La lucha contra el cibercrimen es como jugar al escondite eterno. Los ciberdelincuentes están haciendo todo lo posible con el fin de ocultar las cargas maliciosas y evitar la detección y el análisis forense. Los actores de las APT están siendo muy creativos, de hecho, cuentan con los recursos necesarios para desarrollar métodos de ocultación sofisticados. Por tanto, nuestra tarea es aportar a los clientes los medios necesarios para detectar las amenazas ocultas y analizar sus métodos. Por ello, hemos introducido un nuevo servicio llamado Kaspersky Cloud Sandbox.
¿Cómo podrías detectar un malware si ha sido confeccionado para que ningún escáner pueda detectarlo? En el acto, una vez que comience su actividad maliciosa. Sin embargo, hacerlo en tu red corporativa no es una buena idea (por decirlo suavemente). Para proteger tu infraestructura de las nuevas tácticas del cibercrimen, hemos creado un nuevo método de aislamiento de procesos.
La base de este método de aislamiento de procesos se basa en la ejecución del programa en un ambiente muy controlado, aislado de la infraestructura principal. Allí podrá mostrar su verdadera cara y no causará ningún daño. De una forma u otra, este método se usa mucho en nuestros productos y ha demostrado ser muy eficaz. El problema es que no somos los únicos que sabemos cómo funciona, los ciberdelincuentes también conocen el aislamiento de procesos.
Los actores de APT generalmente complementan su carga con procesos de control adicionales con el objetivo principal de descubrir si el malware está siendo ejecutado de forma aislada o no. Si los algoritmos sospechan que se ha ejecutado en un entorno controlado, el malware detendrá sus acciones maliciosas e intentará no llamar la atención.
¿Qué podemos hacer? Disfrazamos nuestro aislamiento de procesos para que se asemeje a una estación de trabajo común y simulamos las actividades típicas de un trabajador, que teclea, se desplaza por largos textos o visita sitios web. Al mismo tiempo, registramos todo lo que sucede en nuestro aislamiento de procesos sin interferir. Esto permite el análisis exhaustivo del objeto en cuestión y generar un informe: qué cadenas ha creado en la memoria, dónde intentaba acceder en el registro del sistema o qué direcciones de Internet estaba revisando.
Evidentemente, este instrumento no se puede integrar en una solución de seguridad. No es necesario para un uso cotidiano y es poco rentable mantenerlo en la infraestructura. Por ello hemos creado un servicio en la nube, accesible para los clientes de Kaspersky Threat Intelligence Portal. Esto permite que los empleados del Centro de Operaciones de Seguridad corporativo y los analistas forenses puedan recibir informes detallados de cualquier objeto sospechoso.
En resumen, Kaspersky Threat Intelligence Portal es un centro que recopila todos los datos disponibles de la inteligencia de amenazas en tiempo real. Por ello, nuestro aislamiento de procesos en la nube cuenta no solo con la última información de Kaspersky Security Network (KSN), sino también con las últimas tecnologías de detección de comportamiento. De este modo, puede detectar amenazas incluso aunque no se hayan encontrado en el exterior.
Kaspersky Cloud Sandbox resulta muy útil durante la investigación de los incidentes. Para prevenir el ataque, es importante comprender qué buscaban los cibercriminales y que métodos han llevado a cabo. Este tipo de información, aparte de todo lo demás, permite reforzar los sistemas de seguridad en el caso de que se repitan ataques iguales o similares.
Parar acceder a Kaspersky Threat Intelligence Portal, contacta con nuestros especialistas en la página web de este servicio. Si quieres conocer más sobre Kaspersky Cloud Sandbox, accede a su ficha técnica.