Kaspersky Threat Intelligence Portal

Основные статьи:

• Антивирусы
• Межсетевой экран (Firewall)
• Fraud Detection System (фрод, система обнаружения мошенничества)
• Security Information and Event Management (SIEM)
• Как действует хакер при целевой атаке и как ему помешать? Обзор возможностей сервисов Threat intelligence

Kaspersky Threat Intelligence Portal - сервис для онлайн-проверки подозрительных объектов.

2023: Оптимизация потоков данных об угрозах

«Лаборатория Касперского» 9 марта 2023 года сообщила о том, что обновила сервисы Kaspersky Threat Intelligence.

В обновлённых сервисах Kaspersky Threat Intelligence усовершенствованы потоки данных об угрозах. Благодаря этому специалисты по информационной безопасности смогут эффективнее выявлять и анализировать поведение злоумышленников, их тактики, методы и характер кибератак независимо от их региона, языка или целей.Догнать и перегнать: Российские ВКС прирастают новыми функциями 9.1 т

По статистике Kaspersky Global Emergency Response Team, в среднем злоумышленники способны незаметно оставаться в ИТ-инфраструктуре компании 94,5 дня, прежде чем их обнаружат. Чтобы организации всегда могли быть на шаг впереди атакующих и принимать превентивные меры, не дожидаясь нанесения ущерба, в сервисах Kaspersky Threat Intelligence улучшены возможности для поиска угроз (Threat Hunting) и расследования инцидентов. ИБ-команды получают актуальный контекст на протяжении всего процесса расследования, что позволяет его ускорить и помочь принять тактически верные решения. При этом информация предоставляется и в виде, удобочитаемом для человека, и в формате, считываемом машиной.

Новые фиды. В Kaspersky Threat Intelligence появились дополнительные фиды по Crimeware, облачным сервисам и угрозам для ПО с открытым исходным кодом. Они помогут компаниям детектировать или предотвращать утечки данных, а также снижать риски атак на цепочки поставок и вероятность использования уязвимых, скомпрометированных и опасных компонентов ПО. Также доступен поток данных Kaspersky Industrial OVAL Data Feed for Windows: он предоставляет комплексные сведения об уязвимостях в популярных системах SCADA и распределённых системах управления (РСУ).

Возможности в существующих фидах. Существующие фиды обогащены дополнительной ценной информацией о новых категориях угроз, тактиках и техниках атак в классификации MITRE ATT&CK, что позволит командам ИБ обнаруживать атакующих, расследовать инциденты и реагировать на угрозы более быстро и эффективно.

Улучшена интеграция с SIEM-решениями через Kaspersky CyberTrace: добавлен автоматизированный парсинг индикаторов компрометации напрямую из электронной почты и PDF. При этом Kaspersky CyberTrace поддерживает распространённые форматы для экспорта индикаторов компрометации. Это позволяет бесшовно интегрировать отфильтрованные фиды в сторонние инструменты контроля безопасности.

Расширена категоризация по угрозам. В Kaspersky Threat Intelligence расширено покрытие IP-адресов и добавлены категории, такие как DDoS, Вторжение (Intrusion), Брутфорс и сетевые сканеры. Обновленный сервис поиска угроз поддерживает фильтры, которые помогают задать определённые критерии источников данных, секции и периоды для автоматизированного поиска по расписанию.

Обновлён инструмент визуализации Research Graph. Теперь на нём также отображены информация о кибергруппах и отчёты, что позволяет находить дополнительные связи с индикаторами компрометации. Это помогает ускорить процессы поиска угроз и реагирования на них, поскольку подсвечиваются индикаторы компрометации, относящиеся к атакам, которые описаны в отчётах и профилях кибергрупп.

Защита репутации бренда. Расширен список уведомлений от сервиса Digital Footprint. В режиме реального времени ИБ-специалисты могут получать уведомления о целевом фишинге, появлении поддельных аккаунтов в социальных сетях или вредоносных приложениях, которые эксплуатируют название компании. Эта функция поможет не только отследить появление подобной активности злоумышленников, но и получить о ней релевантную, точную и детальную информацию.

Обновлённая песочница Kaspersky Cloud Research Sandbox теперь поддерживает Android OS и MITRE ATT@CK. Research Sandbox также обеспечивает анализ сетевой активности по всем протоколам, включая IP, UDP, TCP, DNS, HTTP (S), SSL, FTP, POP3, IRC. При этом теперь пользователь может указать любые значения командной строки для запуска файла с требуемыми параметрами.

Мы более 25 лет исследуем киберугрозы и боремся с ними. Благодаря накопленным петабайтам данных, продвинутым технологиям машинного обучения и команде экспертов мы предоставляем клиентам самую свежую аналитику угроз, опираясь на данные со всего мира, и помогаем противостоять в том числе ранее неизвестным видам атак, — сказал Анатолий Симоненко, руководитель направления развития технологических решений в «Лаборатории Касперского».

2022: Тепловая карта угроз и дополнительные категории для анализируемых IP-адресов

Компания «Лаборатория Касперского» 26 октября 2022 года сообщила о расширении бесплатных возможностей сервиса аналитики Kaspersky Threat Intelligence Portal, чтобы помочь крупным организациям повысить скорость и качество анализа угроз. В частности, на портале появилась глобальная тепловая карта угроз Threat Heatmap. Она позволяет визуализировать распределение различных типов кибератак и основных угроз для каждой географической области в режиме реального времени.

