Kaspersky Threat Intelligence

Kaspersky Threat Intelligence — это онлайн-платформа, разработанная компанией «Лаборатория Касперского» и предназначенная для предоставления актуальной стратегически важной технической информации о киберугрозах. Полученные данные представляют собой результат работы исследователей и аналитиков компании «Лаборатория Касперского» и помогают выстроить эффективную киберзащиту.

Обзор решения

Обзор решения Kaspersky Threat Intelligence

Kaspersky Threat Intelligence включает в себя:

  • отчёты о киберугрозах, направленных на автоматизированные системы управления технологическими процессами (далее — АСУ ТП);
  • управление данными о кибератаках через платформу;
  • песочницу в облачной среде;
  • аналитические сводки о целевых продолжительных атаках (далее — APT);
  • отчёты о киберпреступлениях;
  • потоки данных об атаках;
  • поиск взаимосвязей и угроз;
  • удаление фишинговых и вредоносных доменов.

Kaspersky Threat Data Feeds

Kaspersky Threat Data Feeds

Сервис Kaspersky Threat Data Feeds предоставляет подробные и актуальные потоки данных о новейших угрозах. Он интегрируется с современными системами информационной безопасности (далее — ИБ) и Threat Intelligence, что даёт возможность службам ИБ выявлять угрозы, автоматизировать их приоритизацию по заданным параметрам, реагировать на инциденты и проводить расследования.

Сбор данных осуществляется из таких источников, как:

  • спам-ловушки;
  • сервис отслеживания ботнетов, их действий и мотивов;
  • Kaspersky Security Network;
  • поисковые роботы «Лаборатории Касперского»;
  • данные от партнёров и групп исследователей.

Собранные данные проходят проверку и фильтрацию в режиме реального времени. Для этого применяются технологии песочницы, аналитики, статических критериев, определения сходств, эвристического анализа, поведенческого профилирования.

Достоинства:

  • быстрота и точность обнаружения угроз, благодаря непрерывной генерации потоков данных;
  • простота интеграции с ИБ-решениями;
  • простота внедрения;
  • техническая поддержка;
  • фильтрация данных и тщательное тестирование, которые дают возможность получения максимально подтверждённой информации;
  • повышение эффективности систем безопасности;
  • защита от утечки корпоративных данных с заражённых устройств.

Kaspersky CyberTrace

Kaspersky CyberTrace

Kaspersky CyberTrace — это сервис по управлению данными о киберугрозах. Он упрощает интеграцию SIEM-систем и потоков аналитических данных. Автоматически сопоставляет собранную информацию с журналами и ситуативно в режиме реального времени информирует аналитиков безопасности, помогая им эффективно реагировать на инциденты.

Решение классифицирует события ИБ и выполняет первоначальное реагирование, используя набор функций и возможностей, которые включают в себя:

  • базу данных, содержащую индикаторы для осуществления сложного поиска;
  • страницы с данными о каждом индикаторе для обеспечения глубокого анализа;
  • экспорт наборов индикаторов для передачи данных об инцидентах между платформами анализа угроз;
  • фильтр событий обнаружения с последующей отправкой в системы SIEM для уменьшения нагрузки на работу служб безопасности;
  • визуализацию данных из CyberTrace при помощи Research Graph для обнаружения и изучения общих характеристик угроз;
  • ретроспективный анализ ранее проверенных объектов для обнаружения незамеченных угроз;
  • тегирование индикаторов компрометации для простоты управления, фильтрации и сортировки;
  • REST API для управления данными аналитики, выполнения поиска и интеграции решения в сложные автоматизированные среды;
  • работу со статистикой использования потоков данных;
  • поддержку мультиарендности для поставщиков управляемых услуг.

Использование потоков данных и Kaspersky CyberTrace даёт возможность аналитикам ИБ:

  • эффективно и оперативно классифицировать и сдерживать кибератаки;
  • применять глобальные аналитические данные для построения проактивной системы ИБ;
  • фильтровать и приоритизировать оповещения по степени их критичности для дальнейшей передачи группе реагирования.

Kaspersky Threat Lookup

Kaspersky Threat Lookup

Kaspersky Threat Lookup — это платформа онлайн-поиска киберугроз и их взаимосвязей. Она предоставляет информацию по:

  • IP-адресам,
  • геолокации,
  • временным меткам,
  • файловым атрибутам,
  • данным WHOIS и DNS,
  • доменам,
  • поведенческим данным;
  • статистике,
  • названиям угроз,
  • цепочкам загрузки,
  • хешам файлов.

Достоинства продукта:

  • предоставление надёжных данных о киберугрозах, благодаря которым удаётся достичь минимального уровня ложных срабатываний;
  • раннее обнаружение угроз, благодаря чему удаётся минимизировать корпоративный ущерб и частоту инцидентов;
  • REST API или веб-интерфейс позволяют упростить использование сервиса;
  • применение единого интерфейса для осуществления поиска данных об угрозах;
  • быстрое расследование инцидентов, благодаря Research Graph, который даёт возможность графического представления масштаба угрозы и её причин;
  • поддержка многообразия форматов экспорта контекстных данных и индикаторов;
  • приоритизация атак на основе глубокого анализа индикаторов;
  • определение уникальности и распространённости обнаруженных объектов;
  • выявление причин опасности объекта;
  • предоставление подробной информации об объекте.

