Conozca a las mentes detrás del Centro de Excelencia en Investigación de Amenazas Avanzadas (ATRCoE) de F5.

Como parte de la Oficina del CTO de F5, el Centro de Excelencia en Investigación de Amenazas Avanzadas se centra en descubrir los secretos de las amenazas más extendidas que plagan Internet. Como complemento del énfasis de F5 Labs en la inteligencia sobre amenazas, ATRCoE lleva a cabo investigaciones avanzadas sobre amenazas para presentar visiones externas sobre los riesgos de ciberseguridad. Luego se analiza esta investigación para producir ideas y conocimientos convincentes en el campo de la ciberseguridad.

Dirigido por el Dr. Aditya Sood , este nuevo grupo ya ha descubierto amenazas avanzadas y publicado investigaciones en múltiples publicaciones como Virus Bulletin, Elsevier Magazines, BlackHat Arsenal y conferencias de seguridad líderes en la industria como Texas Cyber Summit, BSides Berlin, Hack-in-Paris, Secure 360, Virus Bulletin y otras. A continuación se presentan algunas piezas destacables:

• Coleccionista-Ladrón: Ladrón de información de origen ruso
• Disección del panel C&C de AZORult
• El panorama de amenazas de la COVID-19
• Herramienta de enfilada: Detección de infecciones de ransomware en MongoDB
• Detección de ataques DGA (algoritmo de generación de dominios) mediante ML/IA
• Criptojacking: Clústeres de Kubernetes comprometidos que utilizan controladores NVIDIA
• Compromiso de los paneles C&C de IoT para detectar infecciones

El equipo está compuesto por investigadores de amenazas e ingenieros de desarrollo:

1. Amit Nagal es científico de datos principal de F5. Tiene más de 15 años de experiencia en aprendizaje automático y análisis. Tiene un doctorado en ciencias del desarrollo de la Universidad MGS. En el pasado, trabajó en Verizon y JPMorgan Chase.  
2. Bharathasimha Reddy Devarapally es ingeniero de software en F5. Recibió su licenciatura en Ciencias de la Computación del Instituto Nacional de Tecnología, Warangal (India), en 2020. Ha estado trabajando activamente en la investigación de amenazas en F5. 
3. Ruthvik Reddy Sankepally es ingeniero de software en F5. Se graduó con una licenciatura en Ciencias de la Computación de BITS Pilani Hyderabad.

Cómo el equipo descubre amenazas

El equipo ATRCoE se centra en los aspectos estratégicos, operativos, tácticos y analíticos de una amenaza. Al comprender los riesgos comerciales y el impacto de las amenazas avanzadas, deciden el tema de investigación de amenazas. Luego, diseccionan esas amenazas para encontrar sus TTP (Técnicas, Tácticas y Procedimientos), KSAs (Conocimientos, Habilidades y Aptitudes) y AIL (Infraestructura de Ataque y Plataformas de Lanzamiento). Con este contexto y estudiando el trabajo predominante, el equipo forma la base de su investigación y decide el mejor enfoque para abordarla. El enfoque puede ser defensivo, ofensivo o híbrido. Las técnicas empleadas pueden ser proactivas, reactivas o una combinación de ambas. Comparten inteligencia sobre amenazas creando herramientas de código abierto y publicando investigaciones en varios portales y conferencias de seguridad.

Cómo las amenazas captan la atención del ATRCoE

El método de elección de temas de investigación se basa en un marco TRIG (Investigación de amenazas y generación de inteligencia) desarrollado internamente. La investigación se selecciona en función de su relevancia para las amenazas avanzadas actuales en Internet. Las amenazas avanzadas altamente graves y ampliamente publicitadas, incluidas las vulnerabilidades de día cero, exigen atención primaria debido a la urgencia y el impacto en las ofertas de productos de F5. Por ejemplo, ATRCoE analizó amenazas avanzadas como AZORult, Collector-stealer, Blackguard, etc., utilizadas específicamente por adversarios de estados nacionales.

Además, ATRCoE invierte esfuerzos en el uso de ML/AI para abordar los desafíos de la ciberseguridad. Por ejemplo: analizar grandes conjuntos de registros de DNS (servidor de nombres de dominio) y HTTP (protocolo de transferencia de hipertexto) en un formato estructurado dentro del almacén de datos de seguridad de F5 y luego explorar los datos para encontrar artefactos de amenazas interesantes y tendencias en el panorama de amenazas para comprender los desafíos actuales. Los ejemplos incluyen el trabajo publicado del equipo sobre sitios de phishing que utilizaron temas de Covid-19 y la investigación de detección de DGA del Proyecto Astra.

Herramientas empleadas para la investigación de ATRCoE

El equipo practica un enfoque híbrido en el que se utiliza una amplia variedad de herramientas para el análisis, la automatización y la inteligencia, incluidos scripts personalizados de diseño interno, herramientas de código abierto, como nmap, masscan, wireshark, tshark, bro, Radare2/Cutter, Ghidra, python, etc. y herramientas empresariales como Burp Proxy.
_____

Debido a la naturaleza de este tipo de investigación, es difícil predecir cuándo se publicará contenido nuevo, pero podemos esperar ver más de este grupo pronto.