Kaspersky tahdid razvedkasi xizmatlari tahlili
Gartner tomonidan o'tkazilgan so'nggi tadqiqotga ko'ra ( batafsilroq ma'lumot uchun 2020 yilgi tahdid manzarasiga qanday munosabatda bo'lish kerak bo'limiga qarang ), kengayib borayotgan tahdidlar jabhasi keyingi 3-5 yil ichida axborot xavfsizligi tashkilotiga ta'sir ko'rsatadigan asosiy omil sifatida aniqlangan. Shunday qilib, ko'plab kompaniyalar rivojlanishining mashhur yo'nalishi ISning mumkin bo'lgan tahdidlarini aniqlash va tahlil qilish bo'ladi. Ushbu funktsiyalarni amalga oshirish uchun Kasperskiy laboratoriyasi Kaspersky Threat Intelligence Portal yechimini taklif qiladi. Xizmat tahdidlar (xeshlar, URL-manzillar, IP-manzillar, HTTP/HTTPS/DNS so‘rovlari, buzg‘unchi profillari va boshqalar to‘g‘risidagi ma’lumotlar) haqidagi dolzarb ma’lumotlarni taqdim etadi, bu esa axborot xavfsizligi bo‘yicha mutaxassislarga voqealarni ahamiyati bo‘yicha birinchi o‘ringa qo‘yish, zarur ma’lumotlarni olish imkonini beradi. Hodisalarni samarali boshqarish uchun qarshi choralarni aniqlash uchun tajovuzkorning xatti-harakatlarini o'rganing. Kaspersky Threat Intelligence Portal funksionalligi Portal funksiyasi quyidagi xizmatlarni o'z ichiga oladi: APT bo'yicha hisobotlar (Advanced Persistent Threat - murakkablikning doimiy tahdidi); moliya institutlari va sanoat korxonalari uchun tahdid hisobotlari; Tahdidlarni qidirish (ma'lumotlar arxivi va tahlili); Cloud Sandbox (bulutli sandbox); Digital Footprint (muayyan mijoz tashkiloti uchun xavf va zaifliklar to'g'risidagi individual ma'lumotlar); Tahdidli ma'lumotlar oqimi (tahdid ma'lumotlar oqimi).
Xizmat sifatida Kasperskiy laboratoriyasi so'nggi tekshiruvlar natijalari va APT hujumlari paytida tajovuzkorlar tomonidan qo'llaniladigan eng so'nggi usullar va vositalar haqidagi ma'lumotlar bilan tahliliy hisobotlarga kirishni ta'minlaydi. Har bir hisobotda APTni tavsiflovchi yuqori boshqaruv uchun xulosa bo'limi mavjud. Ushbu bo'limdan keyin batafsil texnik tavsif beriladi. Hisobot quyidagi ma'lumotlarni taqdim etadi: Hujumni amalga oshirish uchun tajovuzkorlar foydalanadigan usullarning tavsifi. Kiberjinoyatchilarning profillarini tahlil qilish va ular qo'llaydigan taktikalar, usullar va protseduralar haqidagi ma'lumotlar (Taktika, Texnikalar va protseduralar, TTP). TTPni MITER ATT&CK bilan taqqoslash, real hayotdagi kuzatishlar asosida kiberjinoyat usullarining ma'lumotlar bazasi. Tahdid ostida bo'lgan axborot aktivlarini aniqlash, tahdidlarni amalga oshirishdan mumkin bo'lgan zararni baholash va ularning ahamiyatlilik darajasini aniqlash. Murosa ko'rsatkichlari va YARA qoidalari.
