Threat Intelligence Portal: musimy zaglądać głębiej

Przygotowaliśmy bezpłatną wersję naszego portalu analizy zagrożeń oferującego szczegółową analizę potencjalnych zagrożeń.

Mam świadomość, że dla 95% z Was post ten nie będzie przydatny wcale, jednak pozostałym 5% może znacząco uprościć pracę. Innymi słowy, mam wspaniałą wiadomość dla osób zajmujących się zawodowo cyberbezpieczeństwem: zespołów SOC, niezależnych badaczy i ciekawskich naukowców. To narzędzia, których na co dzień używają nasi pracownicy techniczni nazywani dzięciołami i członkowie zespołu GReAT do prowadzenia najlepszych na świecie badań cyberprzestrzeni — teraz są one dostępne dla wszystkich w postaci darmowej wersji naszego portalu Threat Intelligence Portal. To tyle w skrócie, a skoro już powiedziałem o nim kilka słów, lecimy dalej!

Threat Intelligence Portal rozwiązuje dwa główne problemy ekspertów cyberbezpieczeństwa, którzy cierpią na natłok obowiązków: nie muszą już oni zastanawiać się, który z kilkuset podejrzanych plików wybrać jako pierwszy, a także co dalej, gdy antywirus uznał, że plik jest czysty.

Darmowa wersja portalu Kaspersky Threat Intelligence

W odróżnieniu od klasycznych produktów do ochrony punktów końcowych, które zwracają zwięzły werdykt typu: nieszkodliwy/niebezpieczny, narzędzia analityczne dostępne w portalu Threat Intelligence Portal podają szczegółowe informacje na temat tego, dlaczego dany plik jest podejrzany. Jednak analizują one nie tylko pliki, ale także hashe, adresy IP i adresy URL. Wszystkie elementy są szybko analizowane przez naszą chmurę, a z wyników można dowiedzieć się, czy (a jeśli tak, to dlaczego) plik jest szkodliwy, jak często występuje w infekcjach, jakie znane zagrożenia przypomina czy jakie narzędzia zostały użyte do jego utworzenia. Ponadto pliki wykonywalne są uruchamiane w naszej opatentowanej piaskownicy w chmurze, a wyniki są udostępniane w ciągu kilku minut.

Tu wspomniane 5% osób może powiedzieć: „Przecież taką funkcjonalność ma portal VirusTotal!”.

I tak – i nie.

Z jednej strony, cel jest taki sam – dać specjalistom dodatkowe narzędzia do analizowania konkretnego incydentu i podejmowania świadomej decyzji. Z drugiej strony, podejście do tematu jest zupełnie inne.

VirusTotal to prosty multiskaner – agreguje różne silniki antywirusowe i umożliwia użytkownikom przesyłanie do nich różnych plików. Z tego powodu wszyscy producenci, w tym my, czasami słyszą oskarżenie, że nie wykrywają jakiegoś pliku; jednak w rzeczywistości sytuacja wygląda tak, że nie wykrywamy tego pliku tradycyjnym skanerem plików. Później okazuje się, że wykrywamy go za pomocą innych narzędzi. Ale na VirusTotal tego nie zobaczycie. Oczywiście w serwisie VirusTotal pojawiły się dodatkowe narzędzia, lecz jego głównym zadaniem nadal jest oferowanie szerokiego wachlarza silników wykorzystujących bardzo konserwatywną technologię, która powstała ponad 30 lat temu.

Jako eksperci od głębokiej analizy złożonych zagrożeń staramy się udostępnić tę głębię całej społeczności specjalistów. Jedyny silnik, który analizuje artefakty w portalu Threat Intelligence Portal, należy do firmy, która nosi moje imię. I czasami jest on najlepszy na świecie. Łączy w sobie dziesiątki zaawansowanych technologii analitycznych (patrz tutaj, tutaj, tutaj i tak dalej) i udostępnia szczegółowe wyniki. Oczywiście w porównaniu z tym fragmentem naszego silnika, który znajduje się w serwisie VirusTotal, TIP daje zupełnie inny poziom detekcji.

Tu podkreślę, że nadal warto skanować pliki z użyciem serwisu VirusTotal — w końcu im więcej opinii, tym lepiej. Należy jednak wiedzieć, jak poprawnie je ważyć. Nawiasem mówiąc, jeśli kiedykolwiek zdecydujemy się rozszerzyć Threat Intelligence Portal o informacje od innych producentów, zrobimy to z należytą starannością.

Kolejną różnicą między Threat Intelligence Portal a VirusTotal jest… jak to opisać… – ograniczona dystrybucja informacji. Pliki przesłane do serwisu VirusTotal są dostępne dla szerokiego grona abonentów, tymczasem w przypadku Threat Intelligence Portal subskrybenci nie mają dostępu do plików innych osób.

A skoro o subskrypcji mowa…

Dostępna jest płatna wersja portalu Threat Intelligence Portal, która jest znacznie bogatsza – po części ze względu na dostęp do szczegółowych raportów na temat wykrytych cyberzagrożeń, tworzonych przez naszych najlepszych analityków. Jeśli okaże się, że przesłany plik przypomina np. znane złośliwe oprogramowanie finansowe, najnowsze i najbardziej szczegółowe informacje (np. o tym, w jaki sposób jego autorzy atakują ofiary, jakich narzędzi używają itp.) są dostępne w pełnej wersji serwisu.

Porady