Кибер-рентгеном по цифровым зловредам!

Previous Entry Поделиться Next Entry
7 марта, 13:08
e_kaspersky
Есть такая фича человеческой натуры - докапываться до сути. Кибербезопасность тому не просто не исключение, а даже вдвойне подтверждение этого правила.

У нас тут "суть" - понятие вполне осязаемое и измеримое, влекущее за собой конкретные выводы и действия. Каждую кибератаку можно разобрать "по косточкам", проанализировать и при необходимости "прокачать" защиту. Причём лучше всего это делать проактивно, на чужих ошибках, не дожидаясь, когда грянет гром.

Для решения этой непростой задачи у нас есть корпоративные сервисы. В ассортименте киберхирургического инструментария много всего разного: от тренингов персонала и "сводок с полей" с подробной информацией об обнаруженных атаках до экспертных сервисов для тестирования на проникновение, аудита приложений и расследования инцидентов.

И вот арсенала прибыло! На вахту заступил новый сервис KTL (Kaspersky Threat Lookup) – умный микроскоп для анатомирования подозрительных объектов, выявления источников кибератаки, истории активности, многомерных корреляций и степени опасности для корпоративной инфраструктуры. Настоящий рентген против киберугроз.

ktl-1

На самом деле лайт-версия этого сервиса есть у каждого нашего пользователя. Проверить рейтинг опасности файла можно и в домашних продуктах, но для корпоративного заказчика требуется другая глубина и скрупулёзность анализа угрозы.

Прежде всего KTL даёт возможность проверять не только файлы, но и URL, IP-адреса и домены, анализировать объекты по специфическим признакам целевых атак, поведенческим и статистическим особенностям, WHOIS/DNS данным, атрибутам файлов, цепочкам загрузок и др.

Да, вы правильно догадываетесь – получается что-то вроде поисковика, заточенного на кибербезопасность. Сотрудник службы IT-безопасности через web-интерфейс вводит специфический запрос по подозрительному объекту и KTL возвращает всю "историю болезни" в исторической, географической и других перспективах, плюс связи с другими событиями и объектами. В масштабе реального времени, круглосуточно.

ktl-2

ktl-3

Полученные результаты, подозрительные объекты и другие IoC можно экспортировать в форматах, пригодных для машинного чтения (STIX, OpenIOC, JSON, Yara, Snort и др.) с целью интеграции в корпоративные SIEM-системы.

Откуда берутся данные для поиска?

Есть несколько источников.

Во-первых, облачная система KSN, которая содержит анонимизированные сигналы об эпидемиологической обстановке от сотен миллионов пользователей по всему миру. Да, именно так каждый из нас может заботиться не только о себе (участие в KSN автоматически повышает качество защиты), но и выполнять важную гуманитарную миссию – заботиться о других, и тем самым влиять на снижение градуса киберугрозы в Интернете.

Во-вторых, наши технологии анализа сетевой активности, в том числе спам-ловушки, мониторинг ботнетов, веб-краулеры, различные сетевые сенсоры, умные роботы, работающие на машинном обучении. И, конечно, результаты исследования сложных целевых атак в исполнении отряда кибер-ниндзя GReAT.

В-третьих, наши партнёры-разработчики софта. Кстати, вес этого источника со временем будет расти и станет преобладающим. Да, у нас большие планы, но пока без дополнительных комментариев.

ktl-4

И немного о ближайших планах.

Сейчас мы работаем над внедрением в KTL функции анализа подозрительных объектов в безопасном окружении. Облачный sandbox.

Например, файл загружается в "песочницу" и там выполняется в специальной виртуальной машине с патентованной системой логгирования. Чтобы не навредить ближнему машины полностью изолированы друг от друга, от внутренней сети и имеют ограничения по внешним коммуникациям. Кроме того, виртуалки в точности повторяют реально работающий компьютер в реальном окружении, чтобы дать объекту ощущение вседозволенности. Но вместе с тем они записывают все действия выполненного объекта (наподобие нашего решения для защиты от целевых атак KATA). А по результатам анализа пользователю возвращается подробный отчёт что же на самом деле этот файл хотел украсть сделать плюс наша экспертная оценка вредоносности файла.

Ещё в планах полезные инструменты для работы с метаданными файлов и URL. В следующих версиях мы прикрутим возможность извлечения различных метаданных и поиска по ним. Таким образом можно будет проводить глубокие исследования малвары на предмет схожести по разным параметрам для понимания общей картины сложных кибератак. Например, при помощи этого инструмента можно будет делать запросы "найди мне файлы, которые при запуске делают то-то", или "найди все файлы с таким именем", или "найди файлы, которые детектируются таким-то вердиктом AV-движка", или "найди файлы, внутри которых находится такая-то строка".

Вот такой развесистый кибер-рентген у нас в активной разработке, а уже освоенным функционалом прямо сейчас можно начинать пользоваться и ругать советовать новые полезные фичи.

Более подробная информация о KTL здесь.



