inteligencia de seguridad
A menudo, los empleados de los centros de operaciones de seguridad y los departamentos de seguridad de la información acuden a los especialistas de Kaspersky en busca de una ayuda experta. Analizamos los motivos más comunes de estas solicitudes con los que hemos desarrollado un servicio especializado que ayude a los clientes a realizar su consulta directamente con un experto del área que necesita.
Por qué podrías necesitar ayuda de un experto
La amenaza de los ciberataques crece constantemente a medida que los cibercriminales encuentran cada vez más formas de conseguir sus objetivos, descubriendo nuevas vulnerabilidades en el hardware y software de aplicaciones, servidores, puertas de enlace de VPN y sistemas operativos que de inmediato convierten en armas. Cada día surgen cientos de miles de variedades de malware y son muchas las organizaciones, incluidas las corporaciones más importantes e incluso agencias gubernamentales, que caen en las redes de los ataques ransomware. Además, no dejan de salir a la luz nuevas amenazas sofisticadas y campañas de APT.
Teniendo esto en cuenta, la inteligencia de seguridad (TI, por sus siglas en inglés) juega un papel de vital importancia. Con tan solo conocer la información sobre las herramientas y tácticas de los atacantes se puede construir un sistema de protección adecuado que, en caso de incidente, permita una investigación eficaz, detectando intrusos en la red, expulsándolos y determinando el vector de ataque principal para evitar que se repita el ataque.
Aplicar la TI en una organización determinada requiere contar con un especialista interno cualificado que pueda utilizar los datos del proveedor de la TI en la práctica. Por consiguiente, este experto se convierte en el bien más valioso de cualquier investigación de amenazas. Dicho esto, contratar, formar y mantener a los analistas de ciberseguridad es costoso, por lo que no todas las empresas pueden permitirse mantener a un equipo de expertos.
Preguntas frecuentes
Varios departamentos en Kaspersky ayudan a los clientes a hacer frente a los cibercriminales. En breve, son el Equipo de análisis e investigación global (GReAT), el Equipo de respuesta a emergencias global (GERT) y el equipo de investigación de amenazas, el Kaspersky Threat Research Team. En total, reunimos a más de 250 analistas y expertos de clase mundial. Con frecuencia, los equipos reciben cientos de solicitudes de clientes sobre ciberamenazas. Después de analizar las solicitudes recientes, identificamos las siguientes categorías.
Análisis de malware o software sospechoso
Una situación con la que nos encontramos muy a menudo implica la activación de la lógica de detección en la seguridad de endpoints o las reglas de la búsqueda de amenazas. El servicio de seguridad de la empresa o SOC investiga la alerta, encuentra un objeto sospechoso o malicioso, pero no cuenta con los recursos para llevar a cabo un estudio detallado. Entonces, la empresa pide a nuestros expertos que determinen la funcionalidad del objeto en cuestión, su grado de peligrosidad y cómo asegurarse de que el incidente quede resuelto después de su eliminación.
Si nuestros expertos pueden identificar rápidamente lo que el cliente envía su respuesta es inmediata, ya que tenemos una enorme base de conocimientos de las herramientas comunes de los atacantes y más de mil millones de muestras de malware únicas. De lo contrario, nuestros analistas tendrán que investigar el asunto y, en los casos más complejos, esto podría demorarse.
Información adicional sobre los indicadores de compromiso
La mayoría de las empresas utiliza una amplia variedad de fuentes para los indicadores de compromiso (IoC). El valor de los IoC reside básicamente en la disponibilidad del contexto, es decir, la información adicional sobre el indicador y su relevancia. No obstante, este contexto no siempre está disponible. Por ello, después de detectar un IoC en un sistema SIEM, por ejemplo, los analistas del SOC deberán analizar la presencia de un activador y comprender que un incidente puede ser posible pero falta la información para su posterior investigación.
