Евгений Касперский (e_kaspersky) wrote,
Евгений Касперский
e_kaspersky

Category:

OpenTIP: смотрите глубже!

Прекрасно понимаю, что для 95% из вас этот текст совершенно бесполезен, но остальным 5% он может сильно упростить рабочие будни, рабочие выходные и рабочие праздничные дни. Иными словами, у нас есть прекрасная новость для спецов по кибербезопасности – сотрудников SOC, независимых исследователей и пытливых айтишников: инструменты, которыми ежедневно пользуются наши «дятлы» и GReAT, чтобы выдавать на гора лучший в мире ресёрч по киберугрозам, теперь доступен всем вам, причём бесплатно. Это лайт-версия нашего Threat Intelligence Portal, (сокращённо OpenTIP) – я про неё здесь кратко расскажу, и вы не сможете не добавить его в закладки прямо сейчас.

1. Capture2

OpenTIP решает две главные проблемы современного перегруженного кибербезопасника. А именно: «как выбрать, какой из сотни подозрительных файлов ковырять первым» и «окей, мой антивирус говорит, что файл чистый, – что делать дальше?».

В отличие от «классики в чёрном» - продуктов класса Endpoint Security, которые выдают чёткий вердикт вида «Чисто/Опасно», инструменты аналитиков, зашитые в Threat Intelligence Portal, дают детальную информацию о том, насколько файл подозрителен и в каких конкретно аспектах. Кстати, не только файл. Можно закидывать и просто хеш, IP-адрес или URL. Все эти артефакты будут быстро пропесочены нашим облаком и разложены на блюдечке – что найдено плохого, насколько зараза распространена, на какие известные угрозы это отдалённо похоже, какие инструменты использовались при создании, и так далее. Исполняемые файлы также запускаются в нашей запатентованной облачной «песочнице» - и через пару минут вы узнаёте, чем это кончилось.

2. Capture

3. Capture1

Вот здесь, я уверен, что те 5% для кого этот пост, кричат: «Да это же Virustotal!».

Да - и нет.

С одной стороны, мы преследуем одну и ту же цель – дать специалистам дополнительные инструменты для анализа конкретного инцидента и принятия информированного решения.  С другой, наш подход совершенно иной.

Virustotal зародился как простой мультисканер – ты загружаешь туда файл, он прогоняет его несколькими десятками сигнатурных файловых сканеров.  Из-за этого, кстати, всех вендоров, включая нас, часто ругают «вы не детектите файл Х» – но правильней сказать, мы не детектим Х традиционным файловым сканером. Потом, правда, выясняется, что мы успешно детектим его другими инструментами. Но на Virustotal вы этого просто не увидите.  Конечно, на VT появились дополнительные инструменты, но в целом упор у них всё тот же – на широту охвата движков, работающих по наиболее консервативной технологии, изобретённой 30+ лет назад.

Мы же, как эксперты по глубокому анализу сложных угроз, стремимся дать эту самую глубину всему сообществу специалистов. Единственный «движок», который анализирует артефакты в Threat Intelligence Portal – это «движок» компании имени меня.  Но он – лучший в мире. Он комбинирует десятки продвинутых технологий анализа (тыц, тыц, тыц, и так далее), и на Threat Intelligence Portal можно заглянуть этой махине «под капот». Разумеется, по сравнению с кусочком нашего же движка на Virustotal, уровень детекта будет существенно выше.

В дополнение к этому, файлы можно анализировать на Virustotal – второе, третье и четвёртое мнение, безусловно, полезны, если вы умеете их взвешивать.  Кстати, если мы когда-нибудь решим расширить Threat Intelligence Portal информацией в партнёрстве с другими вендорами, строгость "фейс-контроля" будет запредельной.

Ещё одним отличием Threat Intelligence Portal от Virustotal является… как бы это назвать… ограниченное распространение информации. Файлы, загруженные на Virustotal, доступны широкому кругу подписчиков, а у нас никаких подписчиков на чужие файлы нет. «Кто знает – тот поймёт». ©

Кстати, о подписке.

У Threat Intelligence Portal есть и платная версия, и она куда богаче. В том числе за счёт детальных отчётов наших аналитиков о найденных киберугрозах. И если оказалось, что загруженный файл, например, похож на известную финансовую малвару, то самая свежая и детальная информация о том, как разработавшие её кибернегодяи атакуют жертвы, какие инструменты используют, и так далее, доступна именно в полной версии сервиса.



Tags: product launch, technology
Subscribe

Posts from This Journal “product launch” Tag

  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your IP address will be recorded 

  • 1 comment