Kaspersky Cloud Sandbox

Облачная песочница, предназначенная для выявления ранее неизвестных сложных угроз. Она оптимизирует реагирование на инциденты и проведение криминалистического расследования.

Это технология, которая:

  • изучает исходные файловые образцы,
  • применяет поведенческий анализ для обнаружения вредоносных объектов и индикаторов компрометации,
  • применяет технологии моделирования пользовательского поведения,
  • анализирует сетевую активность и память процессов,
  • принимает аналитическое решение.

Kaspersky Threat Attribution Engine

Аналитический сервис атрибуции целевых угроз для определения цели атаки, её источника, используемых инструментов и методов. Он помогает быстрее реагировать на инциденты, минимизировать ущерб от причинённого вреда и эффективно расследовать события ИБ. Сервис предоставляет аналитикам ИБ доступ к данным о киберугрозах, собранным более чем за 20 лет работы специалистов «Лаборатории Касперского».

Kaspersky Threat Attribution Engine сравнивает анализируемые объекты с образцами уже известных киберугроз, собранными в базе «Лаборатории Касперского». Так выявляются схожие черты, минимизируются ложноположительные срабатывания, определяется степень опасности события. На основе полученных данных удаётся вовремя закрыть злоумышленникам доступ к корпоративной системе.

Основные функциональные возможности и достоинства:

  • предоставление мгновенного доступа к базе данных об известных киберугрозах;
  • экспорт правил YARA;
  • добавление в базу знаний новых образцов и данных об исполнителях кибератак для того, чтобы система использовала их в будущем при распознавании новых событий ИБ;
  • интеграция со сторонними автоматизированными процессами;
  • поддержка различных форматов для дальнейшей интеграции со сторонними средствами безопасности и системами, а также для автоматизированного анализа журналов ИБ;
  • быстрая атрибуция и анализ файлов, благодаря которым можно вовремя распознать инструменты, методы и цели APT-атак.

Kaspersky APT Intelligence Reporting

Сервис предоставления аналитических отчётов об APT-угрозах, предназначенных для специалистов отделов ИБ (аналитиков данных и вредоносных программ, инженеров и исследователей безопасности). Получатели таких отчётов имеют постоянный доступ к полным актуальным данным обо всех обнаруженных APT с соответствующими индикаторами компрометации, а также YARA-правилами. К тому же у них есть доступ к базе данных отчётов об APT-угрозах.

Достоинства сервиса:

  • сопоставление всех данных о техниках и тактиках злоумышленников с базой данных MITRE ATT&CK;
  • доступ к технической информации, включая данные об индикаторах компрометации и правила YARA;
  • ретроспективный анализ с применением ранее выпущенных закрытых отчётов;
  • автоматизация процессов ИБ;
  • постоянный мониторинг APT-угроз, благодаря предоставлению доступа к оперативным данным об инфраструктурах контроля и управления, индикаторах компрометации и АРТ-атаках;
  • предоставление технических данных о новейших угрозах ИБ до публичной огласки ещё на стадии расследования;
  • составление профилей злоумышленников с такими данными, как страна происхождения, география влияния, род деятельности, применяемые техники и тактики, а также семейства программ.

Kaspersky Crimeware Intelligence Reporting

Сервис отчётов о киберпреступлениях (программы-вымогатели, АРТ-атаки с целью кражи денег). Он предоставляет данные о кибератаках на финансовый сектор и помогает защитить от них организации.

Состав сервиса:

  • подробные характеристики наиболее распространённого и известного вредоносного программного обеспечения (далее — ПО);
  • подробное описание потенциальных угроз и разработок злоумышленников, направленных на взлом финансовых ИТ-инфраструктур;
  • данные о масштабных кампаниях, развёрнутых киберпреступниками;
  • раннее оповещение о новейшем опасном ПО;
  • информация о наблюдениях экспертов.

Достоинства сервиса:

  • Предоставление данных о профилях злоумышленников, которые используют преступные разработки. Они содержат информацию о стране происхождения, применяемых вредоносных программах, видах деятельности, регионах и отраслях для атак, тактиках и методах киберпреступников.
  • Автоматизация процессов ИБ и интеграция с использованием API на основе REST.
  • Предоставление технической информации, в том числе списков индикаторов компрометации и YARA-правил.
  • Ретроспективный анализ.
  • Привилегированный доступ к техническим данным об угрозах, расследование которых ещё не закончилось, и информация о них ещё не была опубликована в официальных документах.

Kaspersky ICS Threat Intelligence Reporting

Сервис предоставления подробных аналитических отчётов о киберугрозах для АСУ ТП.