En este tipo de casos, pueden enviarnos una solicitud para proporcionar información sobre el IoC detectado y en muchas ocasiones estos IoC resultan interesantes. Por ejemplo, una vez recibimos una dirección IP que se encontraba en el flujo de tráfico de una empresa (es decir, al que se accedió desde la propia red corporativa). Entre otras cosas, esta dirección alojaba un servidor de gestión de software llamado Cobalt Strike, una herramienta de administración remota muy potente (o, simplemente, una puerta trasera) que utilizan todos los cibercriminales. Su detección prácticamente significa que la compañía ya está siendo atacada (real o como capacitación). Nuestros expertos aportaron información adicional sobre la herramienta y recomendaron iniciar la respuesta a incidentes (IR) de inmediato para neutralizar la amenaza y determinar la causa principal del compromiso.
Solicitud de datos sobre tácticas, técnicas y procedimientos
Los IoC son sin lugar a duda lo que toda empresa necesita para detener un ataque o investigar un incidente. Una vez que el grupo de cibercriminales que anda detrás del ataque ha sido identificado, los analistas del SOC suelen solicitar los datos sobre las tácticas, técnicas y procedimientos (TTP) del grupo. Necesitan descripciones detalladas de su modus operandi para ayudarlos a determinar dónde y cómo podrían haber penetrado los atacantes en la infraestructura, la información sobre los métodos que utilizan habitualmente para afianzarse en la red y extraer los datos. Aportamos esta información como parte de nuestro servicio Threat Intelligence Reporting.
Los métodos de los cibercriminales, incluso cuando se trata del mismo grupo, pueden ser muy diversos, por lo que resulta imposible describir hasta el más mínimo detalle, ni siquiera en el informe más detallado. Por lo tanto, los clientes de la TI que utilizan nuestros informes de amenazas APT y crimeware a veces nos solicitan también información adicional sobre un aspecto particular de una técnica de ataque en un contexto específico de relevancia para ellos.
Hemos estado brindando ese tipo de respuestas, y muchas otras, a través de servicios especiales o dentro del marco limitado del soporte técnico. No obstante, tras observar el crecimiento en el número de solicitudes y comprender el valor de la experiencia y el conocimiento de nuestras unidades de investigación, decidimos lanzar un servicio especial llamado Kaspersky Ask the Analyst, que ofrece un acceso rápido a los consejos de nuestros expertos mediante un único punto de entrada.
Kaspersky Ask the Analyst
Nuestro nuevo servicio permite a los representantes de los clientes (principalmente analistas del SOC y empleados de seguridad de la información) recibir consejo de parte de los expertos de Kaspersky, lo que reduce sus costos de investigación. Entendemos la importancia de la información oportuna sobre amenazas; por lo tanto, implementamos un acuerdo de nivel de servicio (SLA) para todo tipo de solicitudes. Con Kaspersky Ask the Analyst, los especialistas en seguridad de la información podrán:
- Recibir información adicional de los informes de Kaspersky Threat Intelligence, incluido el contexto de los IoC y las analíticas de GReAT y el Kaspersky Threat Research Team. En función de tu situación específica, analizarán cualquier conexión entre los indicadores detectados en tu empresa y la actividad descrita en los informes.
- Conseguir un análisis detallado del comportamiento de las muestras identificadas, determinar su propósito y recibir recomendaciones para mitigar las consecuencias del ataque. Los expertos en respuesta de incidentes del Kaspersky Global Emergency Response Team ayudarán en esta tarea.
- Obtener una descripción de una familia de malware específica (por ejemplo, un ransomware en particular) y consejos sobre cómo protegerse, además de contexto adicional de los IoC específicos (hashes, URL, direcciones IP) para ayudar a priorizar las alertas o incidentes que los involucren. Los expertos de Kaspersky Threat Research son los que proporcionan esta información.
- Recibir una descripción de las vulnerabilidades específicas y sus niveles de gravedad, así como información sobre cómo los productos de Kaspersky protegen contra su explotación. Los expertos de Kaspersky Threat Research son los que proporcionan esta información.
- Solicitar una investigación individual (búsqueda) de datos de la dark web. Esto proporcionará información valiosa sobre las amenazas relevantes, lo que a su vez sugiere medidas efectivas para prevenir o mitigar los ciberataques. Los expertos de Kaspersky Security Services son los que llevan a cabo la investigación.
Puedes encontrar más información sobre estos servicios en nuestro sitio web.
