La Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha fornito alle organizzazioni una nuova risorsa per analizzare file, URL e indirizzi IP sospetti e potenzialmente dannosi, rendendo disponibile a tutti la sua piattaforma Malware Next-Gen Analysis all’inizio di questa settimana.
La domanda ora è come le organizzazioni e i ricercatori sulla sicurezza utilizzeranno la piattaforma e che tipo di nuova intelligence sulle minacce consentirà oltre a ciò che è disponibile tramite VirusTotal e altri servizi di analisi del malware.
La piattaforma Malware Next-Gen utilizza strumenti di analisi dinamica e statica per analizzare i campioni inviati e determinare se sono dannosi. Fornisce alle organizzazioni un modo per ottenere informazioni tempestive e utilizzabili su nuovi campioni di malware, come le funzionalità e le azioni che una stringa di codice può eseguire su un sistema vittima, ha affermato CISA. Tale intelligence può essere cruciale per i team di sicurezza aziendali ai fini della caccia alle minacce e della risposta agli incidenti, ha osservato l’agenzia.
"Il nostro nuovo sistema automatizzato consente agli analisti di caccia alle minacce della sicurezza informatica di CISA di analizzare, correlare, arricchire meglio i dati e condividere informazioni sulle minacce informatiche con i partner", ha affermato Eric Goldstein, assistente direttore esecutivo per la sicurezza informatica di CISA, in un discorso preparato. "Facilita e supporta una risposta rapida ed efficace alle minacce informatiche in evoluzione, salvaguardando in ultima analisi i sistemi e le infrastrutture critici”.
Dal CISA ha lanciato la piattaforma lo scorso ottobre, circa 400 utenti registrati provenienti da vari enti governativi federali, statali, locali, tribali e territoriali degli Stati Uniti hanno inviato campioni da analizzare a Malware Next-Gen. Degli oltre 1,600 file inviati finora dagli utenti, la CISA ne ha identificati circa 200 come file o URL sospetti.
Con l'iniziativa di CISA di questa settimana di rendere la piattaforma disponibile a tutti, qualsiasi organizzazione, ricercatore di sicurezza o individuo può inviare file dannosi e altri artefatti per l'analisi e il reporting. CISA fornirà analisi solo agli utenti registrati sulla piattaforma.
Jason Soroko, vicepresidente senior del prodotto presso Sectigo, fornitore di gestione del ciclo di vita dei certificati, afferma che la promessa della piattaforma Malware Next-Generation Analysis di CISA risiede nelle informazioni che può potenzialmente fornire. "Altri sistemi si concentrano sulla risposta alla domanda 'è già stato visto prima ed è dannoso'", osserva. "L'approccio di CISA potrebbe finire per avere priorità diverse e diventare 'questo campione è dannoso, cosa fa e se questo è già stato visto in precedenza'."
Piattaforma di analisi del malware
Attualmente sono disponibili diverse piattaforme, tra cui VirusTotal la più conosciuta, che utilizzano più scanner antivirus e strumenti di analisi statica e dinamica per analizzare file e URL alla ricerca di malware e altri contenuti dannosi. Tali piattaforme fungono da sorta di risorsa centralizzata per campioni di malware noti e comportamenti associati che i ricercatori e i team di sicurezza possono utilizzare per identificare e valutare il rischio associato al nuovo malware.
Non è noto quanto il Malware Next-Gen di CISA sarà diverso da queste offerte.
"Al momento, il governo degli Stati Uniti non ha spiegato in dettaglio cosa lo rende diverso dalle altre opzioni di analisi sandbox open source disponibili", afferma Soroko. L'accesso che avranno gli utenti registrati all'analisi del malware preso di mira dalle agenzie governative statunitensi potrebbe essere prezioso, dice. “Avere accesso all'analisi approfondita del CISA sarebbe il motivo per partecipare. Resta da vedere per quelli di noi al di fuori del governo degli Stati Uniti se questo è migliore o uguale ad altri ambienti di analisi sandbox open source”.
Fare la differenza
Callie Guenther, senior manager, ricerca sulle minacce informatiche presso Critical Start, afferma che è possibile che alcune organizzazioni inizialmente siano un po' caute nel fornire campioni e altri artefatti a una piattaforma gestita dal governo a causa di problemi di riservatezza e conformità dei dati. Ma il potenziale vantaggio dal punto di vista dell’intelligence sulle minacce potrebbe incoraggiare la partecipazione, osserva Guenther. “La decisione di condividere con la CISA probabilmente prenderà in considerazione l’equilibrio tra il rafforzamento della sicurezza collettiva e la salvaguardia delle informazioni sensibili”.
CISA può differenziare la propria piattaforma e offrire maggiore valore investendo in capacità che le consentano di rilevare campioni di malware che eludono la sandbox, afferma Saumitra Das, vicepresidente tecnico di Qualys. "La CISA dovrebbe cercare di investire sia nella classificazione basata sull’intelligenza artificiale dei campioni di malware, sia nelle tecniche di analisi dinamica a prova di manomissione… che potrebbero scoprire meglio [gli indicatori di compromissione]”, afferma.
Anche una maggiore attenzione al malware che prende di mira i sistemi Linux rappresenterebbe un grande miglioramento, afferma Das. "Gran parte dell'attenzione attuale è rivolta a campioni Windows provenienti da casi d'uso EDR, ma con [Kubernetes] e la migrazione cloud-native in atto, i malware Linux sono in aumento e sono piuttosto diversi nella loro struttura", dal malware Windows, afferma.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
- Fonte: https://www.darkreading.com/vulnerabilities-threats/cisa-s-new-malware-analysis-platform-could-enable-better-threat-intelligence
