{"id":23147,"date":"2021-10-21T13:44:06","date_gmt":"2021-10-21T19:44:06","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=23147"},"modified":"2021-10-21T13:44:06","modified_gmt":"2021-10-21T19:44:06","slug":"ask-the-analyst","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/ask-the-analyst\/23147\/","title":{"rendered":"Preg\u00fantale a un analista de seguridad"},"content":{"rendered":"

A menudo, los empleados de los centros de operaciones de seguridad y los departamentos de seguridad de la informaci\u00f3n acuden a los especialistas de Kaspersky en busca de una ayuda experta. Analizamos los motivos m\u00e1s comunes de estas solicitudes con los que hemos desarrollado un servicio especializado que ayude a los clientes a realizar su consulta directamente con un experto del \u00e1rea que necesita.<\/p>\n

Por qu\u00e9 podr\u00edas necesitar ayuda de un experto<\/h2>\n

La amenaza de los ciberataques crece constantemente a medida que los cibercriminales encuentran cada vez m\u00e1s formas de conseguir sus objetivos, descubriendo nuevas vulnerabilidades en el hardware y software de aplicaciones, servidores, puertas de enlace de VPN y sistemas operativos que de inmediato convierten en armas. Cada d\u00eda surgen cientos de miles de variedades de malware<\/em> y son muchas las organizaciones, incluidas las corporaciones m\u00e1s importantes e incluso agencias gubernamentales, que caen en las redes de los ataques ransomware<\/em>. Adem\u00e1s, no dejan de salir a la luz nuevas amenazas sofisticadas y campa\u00f1as de APT.<\/p>\n

Teniendo esto en cuenta, la inteligencia de seguridad<\/a> (TI, por sus siglas en ingl\u00e9s) juega un papel de vital importancia. Con tan solo conocer la informaci\u00f3n sobre las herramientas y t\u00e1cticas de los atacantes se puede construir un sistema de protecci\u00f3n adecuado que, en caso de incidente, permita una investigaci\u00f3n eficaz, detectando intrusos en la red, expuls\u00e1ndolos y determinando el vector de ataque principal para evitar que se repita el ataque.<\/p>\n

Aplicar la TI en una organizaci\u00f3n determinada requiere contar con un especialista interno cualificado que pueda utilizar los datos del proveedor de la TI en la pr\u00e1ctica.\u00a0 Por consiguiente, este experto se convierte en el bien m\u00e1s valioso de cualquier investigaci\u00f3n de amenazas. Dicho esto, contratar, formar y mantener a los analistas de ciberseguridad es costoso, por lo que no todas las empresas pueden permitirse mantener a un equipo de expertos.<\/p>\n

Preguntas frecuentes<\/h2>\n

Varios departamentos en Kaspersky ayudan a los clientes a hacer frente a los cibercriminales. En breve, son el Equipo de an\u00e1lisis e investigaci\u00f3n global (GReAT), el Equipo de respuesta a emergencias global (GERT) y el equipo de investigaci\u00f3n de amenazas, el Kaspersky Threat Research Team. En total, reunimos a m\u00e1s de 250 analistas y expertos de clase mundial. Con frecuencia, los equipos reciben cientos de solicitudes de clientes sobre ciberamenazas. Despu\u00e9s de analizar las solicitudes recientes, identificamos las siguientes categor\u00edas.<\/p>\n

An\u00e1lisis de malware<\/em> o software sospechoso<\/h3>\n

Una situaci\u00f3n con la que nos encontramos muy a menudo implica la activaci\u00f3n de la l\u00f3gica de detecci\u00f3n en la seguridad de endpoints<\/em> o las reglas de la b\u00fasqueda de amenazas<\/a>.\u00a0 El servicio de seguridad de la empresa o SOC investiga la alerta, encuentra un objeto sospechoso o malicioso, pero no cuenta con los recursos para llevar a cabo un estudio detallado. Entonces, la empresa pide a nuestros expertos que determinen la funcionalidad del objeto en cuesti\u00f3n, su grado de peligrosidad y c\u00f3mo asegurarse de que el incidente quede resuelto despu\u00e9s de su eliminaci\u00f3n.<\/p>\n

Si nuestros expertos pueden identificar r\u00e1pidamente lo que el cliente env\u00eda su respuesta es inmediata, ya que tenemos una enorme base de conocimientos de las herramientas comunes de los atacantes y m\u00e1s de mil millones de muestras de malware<\/em> \u00fanicas. De lo contrario, nuestros analistas tendr\u00e1n que investigar el asunto y, en los casos m\u00e1s complejos, esto podr\u00eda demorarse.<\/p>\n

