Разработчики: | Лаборатория Касперского (Kaspersky) |
Дата последнего релиза: | 2023/03/09 |
Отрасли: | Интернет-сервисы, Информационная безопасность |
Технологии: | ИБ - Антивирусы, ИБ - Межсетевые экраны, ИБ - Система обнаружения мошенничества (фрод), ИБ - Управление информацией и событиями в системе безопасности (SIEM), Threat intelligence (TI) - Киберразведка |
Содержание |
Основные статьи:
- Антивирусы
- Межсетевой экран (Firewall)
- Fraud Detection System (фрод, система обнаружения мошенничества)
- Security Information and Event Management (SIEM)
- Как действует хакер при целевой атаке и как ему помешать? Обзор возможностей сервисов Threat intelligence
Kaspersky Threat Intelligence Portal - сервис для онлайн-проверки подозрительных объектов.
2023: Оптимизация потоков данных об угрозах
«Лаборатория Касперского» 9 марта 2023 года сообщила о том, что обновила сервисы Kaspersky Threat Intelligence.
В обновлённых сервисах Kaspersky Threat Intelligence усовершенствованы потоки данных об угрозах. Благодаря этому специалисты по информационной безопасности смогут эффективнее выявлять и анализировать поведение злоумышленников, их тактики, методы и характер кибератак независимо от их региона, языка или целей.Как с помощью EvaProject и EvaWiki построить прозрачную бесшовную среду для успешной работы крупного холдинга
По статистике Kaspersky Global Emergency Response Team, в среднем злоумышленники способны незаметно оставаться в ИТ-инфраструктуре компании 94,5 дня, прежде чем их обнаружат. Чтобы организации всегда могли быть на шаг впереди атакующих и принимать превентивные меры, не дожидаясь нанесения ущерба, в сервисах Kaspersky Threat Intelligence улучшены возможности для поиска угроз (Threat Hunting) и расследования инцидентов. ИБ-команды получают актуальный контекст на протяжении всего процесса расследования, что позволяет его ускорить и помочь принять тактически верные решения. При этом информация предоставляется и в виде, удобочитаемом для человека, и в формате, считываемом машиной.
Новые фиды. В Kaspersky Threat Intelligence появились дополнительные фиды по Crimeware, облачным сервисам и угрозам для ПО с открытым исходным кодом. Они помогут компаниям детектировать или предотвращать утечки данных, а также снижать риски атак на цепочки поставок и вероятность использования уязвимых, скомпрометированных и опасных компонентов ПО. Также доступен поток данных Kaspersky Industrial OVAL Data Feed for Windows: он предоставляет комплексные сведения об уязвимостях в популярных системах SCADA и распределённых системах управления (РСУ).
Возможности в существующих фидах. Существующие фиды обогащены дополнительной ценной информацией о новых категориях угроз, тактиках и техниках атак в классификации MITRE ATT&CK, что позволит командам ИБ обнаруживать атакующих, расследовать инциденты и реагировать на угрозы более быстро и эффективно.
Улучшена интеграция с SIEM-решениями через Kaspersky CyberTrace: добавлен автоматизированный парсинг индикаторов компрометации напрямую из электронной почты и PDF. При этом Kaspersky CyberTrace поддерживает распространённые форматы для экспорта индикаторов компрометации. Это позволяет бесшовно интегрировать отфильтрованные фиды в сторонние инструменты контроля безопасности.
Расширена категоризация по угрозам. В Kaspersky Threat Intelligence расширено покрытие IP-адресов и добавлены категории, такие как DDoS, Вторжение (Intrusion), Брутфорс и сетевые сканеры. Обновленный сервис поиска угроз поддерживает фильтры, которые помогают задать определённые критерии источников данных, секции и периоды для автоматизированного поиска по расписанию.
Обновлён инструмент визуализации Research Graph. Теперь на нём также отображены информация о кибергруппах и отчёты, что позволяет находить дополнительные связи с индикаторами компрометации. Это помогает ускорить процессы поиска угроз и реагирования на них, поскольку подсвечиваются индикаторы компрометации, относящиеся к атакам, которые описаны в отчётах и профилях кибергрупп.
Защита репутации бренда. Расширен список уведомлений от сервиса Digital Footprint. В режиме реального времени ИБ-специалисты могут получать уведомления о целевом фишинге, появлении поддельных аккаунтов в социальных сетях или вредоносных приложениях, которые эксплуатируют название компании. Эта функция поможет не только отследить появление подобной активности злоумышленников, но и получить о ней релевантную, точную и детальную информацию.
