¿Cómo puede garantizar un análisis de malware coherente y repetible durante un incidente de seguridad de la red?

Con tecnología de la IA y la comunidad de LinkedIn

El análisis de malware es una habilidad crucial para los profesionales de la seguridad de redes, especialmente durante un incidente de seguridad. Sin embargo, el análisis de código malicioso puede ser un desafío, llevar mucho tiempo e incoherente si no se sigue un enfoque sistemático. En este artículo, aprenderá a garantizar un análisis de malware coherente y repetible durante un incidente de seguridad de red, utilizando algunas prácticas y herramientas recomendadas.

Expertos destacados en este artículo

Elección de la comunidad a partir de 4 contribuciones. Más información

Carlo D.

Cyber Security Professional, CISSP

1 Define tus objetivos

Antes de comenzar a analizar el malware, debe definir sus objetivos y alcance. ¿Qué estás tratando de lograr con tu análisis? ¿Desea identificar la funcionalidad, el origen, el impacto o los indicadores de compromiso del malware? ¿Qué tan profundo desea profundizar en el código y el comportamiento del malware? ¿Cuánto tiempo y recursos tienes disponibles? Estas preguntas te ayudarán a determinar el nivel y el tipo de análisis que necesitas realizar, y a evitar perder tiempo y esfuerzo en tareas irrelevantes o redundantes.

Añade tu opinión

Lulu G.

Doctoral Researcher
Denunciar la contribución
Key practices to enable organizations to establish a robust and repeatable malware analysis framework for effective response to network security incidents include: 1. Develop detailed analysis procedures for various malware types and maintain a regularly updated SOP, employ a consistent set of malware analysis tools to ensure uniformity across analysts and incidents and automate routine tasks 2. Conduct malware analysis in isolated environments, utilize version control systems, create baseline configurations for analysis systems and maintain a repository of known good and bad samples for future analysis and training. 3. Integrate malware analysis procedures into the overall incident response plan, and conduct post-incident reviews.

Traducido

Recomendar

2 Elija sus métodos de análisis

Dependiendo de sus objetivos y alcance, puede elegir entre dos métodos principales de análisis de malware: estático y dinámico. El análisis estático implica examinar el código, la estructura y los metadatos del malware sin ejecutarlos. El análisis dinámico implica ejecutar el malware en un entorno controlado y observar su comportamiento, la actividad de la red y los cambios del sistema. Ambos métodos tienen sus ventajas y desventajas, y debe usarlos en combinación para obtener una visión completa de las capacidades e intenciones del malware.

Añade tu opinión

3 Preparación del entorno de análisis

Para realizar análisis de malware de forma segura y eficaz, debe preparar su entorno de análisis de acuerdo con los métodos elegidos. Para el análisis estático, necesita un conjunto de herramientas que puedan ayudarle a desmontar, descompilar e inspeccionar el código y los recursos del malware, como IDA Pro, Ghidra o PE Explorer. Para el análisis dinámico, necesita una máquina virtual o un sandbox que pueda aislar el malware de su red y sistema, y que le permita supervisar y manipular su ejecución, como Cuckoo Sandbox, VMware Workstation o VirtualBox. También necesita herramientas que puedan capturar y analizar el tráfico de red del malware, como Wireshark, tcpdump o Fiddler.

Añade tu opinión

4 Documente su proceso de análisis

Uno de los aspectos más importantes para garantizar un análisis de malware coherente y repetible es documentar el proceso de análisis. Debes llevar un registro de cada paso que das, de cada herramienta que utilizas, de cada observación que haces y de cada conclusión que sacas durante tu análisis. Esto te ayudará a verificar tus hallazgos, compartir tus resultados, reproducir tus pasos y mejorar tus habilidades. Puede utilizar una plantilla estándar o una herramienta como Malware Analysis Report Tool (MART) para documentar su proceso de análisis.

