Un anno fa, mi sono rivolto agli specialisti della cybersecurity per presentare loro un nuovo tool che avevamo sviluppato, il nostro Open Threat Intelligence Portal. Gli strumenti per l’analisi delle minacce complesse (o di file semplicemente sospetti), gli stessi utilizzati dai nostri cyber-ninja del GReAT, diventavano disponibili a chiunque volesse servirsene. E sono stati in molti a farlo, dal momento che ogni mese sono stati analizzati un’infinità di file.
Tuttavia, in un solo anno la situazione è cambiata notevolmente. Il lavoro degli esperti di cybersecurity è diventato molto più complicato, per via del fatto che praticamente il mondo intero, per colpa del coronavirus, è passato allo smart working. Di conseguenza, occuparsi della sicurezza delle reti aziendali è diventato un compito molto più faticoso e problematico. Il tempo, una risorsa molto preziosa già prima del coronavirus, adesso ha un valore inestimabile. La richiesta più frequente che ci fanno ora i nostri utenti più sofisticati è semplice e diretta: “Dateci l’accesso API e aumentate i rate limit!”
Ogni vostro desiderio è un ordine per noi.
Nella nuova versione di OpenTIP, abbiamo messo a disposizione un sistema di registrazione che consiglio soprattutto agli utenti che visitano frequentemente la piattaforma, perché consente di accedere a una bella fetta di quanto presente nella versione a pagamento di Threat Intelligence Portal.
Per prima cosa, sapevate che si può utilizzare l’API per inviare i file da analizzare? Potete integrare OpenTIP nei vostri processi di analisi nel modo che considerate più comodo e veloce. Oltre a una quantità illimitata di file, potrete analizzare anche altri oggetti sospetti come URL, IP e hash.
In secondo luogo, per i file eseguibili, oltre al verdetto su quali contenuti sembrano sospetti, OpenTIP ora fornisce una maggiore quantità di materiale grezzo per l’analisi, con questo intendiamo non solo dati sulla struttura dei file PE, ma anche stringhe di testo estratte da essi. Avrete a disposizione anche la nostra grandiosa sandbox su cloud, che in realtà è un prodotto a pagamento a sé stante. Infine, tra le impostazioni troverete l’opzione “Private submission” (invio privato), che permette di analizzare gli oggetti sospetti senza che nessuno sappia che sono stati inviati a OpenTIP. Fin dall’inizio non abbiamo permesso a nessuno di visualizzare i file altrui, ma ora è possibile mantenere gli indicatori analizzati dal portale al di fuori della cronologia pubblica.
Anche senza registrazione, i miglioramenti di OpenTIP sono evidenti.
L’interfaccia Web è più intuitiva, fa risparmiare tempo, è facile da consultare e i risultati delle analisi sono molto più informativi.
Nella seconda versione di OpenTIP, abbiamo applicato anche delle tecnologie extra di analisi del comportamento. Non otterrete un semplice verdetto “infetto/pulito”, come avviene con la tradizionale protezione degli endpoint ma un’analisi dettagliata delle proprietà sospette, sulla base della quale un analista può decidere se “scavare” ulteriormente. Per gli URL sospetti, sarà disponibile anche la categorizzazione delle proprietà pericolose.
Per chi ha bisogno di ancora di più, la versione a pagamento di Threat Intelligence Portal è molto più completa, in parte grazie all’accesso a report dettagliati sulle minacce informatiche rilevate dai nostri migliori analisti.
Come registrarsi
Basta con le descrizioni astratte: che ne dite di vederlo con i vostri occhi? Vi basterà inviare un file sospetto a OpenTIP.
Per coloro che non si sono ancora iscritti ai nostri servizi di Threat Intelligence, so che troverete il portale indispensabile (sì, ricordo VirusTotal, ma ne ho parlato l‘ultima volta). Ma soprattutto, OpenTIP sarà indispensabile per chi lo userà durante le quotidiane procedure di analisi di ogni possibile cyber-minaccia.