Обновлённая песочница Kaspersky Cloud Research Sandbox теперь поддерживает Android OS и MITRE ATT@CK. Research Sandbox также обеспечивает анализ сетевой активности по всем протоколам, включая IP, UDP, TCP, DNS, HTTP (S), SSL, FTP, POP3, IRC. При этом теперь пользователь может указать любые значения командной строки для запуска файла с требуемыми параметрами.
Мы более 25 лет исследуем киберугрозы и боремся с ними. Благодаря накопленным петабайтам данных, продвинутым технологиям машинного обучения и команде экспертов мы предоставляем клиентам самую свежую аналитику угроз, опираясь на данные со всего мира, и помогаем противостоять в том числе ранее неизвестным видам атак, — сказал Анатолий Симоненко, руководитель направления развития технологических решений в «Лаборатории Касперского». |
2022: Тепловая карта угроз и дополнительные категории для анализируемых IP-адресов
Компания «Лаборатория Касперского» 26 октября 2022 года сообщила о расширении бесплатных возможностей сервиса аналитики Kaspersky Threat Intelligence Portal, чтобы помочь крупным организациям повысить скорость и качество анализа угроз. В частности, на портале появилась глобальная тепловая карта угроз Threat Heatmap. Она позволяет визуализировать распределение различных типов кибератак и основных угроз для каждой географической области в режиме реального времени.
С помощью данной карты аналитики могут быстро оценить масштаб и распространение таких угроз, как программы-вымогатели, эксплойты, веб-угрозы, спам, сетевые атаки и других. Для каждого типа угрозы можно выбрать период времени и проверить топ-10 стран на наличие определённых вредоносных объектов. Также можно найти топ-10 конкретных образцов вредоносного ПО, наиболее активные угрозы и количество случаев обнаружения той или иной угрозы для каждой страны.
Ещё одно обновление сервисов портала коснулось вкладки «Поиск» (Lookup) ― в ней появились дополнительные категории для анализируемых IP-адресов, доменов и URL-адресов. Среди категорий для IP-адресов — «Спам» и «Скомпрометированный». IP-адреса, отмеченные статусом «Спам», используются для рассылки спама. IP-адреса, домены или URL-адреса в категории «Скомпрометированный» обычно легитимные, но заражены или скомпрометированы в момент поискового запроса. Это могут быть известные веб-страницы, например, с внедрённым вредоносным скриптом. Зная об этом, аналитики могут проверить, кто из сотрудников их организации посещал скомпрометированный сайт, и использовать эти данные для расследования инцидентов.
Кроме того, пользователи, которые автоматизируют свои процессы расследования с помощью RESTful API, теперь могут проверять в 10 раз больше объектов, а их квота увеличена с 200 до 2000 запросов в день. Увеличение квоты позволит аналитикам автоматизировать анализ сплошного потока веб-адресов, доменов, IP-адресов, хэшей. Интегрируя данные об угрозах со своими SIEM, SOAR, XDR или другими системами управления безопасностью, они смогут ускорить процессы расследования и реагирования.
Согласно недавнему исследованию, аналитика угроз (Threat Intelligence) ― основной элемент, который компании используют для управления уязвимостями (68%), обеспечения безопасности (66%) и реагирования на инциденты (62%). Аналитики кибербезопасности и группы SOC применяют Threat Intelligence для принятия своевременных и обоснованных решений в случае атаки. Kaspersky Threat Intelligence Portal, в свою очередь, предоставляет специалистам самые свежие данные об угрозах.
Компания обновила Threat Intelligence портал на основе полученных от пользователей отзывов. «Лаборатория Касперского» продолжает активно инвестировать в бесплатные инструменты, чтобы поддержать сообщество экспертов по кибербезопасности, предоставляя им доступ к самой актуальной информации об угрозах. Нововведения призваны помочь им ускорить расследования инцидентов и реагирование на них, прокомментировал Артём Карасёв, руководитель направления продуктового маркетинга «Лаборатории Касперского».
|
2020: Возможность получать расширенную информацию о файлах и URL с помощью песочницы Kaspersky Cloud Sandbox
«Лаборатория Касперского» 17 ноября 2020 года сообщила о расширении списка возможностей, доступных для зарегистрированных пользователей бесплатной версии портала Kaspersky Threat Intelligence Portal.
