TIP: смотрите глубже!

Мы сделали бесплатную версию нашего Threat Intelligence Portal – TIP – для подробного анализа потенциальных угроз.

Прекрасно понимаю, что для 95% из вас этот текст совершенно бесполезен, но остальным 5% он может сильно упростить рабочие будни, рабочие выходные и рабочие праздничные дни. Иными словами, у нас есть прекрасная новость для спецов по кибербезопасности – сотрудников SOC, независимых исследователей и пытливых айтишников: инструменты, которыми ежедневно пользуются наши «дятлы» и GReAT, чтобы выдавать на гора лучший в мире ресёрч по киберугрозам, теперь доступен всем вам, причём бесплатно. Это лайт-версия нашего Threat Intelligence Portal, (сокращённо TIP) – я про неё здесь кратко расскажу, и вы не сможете не добавить его в закладки прямо сейчас.

TIP решает две главные проблемы современного перегруженного кибербезопасника. А именно: «как выбрать, какой из сотни подозрительных файлов ковырять первым» и «окей, мой антивирус говорит, что файл чистый, – что делать дальше?».

TIP – бесплатная версия Kaspersky Threat Intelligence Portal

В отличие от «классики в чёрном» — продуктов класса Endpoint Security, которые выдают чёткий вердикт вида «Чисто/Опасно», инструменты аналитиков, зашитые в Threat Intelligence Portal, дают детальную информацию о том, насколько файл подозрителен и в каких конкретно аспектах. Кстати, не только файл. Можно закидывать и просто хеш, IP-адрес или URL. Все эти артефакты будут быстро пропесочены нашим облаком и разложены на блюдечке – что найдено плохого, насколько зараза распространена, на какие известные угрозы это отдалённо похожекакие инструменты использовались при создании, и так далее. Исполняемые файлы также запускаются в нашей запатентованной облачной «песочнице» – и через пару минут вы узнаёте, чем это кончилось.

Вот здесь, я уверен, что те 5%, для кого этот пост, кричат: «Да это же Virustotal!».

Да – и нет.

С одной стороны, мы преследуем одну и ту же цель – дать специалистам дополнительные инструменты для анализа конкретного инцидента и принятия информированного решения.  С другой, наш подход совершенно иной.

Virustotal зародился как простой мультисканер – ты загружаешь туда файл, он прогоняет его несколькими десятками сигнатурных файловых сканеров.  Из-за этого, кстати, всех вендоров, включая нас, часто ругают «вы не детектите файл Х» – но правильней сказать, мы не детектим Х традиционным файловым сканером. Потом, правда, выясняется, что мы успешно детектим его другими инструментами. Но на Virustotal вы этого просто не увидите. Конечно, на VT появились дополнительные инструменты, но в целом упор у них всё тот же – на широту охвата движков, работающих по наиболее консервативной технологии, изобретённой 30+ лет назад.

Мы же, как эксперты по глубокому анализу сложных угроз, стремимся дать эту самую глубину всему сообществу специалистов. Единственный «движок», который анализирует артефакты в Threat Intelligence Portal, – это «движок» компании имени меня.  Но он – лучший в мире. Он комбинирует десятки продвинутых технологий анализа (тыцтыцтыц, и так далее), и на Threat Intelligence Portal можно заглянуть этой махине «под капот». Разумеется, по сравнению с кусочком нашего же движка на Virustotal уровень детекта будет существенно выше.

В дополнение к этому, файлы можно анализировать на Virustotal – второе, третье и четвёртое мнение, безусловно, полезны, если вы умеете их взвешивать. Кстати, если мы когда-нибудь решим расширить Threat Intelligence Portal информацией в партнёрстве с другими вендорами, строгость «фейс-контроля» будет запредельной.

Ещё одним отличием Threat Intelligence Portal от Virustotal является… как бы это назвать… ограниченное распространение информации. Файлы, загруженные на Virustotal, доступны широкому кругу подписчиков, а у нас никаких подписчиков на чужие файлы нет. «Кто знает – тот поймёт». ©

Кстати, о подписке.

У Threat Intelligence Portal есть и платная версия, и она куда богаче. В том числе за счёт детальных отчётов наших аналитиков о найденных киберугрозах. И если оказалось, что загруженный файл, например, похож на известную финансовую малвару, то самая свежая и детальная информация о том, как разработавшие ее кибернегодяи атакуют жертвы, какие инструменты используют, и так далее, доступна именно в полной версии сервиса.

Советы