Añade tu opinión

Cargar más contribuciones

5 Compara tus resultados con otras fuentes

Otra forma de garantizar un análisis de malware coherente y repetible es comparar los resultados con otras fuentes de información. Puede usar bases de datos, repositorios y plataformas en línea que recopilan y comparten muestras, firmas, informes y análisis de malware, como VirusTotal, MalwareBazaar o Hybrid Analysis. También puede utilizar fuentes de inteligencia sobre amenazas, blogs, foros y publicaciones que proporcionan información y actualizaciones sobre tendencias, campañas y actores de malware, como MITRE ATT&CK, Malwarebytes Labs o FireEye Threat Research.

Añade tu opinión

6 Actualiza tus conocimientos y habilidades

Por último, para garantizar un análisis de malware coherente y repetible, debe actualizar sus conocimientos y habilidades con regularidad. El malware está en constante evolución y adaptación a nuevas tecnologías, defensas y oportunidades, y debe mantenerse al día con los últimos desarrollos y técnicas en el campo del análisis de malware. Puede utilizar cursos, libros, podcasts y seminarios web en línea para aprender nuevas habilidades y métodos, como Practical Malware Analysis, Malware Unicorn o SANS FOR610. También puede participar en comunidades, eventos y desafíos en línea que pueden ayudarlo a establecer contactos y practicar sus habilidades, como Análisis de malware para erizos, Análisis de tráfico de malware o Flare-On.

Añade tu opinión

Ammar Syafiq, CISSP

Team Lead - Voice at Stampede Solution - VOLARE®
Denunciar la contribución
I've learned that staying updated with the latest malware trends and techniques is important for reliable analysis. Regularly explore emerging threats and innovative defence strategies through cutting-edge research papers and cybersecurity conferences. Hands-on experimentation in a controlled environment, like using honeypots to attract and study new malware types, is also part of my routine. This proactive approach, combined with peer collaboration and sharing insights on platforms like Flare-On, keeps skills sharp and analysis methods relevant in the world of cyber threats.

Traducido

Recomendar

7 Esto es lo que hay que tener en cuenta

Este es un espacio para compartir ejemplos, historias o ideas que no encajan en ninguna de las secciones anteriores. ¿Qué más te gustaría añadir?

Añade tu opinión

Carlo D.

Cyber Security Professional, CISSP
Denunciar la contribución
consider DOM on client side, javascript malware alike, that can act as loader and repeat analysis considering sandboxe escape malware can implement, to not be analysed. Behavior of the malware can change also based on OS...consider that in the analysis variable and remember that new RUST/GoLang malware, at each compile can change hash

Traducido

Recomendar

Seguridad de redes

Seguir

Valorar este artículo

Hemos creado este artículo con la ayuda de la inteligencia artificial. ¿Qué te ha parecido?

Está genial Está regular

Denunciar este artículo

Ver todo

¿Cómo puede garantizar un análisis de malware coherente y repetible durante un incidente de seguridad de la red?

1

2

3

4

5

6

7

1 Define tus objetivos

2 Elija sus métodos de análisis

3 Preparación del entorno de análisis

4 Documente su proceso de análisis

5 Compara tus resultados con otras fuentes

6 Actualiza tus conocimientos y habilidades

7 Esto es lo que hay que tener en cuenta

Seguridad de redes

Valorar este artículo

Gracias por tus comentarios

Más artículos sobre Seguridad de redes

Lecturas más relevantes

¿Cómo puede garantizar un análisis de malware coherente y repetible durante un incidente de seguridad de la red?

1

2

3

4

5

6

7

1 Define tus objetivos

2 Elija sus métodos de análisis

3 Preparación del entorno de análisis

4 Documente su proceso de análisis

5 Compara tus resultados con otras fuentes

6 Actualiza tus conocimientos y habilidades

7 Esto es lo que hay que tener en cuenta

Seguridad de redes

Valorar este artículo

Gracias por tus comentarios

Explorar otras aptitudes