Теперь они могут подключать свои приложения к данному сервису через API и получать расширенную информацию о файлах и URL с помощью песочницы Kaspersky Cloud Sandbox. Кроме того, стал доступен специальный режим подписки, который позволяет проводить конфиденциальную проверку файлов, чтобы сохранить результаты в тайне от других членов сообщества.
С API зарегистрированные пользователи могут подключать свои системы безопасности к сервису и получать информацию о файлах, хешах, IP-адресах и ссылках без необходимости использовать веб-интерфейс, что позволяет автоматизировать запросы на проверку подозрительных объектов. Использование песочницы Kaspersky Cloud Sandbox даёт возможность получить не только вердикт и базовую информацию о подозрительных файлах, но также углублённый отчёт об активностях файла и событиях, происходящих с конкретной страницей, таких как загрузки, выполнение JavaScript, Adobe Flash и т.д.
Благодаря режиму частного доступа, позволяющему скрывать результаты проведённого анализа от других участников сообщества, доступом к сервису смогут воспользоваться организации со строгими политиками конфиденциальности.
Также теперь доступен статический анализ, чтобы получать более подробную информацию о загруженных файлах, анализировать данные о структуре исполняемых файлов и извлечённых строках. Результаты такого исследования позволяют специалистам по кибербезопасности распознавать функциональность объекта и раскрывать его вредоносный потенциал, даже если зловред ранее не был известен, а также они могут быть использованы для создания индикаторов компрометации, эвристики и правил обнаружения.
Время, затрачиваемое на реагирование на инцидент, — это один из главных KPI сотрудников отделов кибербезопасности. Скорость реагирования становится ещё важнее, поскольку растёт число угроз. Чтобы помочь сообществу специалистов по кибербезопасности, мы расширили бесплатные возможности интеграции в глобальную систему информирования об угрозах и автоматизации рутинных задач. Мы также предоставили доступ к более детальной информации, которая может помочь при разрешении инцидента, — комментирует Артём Карасёв, старший менеджер по маркетингу сервисов кибербезопасности «Лаборатории Касперского». |
Пользователи бесплатной версии портала Kaspersky Threat Intelligence Portal могут при необходимости повысить уровень и приобрести коммерческую лицензию на премиальную функциональность. Она помогает проводить расследования сложных киберинцидентов, обнаруживать авторов специфических сложных атак, кампаний кибершпионажа, выяснять их мотивы, тактики, техники и процедуры.
Ссылки
Подрядчики-лидеры по количеству проектов
Softline (Софтлайн) (144)
ESET (ИСЕТ Софтвеа) (65)
Инфосистемы Джет (64)
ДиалогНаука (56)
Информзащита (40)
Другие (1191)
Смарт-Софт (Smart-Soft) (5)
Card Security (Кард Сек) (4)
R-Vision (Р-Вижн) (4)
Softline (Софтлайн) (4)
Национальный аттестационный центр (НАЦ) (4)
Другие (72)
Солар (ранее Ростелеком-Солар) (8)
А-Реал Консалтинг (6)
Softline (Софтлайн) (3)
BI.Zone (Безопасная Информационная Зона, Бизон) (2)
Аксофт (Axoft) (2)
Другие (55)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Лаборатория Касперского (Kaspersky) (22, 169)
ESET (ИСЕТ Софтвеа) (11, 79)
Positive Technologies (Позитив Текнолоджиз) (13, 68)
Смарт-Софт (Smart-Soft) (5, 47)
Доктор Веб (Dr.Web) (7, 45)
Другие (714, 494)
Смарт-Софт (Smart-Soft) (1, 5)
R-Vision (Р-Вижн) (1, 4)
Ngenix (Современные сетевые технологии, ССТ) (2, 3)
Positive Technologies (Позитив Текнолоджиз) (2, 3)
Trend Micro (2, 3)
