Threat Intelligence Portal: la necesidad de profundizar

24 Oct 2019

Entiendo perfectamente que para el 95 % de los lectores, esta publicación no va a resultar útil. Pero al 5 % restante, le puede simplificar su semana laboral (y muchas semanas laborales más). Es decir, tenemos buenas noticias para los expertos en ciberseguridad (equipos SOC, investigadores independientes y aficionados a la tecnología): las herramientas que cotidianamente usan nuestros pájaros carpinteros y el equipo de GReAT para seguir generando la mejor investigación de amenazas cibernéticas del mundo ya está disponible para todos de modo gratuito, con la versión lite de nuestro Threat Intelligence Portal, también llamado TIP para acortar. Dicho esto, no olvides añadir este texto a tus marcadores para leerlo después.

El Threat Intelligence Portal resuelve dos problemas principales de los expertos de ciberseguridad. En primer lugar: “¿Cuál de estos cientos de archivos sospechosos debería elegir primero?” y, segundo, “Bueno, mi antivirus dice que el archivo está limpio, ¿qué sigue?”.

Lanzamos una versión gratuita del Kaspersky Threat Intelligence Portal

A diferencia de los “clásicos” productos de tipo Endpoint Security,  que arrojan un veredicto conciso sobre el carácter peligroso/seguro del objeto, las herramientas analíticas integradas en Threat Intelligence Portal ofrecen información detallada sobre cuán sospechoso es un archivo y en qué aspectos específicos. Y no solo los archivos. Hashes, direcciones IP y URL también pueden analizarse. Nuestra nube analiza rápidamente todos estos artículos y los resultados de cada uno vuelven en bandeja de plata: qué tienen de malo (en caso de que lo sean), cuán infrecuente es la infección, a qué amenazas se asemejan remotamente siquiera, qué herramientas se usaron para crearlo, etc. Además, los archivos se ejecutan en nuestra sandbox patentada para la nube, y los resultados estarán disponibles en un par de minutos.

Ya puedo oír a ese 5 % gritar: “¡Eso es VirusTotal!”

Bueno, sí y no.

Por un lado, el objetivo es el mismo: otorgar a los especialistas herramientas adicionales para analizar un incidente en concreto y tomar una decisión informada. Por el otro, nuestra estrategia es completamente diferente.

VirusTotal se concibió como un simple multiescáner que agrega varios motores de antivirus y lo alimenta con archivos subidos por los usuarios. Por ello, es frecuente que se levante la acusación “no detectas el archivo X” contra los proveedores, entre los que nos incluimos; pero sería más preciso decir que no detectamos X con un escáner de archivos tradicional. Como se demuestra más tarde, lo detectamos mediante otras herramientas. Pero en VirusTotal solo verás eso. Evidentemente, en VirusTotal también han aparecido las herramientas adicionales, pero el objetivo general se centra en la amplia cobertura de motores que utilizan una tecnología muy conservadora, creada hace más de 30 años.

Como expertos en el análisis profundo de amenazas complejas, nos esforzamos para que este tipo de análisis en profundidad pueda estar disponible a toda la comunidad de especialistas. El único motor que analiza objetos en el Threat Intelligence Portal pertenece a la empresa que lleva mi apellido. Y resulta ser la mejor del mundo. Combina docenas de tecnologías de análisis avanzado (como esta, esta otra o esta, etc.) y te permite echar un vistazo a los resultados detallados. Desde luego, en comparación con la parte de nuestro motor que reside en VirusTotal, TIP ofrece un nivel de detección muy diferente.

Además, puede merecer la pena analizar los archivos con VirusTotal también, una segunda, tercera e, incluso, cuarta opción nunca está de más. Pero es de vital importancia saber cómo sopesar estas opiniones. Por cierto, si alguna vez decidimos ampliar Threat Intelligence Portal con información producto de una colaboración con otros proveedores, nuestro debido cuidado será aún más estricto.

Otra diferencia entre el Threat Intelligence Portal y VirusTotal es… ¿cómo podría describirlo?… la distribución limitada de información. Los archivos subidos a VirusTotal están disponibles a un amplio abanico de suscriptores, mientras que con nuestro Theat Intelligence Portal no hay suscriptores con acceso a los archivos de otros usuarios.

Y hablando de suscripciones:

Hay una versión de pago mucho más rica de Threat Intelligence Portal; esto se debe en parte al acceso a los informes detallados sobre las ciberamenazas detectadas que escriben nuestros analistas más sobresalientes. Y, si resulta que un archivo subido se asemeja a, por ejemplo, un objeto conocido de malware financiero, en la versión de pago estará disponible la información más detallada y actual sobre cómo sus desarrolladores malintencionados atacan a las víctimas, qué herramientas utilizan y mucho más.