento de las unidades de investigaci\u00f3n, nos hemos decidido a lanzar un servicio especial llamado Kaspersky Ask the Analyst, que ofrece un acceso r\u00e1pido a los consejos de nuestros expertos mediante un \u00fanico punto de entrada.<\/p>\n

Kaspersky Ask the Analyst<\/h2>\n

Nuestro nuevo servicio permite a los representantes de los clientes (principalmente analistas del SOC y empleados de seguridad de la informaci\u00f3n) recibir consejo de parte de los expertos de Kaspersky, reduciendo as\u00ed sus costes de investigaci\u00f3n. Comprendemos la importancia de una informaci\u00f3n sobre las amenazas oportuna, por ello contamos con un acuerdo de nivel de servicio para todo tipo de solicitudes. Con Kaspersky Ask the Analyst, los especialistas en seguridad de la informaci\u00f3n podr\u00e1n:<\/p>\n