Обновленный сервис «Гарда» для обогащения данных об угрозах
Группа компаний «Гарда» обновила сервис обогащения данных о киберугрозах. «Гарда Threat Intelligence 2.1» позволяет определить принадлежность IP-адреса к определенному городу, региону или стране, обнаружить угрозы и быстро принять решение о блокировке потенциального вредоносного ПО.
Новая версия сервиса «Гарда TI» дополнена актуальной базой GeoIP, которая ежемесячно обновляется производителем. Технология применяется в тех случаях, когда необходимо формировать правила на основе географической принадлежности IP-адресов: при настройке шлюзов безопасности и межсетевых экранов, для защиты веб-сервисов. Интерфейс новой версии позволяет выгружать IP-адреса в форматах .csv и .mmdb.
Заказчики могут принимать участие в развитии сервиса, сообщая производителю об актуальных для них угрозах. Информация об обнаруженной клиентом угрозе поступает в аналитический центр группы компаний и после верификации попадает в общую базу фидов. «Гарда TI 2.1» обеспечивает заказчиков готовыми сигнатурами за счет доступности правил YARA и Suricata. Эти правила регулярно обновляются и учитывают актуальность фидов.
В новой версии реализована технология поиска индикаторов вредоносных фреймворков на основе их активности и используемых ими артефактов, в том числе JARM-отпечатков. Это позволяет поддерживать релевантность базы индикаторов вредоносных фреймворков, например, Cobalt Strike. Существенно, что фиды «Гарда TI» учитывают особенности атак на российские ресурсы. Как подчеркивают в компании, используются и другие источники, включающие более широкий контекст, но акцент при формировании базы фидов сделан именно на отечественной специфике.
В версию сервиса «Гарда Threat Intelligence 2.1» также добавлен новый тип индикатора – значения хэш-функций md5 и sha256. Готовые сигнатуры дают возможность обнаруживать неочевидную вредоносную активность.