El auge de la computación en la nube, los dispositivos IoT y el trabajo remoto está llevando a cada vez más empresas a implementar soluciones Sandbox para proteger sus datos e infraestructura críticos de los ciberataques. Durante una breve visita a Madrid para asistir a la conferencia Osintómático 2024, hemos tenido la oportunidad de hablar con Alex Vialkov, responsable de ventas de ANY.RUN, una empresa que nació en 2016 con el objetivo de “hacer que el análisis de malware sea simple y rápido”.
Con sede en Dubai, la compañía se autodefine como el primer sandbox interactivo de análisis de malware online. Any.Run se posiciona como una herramienta de detección, seguimiento e investigación de ciberamenazas en tiempo real. Explica Vialkov que hay otros proveedoreS de sandboxes que automatizan el proceso de análisis de malware, pero que ANY.RUN ofrece una manera diferente de hacer las cosas; “si tienes algún ataque o malware y deseas profundizar más, puedes usar nuestro sandbox para verificarlo manualmente, cambiar el vector de análisis y recibir más indicadores de compromiso”, explica, añadiendo que, cuando se habla de análisis automático, se ofrecen detalles referentes a la IP, DNS, etc., pero que con ANY.RUN el analista “tendrá más detalles”, no solo porque podrá analizar cada proceso o archivo, sino porque podrá “recibir más indicadores de compromiso”.
El secreto son los más de 3.000 clientes B2B que la compañía ya tiene en todo el mundo y los más de 400.000 usuarios activos que realizan análisis públicos y diariamente cargan nuevas muestras en los sistemas de ANY.RUN, lo que supone que la empresa recibe información actualiza sobre incidentes en todo el mundo.
«trabajar con Any.Run acelera el proceso de análisis de malware»
Lo cierto es el mundo del análisis de malware ha avanzado hacia una era de detección sofisticada de amenazas en los que la inteligencia artificial y las capacidades de aprendizaje automático están a la orden del día y permiten discernir anomalías y reconocer amenazas emergentes con un mayor nivel de precisión. Las sandbox se han ido adaptado para contrarrestar las tácticas de evasión, creando entornos más realistas y desafiantes para entidades maliciosas que intentan detectar y evadir el análisis.
ANY.RUN cuenta con un equipo de analistas de malware que analiza todos estos archivos que se reciben a diario y trabajan en técnicas anti-evasión, falsos positivos, procesos de detección… “y, además, fabricamos nuestros propios controladores para realizar el análisis de malware”.
Según nos explica Vialkov cuando un cliente recibe un malware, enlace malicioso o archivo, se sube ese indicador de compromiso a la plataforma de inteligencia de amenazas de la compañía, donde se pueden ver todos los archivos relacionados con el mismo indicador de compromiso. En este punto, los analistas de malware pueden comprobar estos indicadores, y descargarlos, lo que es un elementos diferenciador de la propuesta de la compañía.
ANY.RUN dispone de una sandbox de análisis de malware que puede utilizarse de manera manual y que puede realizar análisis a través de API, nos cuenta Vialkov, añadiendo que, aunque se puede automatizar el análisis de malware, “no es nuestro caso principal. Nos centramos en el análisis manual y la inteligencia de amenazas”.
Según los analistas, hay grandes oportunidades en el mercado de Sandbox. Aunque se espera que la integración de tecnologías de inteligencia artificial y aprendizaje automático en las soluciones Sandbox mejore aún más sus capacidades para identificar y responder a las amenazas en tiempo real, tiene claro Alex Vialkov que “los humanos harán un mejor análisis que la IA”. Y es que muchas veces no basta con ejecutar un archivo sospechoso en un sistema de pruebas para estar seguro de su seguridad. Para algunos tipos de malware o vulnerabilidades (por ejemplo, APT), es necesaria la interacción humana directa durante el análisis. Un conjunto de herramientas de análisis de malware online permite observar el proceso de investigación y hacer ajustes cuando sea necesario, tal como lo haría en un sistema real, en lugar de depender de un sandbox totalmente automatizada.
