La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha brindado a las organizaciones un nuevo recurso para analizar archivos, URL y direcciones IP sospechosos y potencialmente maliciosos al poner a disposición de todos su plataforma Malware Next-Gen Analysis a principios de esta semana.
La pregunta ahora es cómo las organizaciones y los investigadores de seguridad utilizarán la plataforma y qué tipo de nueva inteligencia sobre amenazas permitirá más allá de la que está disponible a través de VirusTotal y otros servicios de análisis de malware.
La plataforma Malware Next-Gen utiliza herramientas de análisis dinámico y estático para analizar las muestras enviadas y determinar si son maliciosas. Brinda a las organizaciones una forma de obtener información oportuna y procesable sobre nuevas muestras de malware, como la funcionalidad y las acciones que una cadena de código puede ejecutar en un sistema víctima, dijo CISA. Dicha inteligencia puede ser crucial para los equipos de seguridad empresarial con fines de búsqueda de amenazas y respuesta a incidentes, señaló la agencia.
“Nuestro nuevo sistema automatizado permite a los analistas de búsqueda de amenazas de ciberseguridad de CISA analizar, correlacionar, enriquecer datos y compartir conocimientos sobre amenazas cibernéticas con socios”, dijo Eric Goldstein, subdirector ejecutivo de ciberseguridad de CISA, en un declaración preparada. “Facilita y respalda una respuesta rápida y eficaz a las amenazas cibernéticas en evolución y, en última instancia, salvaguarda la infraestructura y los sistemas críticos”.
Desde CISA desplegó la plataforma En octubre pasado, unos 400 usuarios registrados de varias agencias gubernamentales federales, estatales, locales, tribales y territoriales de EE. UU. enviaron muestras para su análisis a Malware Next-Gen. De los más de 1.600 archivos que los usuarios han enviado hasta ahora, CISA identificó alrededor de 200 como archivos o URL sospechosos.
Con la decisión de CISA esta semana de hacer que la plataforma esté disponible para todos, cualquier organización, investigador de seguridad o individuo puede enviar archivos maliciosos y otros artefactos para análisis e informes. CISA proporcionará análisis únicamente a los usuarios registrados en la plataforma.
Jason Soroko, vicepresidente senior de producto del proveedor de gestión del ciclo de vida de certificados Sectigo, dice que la promesa de la plataforma Malware Next-Generation Analysis de CISA radica en la información que potencialmente puede proporcionar. “Otros sistemas se concentran en responder a la pregunta: ‘¿Se ha visto esto antes? ¿Es malicioso?'”, señala. “El enfoque de CISA podría terminar teniendo una prioridad diferente y convertirse en ‘¿esta muestra es maliciosa? ¿Qué hace? ¿Se ha visto esto antes?'”.
Plataforma de análisis de malware
Actualmente hay disponibles varias plataformas (VirusTotal es la más conocida) que utilizan múltiples escáneres antivirus y herramientas de análisis estáticas y dinámicas para analizar archivos y URL en busca de malware y otro contenido malicioso. Estas plataformas sirven como una especie de recurso centralizado para muestras de malware conocido y comportamiento asociado que los investigadores y equipos de seguridad pueden utilizar para identificar y evaluar el riesgo asociado con el nuevo malware.
Aún se desconoce qué tan diferente será el Malware Next-Gen de CISA de estas ofertas.
“En este momento, el gobierno de EE. UU. no ha detallado qué lo diferencia de otras opciones de análisis de entorno sandbox de código abierto que están disponibles”, dice Soroko. El acceso que tendrán los usuarios registrados al análisis de malware dirigido a agencias gubernamentales de EE.UU. podría ser valioso, afirma. “Obtener acceso al análisis en profundidad de CISA sería la razón para participar. Queda por ver para aquellos de nosotros fuera del gobierno de EE. UU. si esto es mejor o igual que otros entornos de análisis de código abierto”.
Hacer una diferencia
Callie Guenther, gerente senior de investigación de amenazas cibernéticas en Critical Start, dice que es posible que algunas organizaciones inicialmente sean un poco cautelosas a la hora de contribuir con muestras y otros artefactos a una plataforma administrada por el gobierno debido a problemas de confidencialidad de datos y cumplimiento. Pero el potencial beneficio desde el punto de vista de la inteligencia de amenazas podría fomentar la participación, señala Guenther. “La decisión de compartir con CISA probablemente considerará el equilibrio entre mejorar la seguridad colectiva y salvaguardar la información confidencial”.
CISA puede diferenciar su plataforma y ofrecer más valor invirtiendo en capacidades que le permitan detectar muestras de malware que evaden el sandbox, afirma Saumitra Das, vicepresidente de ingeniería de Qualys. “CISA debería intentar invertir tanto en la clasificación de muestras de malware basada en IA como en técnicas de análisis dinámico resistentes a manipulaciones… que podrían descubrir mejor [indicators of compromise],” él dice.
Un mayor enfoque en el malware dirigido a sistemas Linux también sería una gran mejora, afirma Das. “Gran parte del enfoque actual está en muestras de Windows de casos de uso de EDR, pero con [Kubernetes] y la migración nativa a la nube, el malware de Linux está en aumento y su estructura es bastante diferente” del malware de Windows, afirma.
Fuente Original darkreading