Отчёты доступны на интернет портале. Они содержат аналитическую информацию об уязвимостях в технологиях, на промышленных предприятиях и АСУ ТП, а также о вредоносных кампаниях, направленных на них.

Состав отчётов сервиса:

  • обновлённая информация об АРТ-атаках;
  • данные о новых факторах, влияющих на уязвимости и уровень защиты;
  • информация о значимых изменениях в ландшафте угроз;
  • данные об обнаруженных уязвимостях в АСУ ТП и промышленном IoT (интернет вещей);
  • рекомендации специалистов «Лаборатории Касперского», которые помогают обнаруживать уязвимости и минимизировать их в ИТ-инфраструктурах промышленных предприятий.

Достоинства сервиса:

  • помощь в обнаружении и предотвращении угроз, направленных на критически важные устройства и программное обеспечение промышленных производственных процессов;
  • сопоставление обнаруженных подозрительных объектов и процессов с обширной базой знаний и накопленными исследованиями «Лаборатории Касперского» для определения угроз и реагирования на них;
  • помощь в оценке уязвимостей производственной инфраструктуры;
  • предоставление полных и точных данных обо всех факторах, влияющих на уровень безопасности предприятия и АСУ ТП;
  • повышение осведомлённости сотрудников о существующих киберугрозах.

Kaspersky Digital Footprint Intelligence

Сервис, предоставляющий аналитические отчёты о киберугрозах, мошеннических схемах и киберпреступных планах, направленных на организации. Он помогает аналитикам безопасности оценивать и выявлять угрозы со стороны внешних источников атак, а также принимать взвешенные решения по обеспечению защиты от них.

Сервис даёт информацию о том:

  • какую стратегию вторжения могут использовать злоумышленники, исходя из данных об уязвимостях в организации;
  • как злоумышленники могут минимизировать затраты на проведение атаки на нужную инфраструктуру (эта информация позволяет действовать на опережение, удорожая злоумышленникам их задачу, и понижать ценность самой идеи атаки);
  • какие сведения об организации могут быть известны злоумышленникам;
  • есть ли вероятность того, что взлом инфраструктуры уже произошёл незаметно для специалистов ИБ организации.

Сервис использует полупассивные методы при сборе данных об уязвимостях и ресурсах периметра сети для определения потенциальных точек входа со стороны злоумышленников. Точками входа могут быть неправильно сконфигурированные интерфейсы сетевых устройств и удалённого управления, а также устаревшее уязвимое ПО.

Сервис обнаруживает, отслеживает и анализирует угрозы, направленные на организации и отрасли, а также на клиентов компаний. К тому же проводится работа по выявлению скомпрометированных учётных аккаунтов сотрудников путём анализа активности в даркнете.

Достоинства продукта:

  • составление персонализированной отчётности, основанной на информации, собранной вручную и автоматически;
  • составление персонализированных рекомендаций относительно векторов атак и существующих рисков ИБ для конкретной организации;
  • предоставление ежеквартальной отчётности, содержащей оповещения о киберугрозах в Threat Intelligence Portal в течение года или предоставление одного отчёта с активными оповещениями за полугодие;
  • возможность отправлять 50 поисковых запросов ежедневно в течение всей годовой подписки;
  • анализ периметра сети и облачных активов.

Kaspersky Takedown

Сервис, позволяющий удалять фишинговые и вредоносные домены. Специалисты «Лаборатории Касперского» берут на себя эту задачу, снижая цифровые риски организации.

Корпоративный клиент отправляет запрос, используя свою учётную запись на портале поддержки «Лаборатории Касперского». Специалисты компании подготавливают нужные документы для отправки запроса на блокировку в уполномоченный для исполнения орган регионального или местного значения, в качестве которого могут выступать регистраторы, CERT и т. д. Затем клиент получает информацию о каждом этапе блокировки, пока процесс не завершится.

Достоинства сервиса:

  • глобальный географический охват,
  • экономия корпоративных ресурсов со стороны клиента,
  • прозрачность процессов взаимодействия,
  • интеграция с Kaspersky Digital Footprint Intelligence.

Kaspersky Ask the Analyst

Сервис, позволяющий различным экспертам ИБ взаимодействовать друг с другом. Это даёт возможность компаниям привлекать сторонних специалистов ИБ для решения сложных задач.

Через сервис можно обратиться к экспертам для получения полезной информации и поддержки относительно конкретных угроз. Сервис обладает персонализированными инструментами проведения исследований угроз и их анализа, в соответствии с потребностями корпоративного клиента.

Kaspersky Threat Infrastructure Tracking

Сервис, отслеживающий инфраструктуры кибергруппировок путём выявления IP-адресов вредоносных инфраструктур.

Сервисы Kaspersky Threat Intelligence: как они помогают в борьбе со сложными атаками


Получить консультацию

Отправьте описание задачи, в решении которой нуждается ваш бизнес. Мы предложим возможные варианты её решения и оценим стоимость её выполнения.