Другие (13, 12)
Солар (ранее Ростелеком-Солар) (3, 7)
А-Реал Консалтинг (3, 6)
Positive Technologies (Позитив Текнолоджиз) (3, 4)
Лаборатория Касперского (Kaspersky) (2, 4)
Curator (Эйч-Эль-Эль) ранее Qrator Labs (1, 1)
Другие (12, 12)
UserGate, Юзергейт (ранее Entensys) (3, 8)
Лаборатория Касперского (Kaspersky) (1, 3)
Киберпротект (ранее Акронис-Инфозащита, Acronis-Infoprotect) (1, 3)
А-Реал Консалтинг (1, 2)
Positive Technologies (Позитив Текнолоджиз) (1, 1)
Другие (6, 6)
UserGate, Юзергейт (ранее Entensys) (6, 9)
Positive Technologies (Позитив Текнолоджиз) (4, 5)
ИВК (1, 4)
X-Labs (Икс Лабз) (1, 1)
Код Безопасности (1, 1)
Другие (4, 4)
Распределение систем по количеству проектов, не включая партнерские решения
Kaspersky Endpoint Security - 81
ESET NOD32 Business Edition - 51
Dr.Web Enterprise Security Suite - 35
Kaspersky Enterprise Space Security - 34
MaxPatrol SIEM - 33
Другие 666
Смарт-софт: Traffic Inspector Next Generation - 5
R-Vision SGRC Центр контроля информационной безопасности (ЦКИБ) - 4
Ngenix Облачная платформа - 2
StormWall: Многоуровневая распределенная система фильтрации - 2
Trend Micro: Deep Discovery - 2
Другие 16
Solar MSS - 3
Kaspersky Endpoint Security - 3
Solar JSOC - 3
А-Реал Консалтинг: Интернет-шлюз ИКС - 3
А-Реал Консалтинг: Межсетевой экран ИКС - 2
Другие 20
Подрядчики-лидеры по количеству проектов
Softline (Софтлайн) (203)
ESET (ИСЕТ Софтвеа) (118)
Лаборатория Касперского (Kaspersky) (77)
Инфосистемы Джет (55)
ДиалогНаука (51)
Другие (893)
Национальный аттестационный центр (НАЦ) (4)
R-Vision (Р-Вижн) (4)
Card Security (Кард Сек) (4)
Инфосистемы Джет (3)
Softline (Софтлайн) (3)
Другие (53)
А-Реал Консалтинг (3)
Лаборатория Касперского (Kaspersky) (2)
TUV Austria (2)
Wone IT (ранее SoftwareONE Россия, СофтвэрУАН и Awara IT Russia, Авара Ай Ти Солюшенс) (2)
Национальный аттестационный центр (НАЦ) (2)
Другие (40)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Лаборатория Касперского (Kaspersky) (42, 366)
ESET (ИСЕТ Софтвеа) (21, 141)
Доктор Веб (Dr.Web) (17, 61)
UserGate, Юзергейт (ранее Entensys) (3, 19)
Fortinet (11, 15)
Другие (365, 140)
R-Vision (Р-Вижн) (1, 4)
Trend Micro (2, 3)
Лаборатория Касперского (Kaspersky) (2, 3)
Fortinet (2, 1)
Ростелеком (1, 1)
Другие (3, 3)
Лаборатория Касперского (Kaspersky) (4, 5)
А-Реал Консалтинг (1, 3)
BI.Zone (Безопасная Информационная Зона, Бизон) (1, 1)
UserGate, Юзергейт (ранее Entensys) (1, 1)
R-Vision (Р-Вижн) (1, 1)
Другие (1, 1)
Лаборатория Касперского (Kaspersky) (2, 4)
UserGate, Юзергейт (ранее Entensys) (1, 4)
CloudLinux (1, 1)
F.A.C.C.T. (ранее Group-IB в России) (1, 1)
Другие (0, 0)
UserGate, Юзергейт (ранее Entensys) (1, 3)
BI.Zone (Безопасная Информационная Зона, Бизон) (1, 1)
Лаборатория Касперского (Kaspersky) (1, 1)
Другие (0, 0)
Распределение систем по количеству проектов, не включая партнерские решения
Kaspersky Business Space Security - 87
Kaspersky Security - 81
Kaspersky Endpoint Security - 81
ESET NOD32 Business Edition - 51
Dr.Web Enterprise Security Suite - 35
Другие 432
R-Vision SGRC Центр контроля информационной безопасности (ЦКИБ) - 4
Kaspersky Industrial CyberSecurity (KICS) - 2
Trend Micro: Deep Discovery - 2
Group-IB Threat Hunting Framework (ранее Threat Detection Service, TDS) - 1
FortiGate - 1
Другие 5
Kaspersky Endpoint Security - 3
А-Реал Консалтинг: Интернет-шлюз ИКС - 3
Kaspersky Industrial CyberSecurity (KICS) - 1
Kaspersky ASAP Automated Security Awareness Platform - 1
R-Vision SGRC Центр контроля информационной безопасности (ЦКИБ) - 1
Другие 3