El CCN-CERT del Centro Criptológico Nacional (CCN) ha desarrollado su nueva solución de análisis avanzado de código dañino: ADA, plataforma con la que se mejora la detección de ciberamenazas de tipo malware en archivos, ficheros (.zip, pdf, documentos de office, etc.) y URLs.
ADA integra las funcionalidades de detección de las soluciones MARTA y MARÍA. De esta forma, mediante la combinación de análisis dinámicos y estáticos de las muestras, y con el empleo de herramientas de análisis forense, esta nueva solución incrementa las capacidades de identificación de vectores de ataque e infección y de amenazas tanto conocidas como desconocidas.
Con ADA, los usuarios podrán realizar análisis avanzados de archivos recibidos por correo electrónico o descargados en Internet en un entorno asilado, lo que impide que la información analizada en esta plataforma sea consultada por otros usuarios y organismos. Asimismo, podrán consultar los resultados de los análisis realizados en los informes ejecutivos que elabora la propia solución, con gráficas dinámicas, mapas interactivos, diagramas de comportamiento y estadísticas de uso y comparación.
Esta nueva solución ofrece protección adicional frente a posibles ciberamenazas, reduciendo así la superficie de exposición de los sistemas y aumentando las capacidades de prevención de organismos y organizaciones ante la constante evolución y complejidad de los ciberataques.
Funcionalidades de ADA.
Algunas de las principales funcionalidades que podemos encontrar son:
- Análisis dinámico multi-tecnología: ADA envía la muestra de malware a diversas tecnologías de análisis dinámico gracias a la integración con MARTA; las coordina, orquesta y recoge los resultados, los cuales son normalizados y unificados para su consumo por parte de los usuarios.
- Análisis estático en profundidad: integra la solución MARÍA para obtener un potente análisis de firmas de virus y además añade capacidades de desensamblado, análisis forense y recogida de metadatos sobre las muestras enviadas, ofreciendo un análisis estático con la misma profundidad que un análisis dinámico.
- Histórico de análisis: almacena y consolida los resultados generados, de forma que pueden ser consultados con rapidez, ya sea para ampliar una investigación o para enriquecer los resultados de cada nuevo análisis. Además, gracias a la profundidad de la visión estadística aportada, permite hacer un seguimiento de la evolución de las amenazas.
- Entorno de análisis aislado: cada organismo que solicite acceso a esta solución tendrá un entorno de análisis aislado, por lo que su información no podrá ser consultada por el resto de usuarios y organismos. La información recopilada solo sirve para que el motor de ADA pueda enriquecer y mejorar los resultados de análisis, eliminando falsos positivos.
- Generación de informes automáticos personalizables, de tipo ejecutivo y técnico: ADA presenta los resultados reforzando la vertiente ejecutiva de los mismos, empleando para ello graficas dinámicas, mapas interactivos, diagramas de comportamiento, estadísticas de uso y comparación, etc.
- Interacción completa con el proceso de análisis: desde el momento en el que el usuario sube la muestra a ADA, es posible interactuar de forma sencilla con la máquina virtual en la que se está realizando el análisis sin abandonar la plataforma.
Fuente | CCN-CERT