En opinión de Vialkov, el proceso manual que permite ANY.RUN es una de las grandes ventajas de la compañía; “nuestra comunidad disfruta de utilizar nuestro servicio porque ahorran tiempo y reciben el resultado preciso”, asegura el Sales Manager de la compañía, explicando que los resultados que se ofrecen no es un sí o un no, sino “quién, por qué, cuándo y qué quieren hacer con nuestro sistema”.
Resaltar que el servicio muestra muchos aspectos de las pruebas, como la creación de nuevos procesos, archivos o URL potencialmente sospechosos o maliciosos, así como la actividad del registro, las solicitudes de red y mucho más, todo en tiempo real, esto permite sacar conclusiones durante la ejecución de la tarea sin tener que esperar al informe final.
Mercado de Iberia
Preguntado por los planes para España, responde Alex Vialkov que no llevan mucho tiempo trabajando en la región. Nos cuenta que ANY.RUN ha estado poniendo más foco en Alemania y Estados Unidos, donde la compañía crece cada año, y que “España tiene un gran potencial porque no hay tecnologías como la que ofrece ANY.RUN y tanto los bancos como las compañías de seguros o la industria manufacturera necesitan una solución como esta”
Los planes pasan por asistir a conferencias, mostrar sus productos y trabajar mano a mano con los clientes. Todo el mundo tiene el mismo problema: “No hay tantos buenos analistas que puedan trabajar inmediatamente”, asegura el directivo, recordando que trabajar con ANY.RUN acelera el proceso de análisis de malware y “hará de una menara fácil las cosas difíciles en minutos. Este es nuestro objetivo”.
Respecto a la tipología de cliente, habla Alex Vialkov de empresas medianas y grandes, menciona a Otto, una multinacional alemana de comercio y servicios, y apunta a bancos, empresas de seguros… empresas que han creado su propio SOC. Los proveedores de servicios, los MSPs, también son bienvenidos como clientes de Any.Run “porque tienen muchos analistas de malware y grandes capacidades”. Sin dar nombres, confirma que ya hay dos grandes MSP españoles trabajando con Any.Run, y algunos más pequeño. Para la compañía “no es ningún problema integrar nuestra solución en el stack. Si tienes un SOC y necesitas hacer un análisis más profundo, podemos integrar nuestra solución para enriquecer tu sistema SIEM y de inteligencia”.
Dentro de la estrategia para España también hay planes específicos de trabajar con el canal distribución. Se cuenta actualmente con dos socios, una cifra que se quiere ampliar a cinco, o seis.
“A nivel mundial, hay 400.000 personas que utilizan ANY.RUN”, asegura también Vialkov destacando que, al ser uno de los primeros entornos sandbox en la nube, “el modelo de negocio es un modelo de suscripción”. Existe también una versión freemium que ayuda a retroalimentar el sistema gracias a una enorme comunidad que comparte sus análisis.
Sin entrar en detalles asegura el Head of Sales de Any.Run que la compañía aumenta sus ingresos cada año, “lo que significa que podemos invertir más dinero en nuestras tecnologías”. No solo se cuenta, asegura, con el mayor equipo de análisis de ciberseguridad, “sino con los mejores desarrolladores”, que van respondiendo a las peticiones de los clientes.
Hablando del roadmap de la compañía… “en primer lugar queremos mejorar nuestra inteligencia. Queremos hacer que nuestro modelo freemium sea más atractivo para que el cliente reciba más indicadores de compromisos y preste atención en nuestra plataforma de inteligencia”, explica Alex Vialkov, añadiendo que el Sandbox de la compañía es ya bien conocido y que lo que se persigue es mejorarlo añadiendo automatización, IA o nuevos sistemas operativos.
Osintomático 2024
Como decíamos al comienzo, se aprovechaba la visita de Alex Vialkov a Madrid para participar en Osintomático 2024, un evento que, celebrado el 17 y 18 de mayo en La Nave prometía dos días de intensa actividad sobre OSINT e ingeniería social en la que la inteligencia, la tecnología y la seguridad digital se convierten en los protagonistas.
La participación en este evento, en el que se repite por segundo año consecutivo es, en opinión de Vialkov, un compromiso para “generar más vínculos con esta región”.
