La plataforma de análisis de malware de CISA podría producir una mejor inteligencia sobre amenazas


La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) puso a disposición del público su plataforma de análisis de malware de próxima generación a principios de esta semana, introduciendo nuevas herramientas para analizar archivos, URL y direcciones IP sospechosos o potencialmente maliciosos proporcionados a la organización.

La pregunta ahora es cómo las organizaciones y los investigadores de seguridad aprovechan esta plataforma y qué nueva inteligencia sobre amenazas puede ofrecer más allá de lo que está disponible en VirusTotal y otros servicios de análisis de malware.

La plataforma Malware Next Gen utiliza herramientas de análisis dinámico y estático para analizar las muestras enviadas y determinar si son maliciosas. Según CISA, la plataforma permite a las organizaciones obtener información procesable y oportuna sobre nuevas muestras de malware, incluidas las funciones y acciones que un conjunto de códigos puede realizar en el sistema de una víctima. Dicha información puede ser crítica para los equipos de seguridad corporativos con fines de búsqueda de amenazas y respuesta a incidentes, señala la agencia.

“Nuestro nuevo sistema automatizado permitirá a los analistas de búsqueda de amenazas de ciberseguridad de CISA analizar, correlacionar y enriquecer mejor los datos y compartir conocimientos sobre amenazas cibernéticas con los socios”, dijo el subdirector ejecutivo de CISA Cybersecurity, Eric Goldstein, en una declaración preparada. “Este sistema facilita y respalda una respuesta rápida y eficaz a las amenazas cibernéticas en evolución y, en última instancia, protege la infraestructura y los sistemas críticos”.

Desde que CISA lanzó la plataforma en octubre pasado, aproximadamente 400 usuarios registrados de varias agencias gubernamentales federales, estatales, locales, tribales y territoriales de los Estados Unidos han enviado muestras a Malware Next-Gen para su análisis. De los más de 1.600 archivos enviados por los usuarios hasta la fecha, CISA ha identificado aproximadamente 200 como archivos o URL sospechosos.

CISA puso su plataforma a disposición del público esta semana, lo que permite a cualquier organización, investigador de seguridad o individuo enviar archivos maliciosos y otros artefactos para análisis e informes. CISA proporciona análisis únicamente a los usuarios registrados en la plataforma.

Jason Soroko, vicepresidente senior de productos del proveedor de gestión del ciclo de vida de certificados Sectigo, dice que la promesa de la plataforma de análisis de malware de próxima generación de CISA radica en los conocimientos que puede proporcionar. “Otros sistemas se centran en responder a la pregunta: ‘¿Se ha visto esto antes o es malicioso?'”, señala. “El enfoque de CISA puede terminar siendo una priorización diferente: ‘¿Es esta muestra maliciosa? ¿Qué hace? ¿Se ha visto esto antes?'”

Plataforma de análisis de malware

Actualmente existen varias plataformas que utilizan múltiples escáneres antivirus y herramientas de análisis estático y dinámico para analizar archivos y URL para detectar malware y otro contenido malicioso (el más conocido VirusTotal). Una plataforma de este tipo sirve como recurso central para muestras de malware conocidas y comportamientos asociados que los investigadores y equipos de seguridad pueden utilizar para identificar y evaluar los riesgos asociados con el nuevo malware.

No está claro en qué se diferencia Malware Next-Gen de CISA de estos productos.

“En este momento, el gobierno de Estados Unidos no ha proporcionado detalles sobre en qué se diferencia esto de otras opciones de análisis de código abierto”, dijo Soroko. Dar acceso a los usuarios registrados a análisis de malware dirigido a agencias gubernamentales de Estados Unidos podría ser valioso, afirmó. “Tener acceso al análisis detallado de CISA será una razón para unirnos. Para aquellos de nosotros fuera del gobierno de EE. UU., ¿es esto mejor que otros entornos de análisis de código abierto o es lo mismo, no lo sé todavía?”

provocar el cambio

Callie Guenther, gerente senior de investigación de amenazas cibernéticas en Critical Start, dijo que algunas organizaciones inicialmente dudaron en proporcionar muestras y otros artefactos a plataformas administradas por el gobierno debido a problemas de cumplimiento y confidencialidad de los datos. Dijo que podía ser cauteloso. Pero los beneficios potenciales desde una perspectiva de inteligencia de amenazas podrían fomentar la participación, señaló Guenther. “Las decisiones sobre si compartir con CISA pueden considerar el equilibrio entre mejorar la seguridad colectiva y proteger la información confidencial”.

CISA puede diferenciar su plataforma y ofrecer más valor invirtiendo en capacidades que puedan detectar muestras de malware que evaden el sandbox, afirmó Saumitra Das, vicepresidente de ingeniería de Qualys. “CISA debería intentar invertir tanto en la clasificación de muestras de malware basada en IA como en técnicas de análisis dinámico a prueba de manipulaciones que puedan descubrir mejor las muestras de malware. [indicators of compromise]” él dice.

Centrarse en el malware dirigido a sistemas Linux también sería una gran mejora, afirmó Das. “Actualmente, la atención se centra en muestras de Windows de casos de uso de EDR, pero [Kubernetes] A medida que avanzamos hacia la nube nativa, estamos viendo un aumento en el malware de Linux, que está estructurado de manera muy diferente al malware de Windows, afirma.



Fuente: https://www.darkreading.com/vulnerabilities-threats/cisa-s-new-malware-analysis-platform-could-enable-better-threat-intelligence