El lanzamiento de la Base de Conocimientos Lastline (LLKB) se realizó en la Conferencia RSA 2015. El nuevo módulo de software puede ser combinado con el Lastline Breach Detection Platform para dar a los profesionales de seguridad contexto alrededor de incidentes para responder y defender ante ataques. El repositorio de datos contiene años de información de malware que se actualiza conforme aparecen nuevas amenazas y emergen datos relacionados a ellas.

La LLKB permite a los profesionales de seguridad indagar sobre ataques históricos, relacionando direcciones IP y los indicadores de compromiso (IOC) en busca de malware vinculado a una amenaza avanzada. Los Equipos de Respuesta a Incidentes y los Centro de Operaciones de Seguridad (SOC) pueden utilizar la LLKB para identificar características específicas relacionadas con el malware inédito que ataca su red. Es posible mejorar la precisión, la contención rápida, generar contramedidas eficaces y proteccón a futuro.

La LLKB permite a un operador consultar información sobre malware más allá de las direcciones IP y dominios. Indexa las cadenas del malware guardadas, por ejemplo, se pueden consultar nuevamente cadenas contra las que han sido observadas en snapshots tomados durante la ejecución de malware. Esta información en tiempo de ejecución puede ser clave para determinar si la muestra de malware está dirigida a ambientes específicos o a cuentas empresariales. Combinado con el IOC y la información de la actividad para cada muestra, esto equivale a al menos 10 veces la información sobre cada muestra de malware en comparación con los típicos almacenamientos de inteligencia sobre amenazas.

Cuando se clasifica una amenaza detectada, los miembros del SOC pueden investigarla en la base de conocimientos y evaluar su prevalencia, asimismo con el impacto histórico de las muestras de malware relacionadas dentro de su red o de la industria vertical. En paralelo, se pueden bloquear todos los dominios relacionados o sus direcciones IP, particularmente útil si hay indicios de un ataque dirigido, a diferencia del malware lanzado a través de toda una red vertical.

Con la LLKB, también se pueden buscar URL en todas las muestras de malware conocido, lo que podría identificar el malware dirigido al sitio web de su organización antes de que incluso llegue a la red. Este nivel de detalle sin precedentes es posible gracias al emulador del sistema completo o FUSE.