С помощью данной карты аналитики могут быстро оценить масштаб и распространение таких угроз, как программы-вымогатели, эксплойты, веб-угрозы, спам, сетевые атаки и других. Для каждого типа угрозы можно выбрать период времени и проверить топ-10 стран на наличие определённых вредоносных объектов. Также можно найти топ-10 конкретных образцов вредоносного ПО, наиболее активные угрозы и количество случаев обнаружения той или иной угрозы для каждой страны.

Ещё одно обновление сервисов портала коснулось вкладки «Поиск» (Lookup) ― в ней появились дополнительные категории для анализируемых IP-адресов, доменов и URL-адресов. Среди категорий для IP-адресов — «Спам» и «Скомпрометированный». IP-адреса, отмеченные статусом «Спам», используются для рассылки спама. IP-адреса, домены или URL-адреса в категории «Скомпрометированный» обычно легитимные, но заражены или скомпрометированы в момент поискового запроса. Это могут быть известные веб-страницы, например, с внедрённым вредоносным скриптом. Зная об этом, аналитики могут проверить, кто из сотрудников их организации посещал скомпрометированный сайт, и использовать эти данные для расследования инцидентов.

Кроме того, пользователи, которые автоматизируют свои процессы расследования с помощью RESTful API, теперь могут проверять в 10 раз больше объектов, а их квота увеличена с 200 до 2000 запросов в день. Увеличение квоты позволит аналитикам автоматизировать анализ сплошного потока веб-адресов, доменов, IP-адресов, хэшей. Интегрируя данные об угрозах со своими SIEM, SOAR, XDR или другими системами управления безопасностью, они смогут ускорить процессы расследования и реагирования.

Согласно недавнему исследованию, аналитика угроз (Threat Intelligence) ― основной элемент, который компании используют для управления уязвимостями (68%), обеспечения безопасности (66%) и реагирования на инциденты (62%). Аналитики кибербезопасности и группы SOC применяют Threat Intelligence для принятия своевременных и обоснованных решений в случае атаки. Kaspersky Threat Intelligence Portal, в свою очередь, предоставляет специалистам самые свежие данные об угрозах.

Компания обновила Threat Intelligence портал на основе полученных от пользователей отзывов. «Лаборатория Касперского» продолжает активно инвестировать в бесплатные инструменты, чтобы поддержать сообщество экспертов по кибербезопасности, предоставляя им доступ к самой актуальной информации об угрозах. Нововведения призваны помочь им ускорить расследования инцидентов и реагирование на них, прокомментировал Артём Карасёв, руководитель направления продуктового маркетинга «Лаборатории Касперского».

2020: Возможность получать расширенную информацию о файлах и URL с помощью песочницы Kaspersky Cloud Sandbox

«Лаборатория Касперского» 17 ноября 2020 года сообщила о расширении списка возможностей, доступных для зарегистрированных пользователей бесплатной версии портала Kaspersky Threat Intelligence Portal.

Теперь они могут подключать свои приложения к данному сервису через API и получать расширенную информацию о файлах и URL с помощью песочницы Kaspersky Cloud Sandbox. Кроме того, стал доступен специальный режим подписки, который позволяет проводить конфиденциальную проверку файлов, чтобы сохранить результаты в тайне от других членов сообщества.

С API зарегистрированные пользователи могут подключать свои системы безопасности к сервису и получать информацию о файлах, хешах, IP-адресах и ссылках без необходимости использовать веб-интерфейс, что позволяет автоматизировать запросы на проверку подозрительных объектов. Использование песочницы Kaspersky Cloud Sandbox даёт возможность получить не только вердикт и базовую информацию о подозрительных файлах, но также углублённый отчёт об активностях файла и событиях, происходящих с конкретной страницей, таких как загрузки, выполнение JavaScript, Adobe Flash и т.д.

Благодаря режиму частного доступа, позволяющему скрывать результаты проведённого анализа от других участников сообщества, доступом к сервису смогут воспользоваться организации со строгими политиками конфиденциальности.

Также теперь доступен статический анализ, чтобы получать более подробную информацию о загруженных файлах, анализировать данные о структуре исполняемых файлов и извлечённых строках. Результаты такого исследования позволяют специалистам по кибербезопасности распознавать функциональность объекта и раскрывать его вредоносный потенциал, даже если зловред ранее не был известен, а также они могут быть использованы для создания индикаторов компрометации, эвристики и правил обнаружения.

Время, затрачиваемое на реагирование на инцидент, — это один из главных KPI сотрудников отделов кибербезопасности. Скорость реагирования становится ещё важнее, поскольку растёт число угроз. Чтобы помочь сообществу специалистов по кибербезопасности, мы расширили бесплатные возможности интеграции в глобальную систему информирования об угрозах и автоматизации рутинных задач. Мы также предоставили доступ к более детальной информации, которая может помочь при разрешении инцидента, — комментирует Артём Карасёв, старший менеджер по маркетингу сервисов кибербезопасности «Лаборатории Касперского».

Пользователи бесплатной версии портала Kaspersky Threat Intelligence Portal могут при необходимости повысить уровень и приобрести коммерческую лицензию на премиальную функциональность. Она помогает проводить расследования сложных киберинцидентов, обнаруживать авторов специфических сложных атак, кампаний кибершпионажа, выяснять их мотивы, тактики, техники и процедуры.

Ссылки

Ссылка на портал