Евгений Касперский (e_kaspersky) wrote,
Евгений Касперский
e_kaspersky

Category:

OpenTIP, сезон-2: заходите чаще!

Год назад я уже обращался к самым продвинутым 5% аудитории, спецам по кибербезопасности, чтобы порадовать их новым инструментом нашей разработки, Open Threat Intelligence Portal (далее OpenTIP).

Инструменты анализа сложных угроз и просто подозрительных файлов, которыми пользуются в том числе знаменитые «кибер-ниндзя» из GReAT, стали доступны всем желающим. И желающие пришли! Они проверяют тонны файлов ежемесячно.

За год жизнь этих 5% стала гораздо сложнее, потому что зловредный био-вирус выгнал мир на «удалёнку», и обеспечивать безопасность корпоративных сетей стало стократ хлопотней. Время, которого и раньше не хватало, стало драгоценным ресурсом. Поэтому самый частый запрос, который мы слышим от наших искушенных пользователей, прост и прямолинеен: «дайте доступ по API и увеличьте лимиты»!

Сказано – сделано!

1. new home page

В новой версии OpenTIP появилась регистрация пользователей. Постоянным посетителям её категорически советую, потому что после регистрации бóльший кусочек платного Threat Intelligence Portal покажется из сумрака.

Во-первых, отсылать артефакты на проверку можно будет по API – интегрируйте OpenTIP в свои процессы анализа как считаете быстрей и удобней. Кроме неограниченного количества файлов, проверять можно и прочие подозрительные артефакты, такие как URL, IP и хэши.

Во-вторых, когда речь идёт об исполняемом файле, кроме вердиктов о том, что именно в нём кажется подозрительным, OpenTIP теперь выдаёт больше первичного сырья для анализа. Сюда относятся данные о структуре PE-файлов, а также извлечённые из них текстовые строки. В рамках квоты можно воспользоваться нашей крутейшей облачной «песочницей», которая вообще-то является платным самостоятельным продуктом.  Ну и наконец, в настройках появится кнопка «Private submission», которая позволит проверять артефакты, вообще никак не сообщая миру о том, что они были загружены на OpenTIP. Мы и раньше не позволяли никому «подписываться» на чужие файлы, но теперь в публичную историю можно не отправлять никакие проверенные на портале индикаторы.

Впрочем, даже без регистрации улучшения Open Threat Intelligence Portal будут заметны невооруженным глазом.

Более удобный веб-интерфейс сэкономит вам время и приятно порадует глаз :), а результаты анализа будут гораздо информативнее.

Requests - public_private

Ко второй версии мы подключили дополнительные технологии поведенческого анализа. Напомню, что портал выдает не просто вердикт «заражен/чист», как в традиционной endpoint-защите, а детальный разбор подозрительных свойств, на основании которых живой белковый аналитик принимает решения о том, копаться ли в вопросе дальше.  Для подозрительных URL будет также доступна категоризация по опасным свойствам.

sandbox extracted files

Ну а для тех, кому нужно еще больше функций, у Threat Intelligence Portal есть и платная версия, и она куда богаче. В том числе за счёт детальных отчётов наших аналитиков о найденных киберугрозах.

В общем, хватить читать описания – проще один раз сходить и попробовать! Просто закинуть на OpenTIP подозрительный файл самостоятельно. Для тех, кто не подписан на сервисы Threat Intelligence, портал будет незаменим (нет-нет, я помню про Virustotal, но об этом – в прошлом посте). Но максимальную пользу из OpenTIP извлекут те, кто будут пользоваться им не от случая к случаю, а встроят его в повседневный процесс анализа кибер-гадости.



Tags: technology
Subscribe

Posts from This Journal “technology” Tag

  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your IP address will be recorded 

  • 1 comment