A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) deu às organizações um novo recurso para analisar arquivos, URLs e endereços IP suspeitos e potencialmente maliciosos, disponibilizando sua plataforma de análise de próxima geração de malware para todos no início desta semana.
A questão agora é como as organizações e os pesquisadores de segurança usarão a plataforma e que tipo de nova inteligência sobre ameaças ela permitirá além do que está disponível via VirusTotal e outros serviços de análise de malware.
A plataforma Malware Next-Gen usa ferramentas de análise dinâmica e estática para analisar amostras enviadas e determinar se são maliciosas. Ele oferece às organizações uma maneira de obter informações oportunas e acionáveis sobre novas amostras de malware, como a funcionalidade e as ações que uma sequência de código pode executar no sistema da vítima, disse a CISA. Essa inteligência pode ser crucial para as equipes de segurança corporativa para fins de caça a ameaças e resposta a incidentes, observou a agência.
“Nosso novo sistema automatizado permite que os analistas de caça a ameaças de segurança cibernética da CISA analisem, correlacionem, enriqueçam melhor os dados e compartilhem insights sobre ameaças cibernéticas com parceiros”, disse Eric Goldstein, diretor-assistente executivo de segurança cibernética da CISA, em um comunicado. declaração preparada. "Facilita e apoia uma resposta rápida e eficaz às ameaças cibernéticas em evolução, salvaguardando, em última análise, sistemas e infraestruturas críticas.”
Desde a CISA lançou a plataforma em outubro passado, cerca de 400 usuários registrados de diversas agências governamentais federais, estaduais, locais, tribais e territoriais dos EUA enviaram amostras para análise ao Malware Next-Gen. Dos mais de 1,600 arquivos enviados pelos usuários até agora, a CISA identificou cerca de 200 como arquivos ou URLs suspeitos.
Com a decisão da CISA esta semana de disponibilizar a plataforma para todos, qualquer organização, pesquisador de segurança ou indivíduo pode enviar arquivos maliciosos e outros artefatos para análise e relatórios. A CISA fornecerá análises apenas aos usuários cadastrados na plataforma.
Jason Soroko, vice-presidente sênior de produtos do fornecedor de gerenciamento do ciclo de vida de certificados Sectigo, diz que a promessa da plataforma de análise de próxima geração de malware da CISA reside no insight que ela pode potencialmente fornecer. “Outros sistemas concentram-se em responder à pergunta 'isto já foi visto antes e é malicioso'”, observa ele. “A abordagem da CISA pode acabar sendo priorizada de forma diferente para se tornar 'esta amostra é maliciosa, o que ela faz e isso já foi visto antes'.”
Plataforma de análise de malware
Várias plataformas – VirusTotal é a mais conhecida – estão disponíveis atualmente e usam vários scanners antivírus e ferramentas de análise estática e dinâmica para analisar arquivos e URLs em busca de malware e outros conteúdos maliciosos. Essas plataformas servem como uma espécie de recurso centralizado para amostras de malware conhecidas e comportamentos associados que pesquisadores e equipes de segurança podem usar para identificar e avaliar riscos associados a novos malwares.
Ainda não se sabe até que ponto o Malware Next-Gen da CISA será diferente dessas ofertas.
“No momento, o governo dos EUA não detalhou o que torna isso diferente de outras opções de análise de sandbox de código aberto disponíveis”, diz Soroko. O acesso que os usuários registrados terão à análise de malware direcionado a agências governamentais dos EUA pode ser valioso, diz ele. “Ter acesso à análise aprofundada da CISA seria o motivo para participar. Resta saber para nós, fora do governo dos EUA, se isso é melhor ou igual a outros ambientes de análise de sandbox de código aberto.”
Fazendo a Diferença
Callie Guenther, gerente sênior de pesquisa de ameaças cibernéticas da Critical Start, diz que é possível que algumas organizações inicialmente sejam um pouco cautelosas ao contribuir com amostras e outros artefatos para uma plataforma administrada pelo governo devido a questões de confidencialidade e conformidade de dados. Mas a vantagem potencial do ponto de vista da inteligência de ameaças poderia encorajar a participação, observa Guenther. “A decisão de compartilhar com a CISA provavelmente considerará o equilíbrio entre o aumento da segurança coletiva e a proteção de informações confidenciais.”
A CISA pode diferenciar sua plataforma e agregar mais valor investindo em recursos que lhe permitam detectar amostras de malware que evitam sandbox, afirma Saumitra Das, vice-presidente de engenharia da Qualys. "A CISA deveria tentar investir tanto na classificação de amostras de malware baseada em IA, bem como em técnicas de análise dinâmica resistentes a violações... que poderiam revelar melhor [indicadores de comprometimento]”, diz ele.
Um foco maior em malware direcionado a sistemas Linux também seria uma grande melhoria, diz Das. “Grande parte do foco atual está em amostras do Windows de casos de uso de EDR, mas com [o Kubernetes] e a migração nativa da nuvem acontecendo, o malware do Linux está aumentando e é bastante diferente em sua estrutura”, do malware do Windows, diz ele.
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
- PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
- PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
- PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
- Fonte: https://www.darkreading.com/vulnerabilities-threats/cisa-s-new-malware-analysis-platform-could-enable-better-threat-intelligence
