A Virustotal - empresa espanhola adquirida pelo Google há menos de um ano - é a líder mundial em análise de malwares concomitantemente em múltiplos motores de Anti-Vírus (44 para ser exato) - e é uma ferramenta conhecida de equipes de Segurança e Resposta a Incidentes há vários anos.
O CarbonBlack é uma ferramenta revolucionária de resposta a incidentes, que permite que empresas monitorem de 100 a 100.000 máquinas com um baixo investimento em hardware (um servidor a cada 10mil máquinas, sem utilização de appliances) e utilizando apenas um pequeno sensor nas máquinas monitoradas (processos, alterações em file-system, registro, conexões de rede, etc). Eu comecei a acompanhar e testar o desenvolvimento da CarbonBlack em 2011, quando através dos livros e posts de Harlan Carvey fui convencido de sua eficiência e da importância do investimento na preparação pré-incidentes nos endpoints.
O relacionamento entre as duas empresas se iniciou através de um plugin para a ferramenta da CarbonBlack, que permite que todos os processos executados em máquinas monitoradas pela solução sejam verificados pelo VirusTotal (44 anti-vírus). Mas isto é acessível apenas às empresas que possuem a solução CarbonBlack instalada em seus computadores.
Hoje foi anunciada uma parceria que provê dados da cadeia de execução de binários (especialmente malwares), através de uma nova seção acessível nas análises do VirusTotal, chamada "Relationships". Como o CarbonBlack controla quais foram os processos responsáveis pela criação de novos binários no sistema (ou a execução de binários já existentes), situações muito comuns como a exploração de aplicações vulneráveis (Java, Adobe Reader, Browsers, etc) e ataques com vários estágio (exemplo: dropper -> downloader -> backdoor) podem ser investigados de forma rápida e centralizada.
Alguns outros benefícios imediatos da parceria para os clientes de ambas empresas são os seguintes:
- Feedback em tempo real da comunidade VirusTotal sobre novos binários executados na empresa;
- Update em tempo real de binários suspeitos assim que as diferentes empresas de Anti-Vírus respondem às novas ameaças;
- A capacidade de visualizar o relacionamento entre binários para se preparar ,detecar e responder a ataques envolvendo malwares (mesmo os não identificados pela principal ferramenta de AV da organização);
- Notificação avançada de novos ataques 0day.
Mais informações:
- Veja mais detalhes sobre o CarbonBlack no site da Apura CyberSecurity Intelligence
- Mais informações sobre a nova funcionalidade do VirusTotal no site da CarbonBlack
- Veja outros sites como o VirusTotal no post "Sites-Ferramentas de Segurança"
Shameless Plug - A Apura é representante exclusiva da CarbonBlack no Brasil.
Uma pergunta ingênua: quanto custa esta solução?
ReplyDelete