Informaci\u00f3n adicional sobre los indicadores de compromiso<\/h3>\n

La mayor\u00eda de las empresas utiliza una amplia variedad de fuentes para los indicadores de compromiso (IoC). El valor de los IoC reside b\u00e1sicamente en la disponibilidad del contexto, es decir, la informaci\u00f3n adicional sobre el indicador y su relevancia. No obstante, este contexto no siempre est\u00e1 disponible. Por ello, despu\u00e9s de detectar un IoC en un sistema SIEM, por ejemplo, los analistas del SOC deber\u00e1n analizar la presencia de un activador y comprender que un incidente puede ser posible pero falta la informaci\u00f3n para su posterior investigaci\u00f3n.<\/p>\n

En este tipo de casos, pueden enviarnos una solicitud para proporcionar informaci\u00f3n sobre el IoC detectado y en muchas ocasiones estos IoC resultan interesantes.\u00a0 Por ejemplo, una vez recibimos una direcci\u00f3n IP que se encontraba en el flujo de tr\u00e1fico de una empresa (es decir, al que se accedi\u00f3 desde la propia red corporativa).\u00a0 Entre otras cosas, esta direcci\u00f3n alojaba un servidor de gesti\u00f3n de software llamado Cobalt Strike, una herramienta de administraci\u00f3n remota muy potente (o, simplemente, una puerta trasera) que utilizan todos los cibercriminales. Su detecci\u00f3n pr\u00e1cticamente significa que la compa\u00f1\u00eda ya est\u00e1 siendo atacada (real o como capacitaci\u00f3n). Nuestros expertos aportaron informaci\u00f3n adicional sobre la herramienta y recomendaron iniciar la respuesta a incidentes (IR) de inmediato para neutralizar la amenaza y determinar la causa principal del compromiso.<\/p>\n

Solicitud de datos sobre t\u00e1cticas, t\u00e9cnicas y procedimientos<\/h3>\n

Los IoC son sin lugar a duda lo que toda empresa necesita para detener un ataque o investigar un incidente. Una vez que el grupo de cibercriminales que anda detr\u00e1s del ataque ha sido identificado, los analistas del SOC suelen solicitar los datos sobre las t\u00e1cticas, t\u00e9cnicas y procedimientos (TTP) del grupo. Necesitan descripciones detalladas de su modus operandi<\/em> para ayudarlos a determinar d\u00f3nde y c\u00f3mo podr\u00edan haber penetrado los atacantes en la infraestructura, la informaci\u00f3n sobre los m\u00e9todos que utilizan habitualmente para afianzarse en la red y extraer los datos. Aportamos esta informaci\u00f3n como parte de nuestro servicio Threat Intelligence Reporting.<\/p>\n

Los m\u00e9todos de los cibercriminales, incluso cuando se trata del mismo grupo, pueden ser muy diversos, por lo que resulta imposible describir hasta el m\u00e1s m\u00ednimo detalle, ni siquiera en el informe m\u00e1s detallado. Por lo tanto, los clientes de la TI que utilizan nuestros informes de amenazas APT y crimeware<\/em> a veces nos solicitan tambi\u00e9n informaci\u00f3n adicional sobre un aspecto particular de una t\u00e9cnica de ataque en un contexto espec\u00edfico de relevancia para ellos.<\/p>\n

Hemos estado brindando ese tipo de respuestas, y muchas otras, a trav\u00e9s de servicios especiales o dentro del marco limitado del soporte t\u00e9cnico. No obstante, tras observar el crecimiento en el n\u00famero de solicitudes y comprender el valor de la experiencia y el conocimiento de nuestras unidades de investigaci\u00f3n, decidimos lanzar un servicio especial llamado Kaspersky Ask the Analyst, que ofrece un acceso r\u00e1pido a los consejos de nuestros expertos mediante un \u00fanico punto de entrada.<\/p>\n

Kaspersky Ask the Analyst<\/h2>\n

Nuestro nuevo servicio permite a los representantes de los clientes (principalmente analistas del SOC y empleados de seguridad de la informaci\u00f3n) recibir consejo de parte de los expertos de Kaspersky, lo que reduce sus costos de investigaci\u00f3n.\u00a0 Entendemos la importancia de la informaci\u00f3n oportuna sobre amenazas; por lo tanto, implementamos un acuerdo de nivel de servicio (SLA) para todo tipo de solicitudes. Con Kaspersky Ask the Analyst, los especialistas en seguridad de la informaci\u00f3n podr\u00e1n:<\/p>\n