Обновленные сервисы Kaspersky Threat Intelligence
Компания «Лаборатория Касперского» представила обновление сервисов Kaspersky Threat Intelligence с усовершенствованными потоками данных об угрозах. Благодаря этому специалисты по ИБ смогут эффективнее выявлять и анализировать поведение злоумышленников, их тактики, методы и характер кибератак независимо от их региона, языка или целей.
По статистике Kaspersky Global Emergency Response Team, в среднем злоумышленники способны незаметно оставаться в ИТ-инфраструктуре компании 94,5 дня, прежде чем их обнаружат. Чтобы организации могли принимать превентивные меры, не дожидаясь нанесения ущерба, в сервисах Kaspersky Threat Intelligence улучшены возможности поиска угроз (Threat Hunting) и расследования инцидентов. ИБ-команды получают актуальный контекст на протяжении всего процесса расследования, что позволяет его ускорить и помочь принять тактически верные решения. При этом информация предоставляется и в виде, удобочитаемом для человека, и в формате, считываемом машиной.
В Kaspersky Threat Intelligence появились новые фиды по Crimeware, облачным сервисам и угрозам для ПО с открытым исходным кодом. Они помогут детектировать или предотвращать утечки данных, а также снижать риски атак на цепочки поставок и вероятность использования уязвимых, скомпрометированных и опасных компонентов ПО. Доступен также поток данных Kaspersky Industrial OVAL Data Feed for Windows: он предоставляет комплексные сведения об уязвимостях в популярных системах SCADA и распределенных системах управления (РСУ).
Существующие фиды обогащены дополнительной информацией о новых категориях угроз, тактиках и техниках атак в классификации MITRE ATT&CK, что позволит командам ИБ обнаруживать атакующих, расследовать инциденты и реагировать на угрозы более быстро и эффективно.
Улучшена интеграция с SIEM-решениями через Kaspersky CyberTrace: добавлен автоматизированный парсинг индикаторов компрометации напрямую из электронной почты и PDF. При этом Kaspersky CyberTrace поддерживает распространенные форматы для экспорта индикаторов компрометации. Это позволяет бесшовно интегрировать отфильтрованные фиды в сторонние инструменты контроля безопасности.
Расширена категоризация по угрозам: в Kaspersky Threat Intelligence расширено покрытие IP-адресов и добавлены новые категории, такие как DDoS, Вторжение (Intrusion), Брутфорс и сетевые сканеры. Обновленный сервис поиска угроз поддерживает фильтры, которые помогают задать определенные критерии источников данных, секции и периоды для автоматизированного поиска по расписанию.
Обновлен инструмент визуализации Research Graph. Теперь на нем также отображается информация о кибергруппах и отчеты, что позволяет находить дополнительные связи с индикаторами компрометации. Это помогает ускорить процессы поиска угроз и реагирования на них, поскольку подсвечиваются индикаторы компрометации, относящиеся к атакам, которые описаны в отчетах и профилях кибергрупп.
Для защиты репутации бренда расширен список уведомлений от сервиса Digital Footprint. В режиме реального времени ИБ-специалисты могут получать уведомления о целевом фишинге, появлении поддельных аккаунтов в социальных сетях или вредоносных приложениях, которые эксплуатируют название компании. Эта функция поможет не только отследить появление подобной активности злоумышленников, но и получить о ней релевантную, точную и детальную информацию.
Обновленная песочница Kaspersky Cloud Research Sandbox теперь поддерживает Android OS и MITRE ATT@CK. Research Sandbox также обеспечивает анализ сетевой активности по всем протоколам, включая IP, UDP, TCP, DNS, HTTP (S), SSL, FTP, POP3, IRC. При этом теперь пользователь может указать любые значения командной строки для запуска файла с требуемыми параметрами.