Previous Entry Поделиться Next Entry

Записи из этого журнала по тегу «technology»


а я тем временем принял решение не продлевать домашнюю лицензию Kapersky Internet Security
понимаю, что нужно повышать цены на свой продукт (ибо нет роста дохода акционеров и "развития продукта"))), но
каждый год платил по 1200, а тут цена выросла (с учетом скидок), и уже психологически неприятно...

p.s. если цена для постоянных клиентов была бы на том же уровне, продлил бы не глядя..
p.p.s ни на что не намекаю и не выпрашиваю, просто делюсь мыслями..

понимаю. я бы тоже не продлевал лицензию на горячую воду, электричество, вывоз ТБО, продукты питания. я понимаю, что издержки растут, нет дохода акционеров, да ещё людям платить зарплату надо. но просто психологически неприятно. вот если бы у них была цена для постоянных клиентов...

Вот и правильно, я тоже на Dr.Web перешёл :)

KAV стоит 1320 на 2 компа (как и раньше - ?). Не уверен, что это для нас недорого (туда 1300, сюда 1300 и так 10 раз на все подряд), но тут-то цена не очень изменилась?

не про этот продукт

grey_olli

2017-03-07 18:46 (UTC)

хотел откоментировать в оригинальном Вашем посте про бесплатный антивирус, но откапывать линк долго и я было забил..

А тут Ваш пост. Так вот - бесплатный KAV это ужасно неприятная вещь. Period.


Так меня не анноила ни авира ни avg. Недавно снёс. Последней каплей стало появление у меня в списке програм в венде которую я загружаю от случая к случаю компонента которого я не ставил в момент установки free KAV.

Это _возмутительно_ когда бесплатный антивирус доустанавливает без спросу компоненты которые пользователь не собирался ставить. adware ничем не напоминает такое поведение?

Ещё более возмутительно когда устанавливается VPN сервис без моего предварительного подтверждения, разумеется в него пытаюся завернуть весь мой трафик не спросив меня хочу ли я этого перед вклюением данной опции. Господа, а вы там не обалдели от собственной значимости?

Не менее возмутительно когда бесплатный продукт регулярно пытается cделать override настроек пользователя.

Ну и наконец просто _анноит_ регулярных _две_ всплывашки про неполную конфигурацию защиты (то самое отключённое) и настоятельные просьбы зарегистрироваться.

Мне прилетел бесплатный kav vpn сервис и ещё и несмотря на отключение модуля защиты браузера мне регулярно прилетало "пытается установить/включить (не помню точно) модуль в браузер".

update: унёс к себе в жеже копию этого ответа: http://grey-olli.livejournal.com/930749.html .

Edited at 2017-03-07 18:52 (UTC)

Re: не про этот продукт

e_kaspersky

2017-03-09 10:55 (UTC)

Если параноит на устанавливаемые компоненты - читайте EULA перед кликом "хочу". Плюс эти компоненты (но не уверен что все) можно выключить.

Re: не про этот продукт

grey_olli

2017-03-09 11:09 (UTC)

в том то и дело что я отключал функционал касающийся web компоненты. Именно на отключенную частично часть защиты ругался gui модуль управления продуктом - это нормально и можно было бы сделать просто другим значком в трее. Вы выбрали наиболее анноящий способ. Ну это терпимо. Однако при этом я несколько раз получал попытки модуля в браузере включиться самостоятельно. Меня не особо параноит венда на которой я не держу ничего более существенного чем доступ в почту и иногда по работе. Список того что меня не устроило в поведении вашего продукта я озвучил. Вы наверняка не нарушили EULA. Но меня не устраивает именно повдение, при котором мне регулярно надо прикладывать усилия, чтобы запретить однажды запрещённое. Продукт был поставлен в результате Вашего обзора бесплатного KAV. Результат - отторжение большее чем к конкурентным бесплатным продуктам. Агрессивный маркетинг должен иметь разумные пределы. Доустановка компонент сама по себе да ещё и с включением уже выключенных вручную опций в моё понятие разумного поведения не вписывается.

Edited at 2017-03-09 11:12 (UTC)

киберугроза от телевизора

juozasr

2017-03-09 10:15 (UTC)

Евгений, хотелось бы услышать Ваше мнение о последних новостях, что ЦРУ (ну и не только) может подслушивать через умные телевизоры.

Re: киберугроза от телевизора

e_kaspersky

2017-03-09 10:56 (UTC)

Так уже много лет говорю на разных мероприятиях, да и аналитика была - что смарт-ТВ это очередная мишень для кибер-атак. Ну, вот, свершилось.
Мы лет 5 назад даже прототим "смарт-ТВ-антивируса" сделали. Но спрос на него был нулевой, что очевидно.

Re: киберугроза от телевизора

juozasr

2017-03-09 11:02 (UTC)

Спасибо. Я подумал, что в свете последних утечек от викиликс,
эта тема многих заинтересует. Реально ли прослушивание ( а не только фиксация интернет трафика) со смарт-тв.

?

Log in

No account? Create an account