Usando o seu método patenteado, o Kaspersky Threat Attribution Engine compara um novo código malicioso com uma das maiores bases de dados de malware da indústria de cibersegurança

A Kaspersky lançou uma nova solução de threat intelligence destinada a ajudar os analistas dos Centros de Operações de Segurança e os responsáveis por incidentes a atribuir amostras de malware a grupos APT previamente descobertos.

Usando o seu método patenteado, o Kaspersky Threat Attribution Engine compara um novo código malicioso com uma das maiores bases de dados de malware da indústria de cibersegurança e, com base nas semelhanças desse código, conecta-o a um grupo ou campanha APT específica.

Uma informação que se mostra muito útil pois permite aos peritos em segurança darem prioridade a ameaças de alto risco em detrimento de incidentes menos graves.

Rapidez na resposta

Ao saber quem está a atacar a sua empresa, e com que objetivo, as equipas de segurança podem rapidamente apresentar um plano de resposta ao incidente que seja o mais adequado para o ataque.

No entanto, revelar o responsável que está por detrás de um ataque é uma tarefa desafiante, que requer não só a recolha de uma grande quantidade de threat intelligence (IT), mas também as competências certas para interpretar a informação.

Kaspersky Threat Attribution Engine

Para automatizar a classificação e identificação de malware sofisticado, a Kaspersky apresenta o novo Kaspersky Threat Attribution Engine (KTAE).

A solução evoluiu de uma ferramenta interna utilizada pela Global Research & Analysis Team da Kaspersky (GReAT), uma equipa experiente e mundialmente reconhecida pela deteção e investigação de ameaças.

Por exemplo, o KTAE foi utilizado na investigação das campanhas iOS implant LightSpy, TajMahal, ShadowHammer, ShadowPad e Dtrack.

Com o objetivo de determinar se uma ameaça está relacionada com um conhecido grupo ou campanha APT (Ameaça Persistente Avançada) e identificar qual deles possa ser, o Kaspersky Threat Attribution Engine decompõe automaticamente o novo ficheiro malicioso descoberto em pequenas peças binárias.

Depois disso, compara estas peças com as da colecção da Kaspersky, que engloba mais de 60.000 ficheiros relacionados com APTs.

Whitelist

Para uma atribuição mais precisa, a solução incorpora ainda uma grande base de dados de ficheiros whitelist, o que vem melhorar significativamente a qualidade da triagem do malware, a identificação de ataques, bem como facilitar a resposta a incidentes.

Dependendo da semelhança do ficheiro analisado com as amostras da base de dados, o Kaspersky Threat Attribution Engine calcula a sua pontuação de reputação e destaca a possível origem e autor com uma breve explicação, incluindo hiperligações a recursos privados e públicos, descrevendo também as campanhas anteriores.

Acesso a reports

Os assinantes do Kaspersky APT Intelligence Reporting têm acesso a um relatório específico sobre as táticas, técnicas e procedimentos utilizados pelo autor identificado, bem como a etapas adicionais de resposta.

O KTAE foi concebido para ser implementado na rede de um cliente, “no local”, e não na cloud de terceiros. Esta abordagem garante ao cliente o controlo sobre a partilha de dados.

Para além da inteligência de ameaças disponível “out of the box”, os clientes podem criar a sua própria base de dados e preenchê-la com amostras de malware encontradas por analistas internos. Desta forma, o Kaspersky Threat Attribution Engine aprenderá a atribuir malware análogo aos existentes na base de dados de um cliente, mantendo esta informação confidencial.

A visão de Costin Raiu, Director Global da GReAT

“Existem várias formas de revelar quem está por detrás de um ataque. Por exemplo, os analistas podem contar com artefatos no malware, que podem determinar a língua nativa dos atacantes ou endereços IP que sugerem onde estes podem estar localizados.

No entanto, os cibercriminosos mais experientes conseguem manipular estas barreiras, levando os investigadores a ficarem paralisados na investigação, como já vimos em muitos casos.

A nossa experiência mostra que a melhor maneira é procurar código partilhado que as amostras tenham em comum com outras identificadas em incidentes ou campanhas anteriores.

Infelizmente, esta investigação manual pode demorar dias ou mesmo meses. Por isso, para automatizar e acelerar esta tarefa, criámos o Kaspersky Threat Attribution Engine, que está agora disponível para os clientes da empresa“, comenta Costin Raiu, Director Global da GReAT.

O Kaspersky Threat Attribution Engine pode ser adquirido em todo o mundo. Para mais informações sobre a nova solução, consute o seguinte link.

João Gata

Começou em vídeo e cinema, singrou em jornalismo, fez da publicidade a maior parte da vida, ainda editou discos e o primeiro dos livros e, porque o bicho fica sempre, juntou todas estas experiências num blogue.

View all posts

Add comment

O seu endereço de email não será publicado. Campos obrigatórios marcados com *