Источник: https://www.anti-malware.ru/reviews/Kaspersky-Threat-Intelligence-Portal
Cloud Sandbox Ko'pincha, hujumlar jabrlanuvchi haqida batafsil ma'lumotni hisobga olgan holda tayyorlanadi. Bundan tashqari, statistika ko'pincha yaqinda o'zgartirilgan zararli dasturlar haqida ma'lumotga ega emas. Sandbox texnologiyasi bu kamchilikni tuzatishga imkon beradi. Sandbox asl fayl namunalarini tekshiradi, xulq-atvor tahlili va izolyatsiya qilingan muhitda faylni ishga tushirish emulyatsiyasi asosida kelishuv ko'rsatkichlarini topadi, ilgari uchramagan zararli ob'ektlarni aniqlaydi. Faylning xatti-harakatlarini va jarayonlar xotirasini, tarmoq faolligini va boshqalarni bir vaqtda tahlil qilish ularni aniqlash va tekshirishga yordam beradi. Kasperskiy laboratoriyasining bulutli sandboxi (Cloud Sandbox) yordamida faylning kelib chiqishini aniqlash, shu paytgacha nomaʼlum zararli dasturlarni aniqlash va ekspluatatsiyalarni aniqlash mumkin. KSN tarmog'i va boshqa mulkiy tizimlar tufayli tahdidlar haqida statistik ma'lumotlar yig'iladi. Izolyatsiya qilingan muhitda xulq-atvor tahlili o'tkaziladi va himoyani chetlab o'tishni blokirovka qilishning ishonchli usullari qo'llaniladi. Sandbox shuningdek, avtokliker (sichqonchani bosishni taqlid qilish mexanizmi), hujjatlarni aylantirish, tugmalarni bosish va boshqalar kabi inson xatti-harakatlarini modellashtirish texnologiyalaridan foydalanadi. Shakl 2. Kaspersky Cloud Sandbox funksionalligi sxemasi
Raqamli iz Digital Footprint Intelligence xizmatini taqdim etishda axborot xavfsizligi tahdidlari sohasidagi joriy vaziyat tahlil qilinadi, xavfsizlikning zaif tomonlari aniqlanadi va o‘tmishdagi, davom etayotgan va rejalashtirilgan hujumlar belgilari aniqlanadi. Hisobotlar quyidagi mavzularni qamrab oladi: Tahdid vektorlarining ta'rifi . Tashkilot tarmog‘ining tashqaridan kirish mumkin bo‘lgan muhim tarkibiy qismlari, jumladan, bankomatlar, videokuzatuv tizimlari va mobil texnologiyalardan foydalanadigan boshqa tizimlar, shuningdek, hujum uchun potentsial nishon bo‘lgan xodimlarning ijtimoiy tarmoqlardagi profillari va shaxsiy elektron pochta akkauntlari holatini tahlil qilish. Zararli dasturlarni tahlil qilish va kiberhujumlarni aniqlash . Tashkilotga qaratilgan har qanday faol yoki nofaol zararli dastur namunalarini, har qanday o'tmishdagi yoki joriy botnet faolligini va shubhali tarmoq faolligini aniqlash, monitoring qilish va tahlil qilish. Uchinchi shaxslarga hujumlar . Tashkilotga hujum qilish uchun zararlangan tizimlaridan foydalanish mumkin bo'lgan mijozlar, hamkorlar va obunachilarga qaratilgan tahdidlar va botnet faoliyatining dalillari. Ma'lumot sızıntısı . Er osti onlayn forumlari va hamjamiyatlarining yashirin monitoringi tufayli Kasperskiy laboratoriyasi mutaxassislari xakerlar tashkilotga hujum qilish rejalarini muhokama qilmoqdami yoki, masalan, vijdonsiz xodim ma'lumotlar bilan savdo qilmoqdami yoki yo'qligini aniqlaydi. Shakl 3. Kaspersky Digital Footprint qanday ishlaydi Ma'lumotlar tasmasi SIEM tizimlari yoki xavfsizlik devorlari kabi mavjud xavfsizlik boshqaruvlari bilan tahdid razvedkasi tasmasi integratsiyalashuvi tahdidlar haqida ogohlantirishlarning dastlabki ustuvorligini avtomatlashtiradi. Quyidagi ma'lumotlar oqimlari taqdim etiladi: URL manzillar fishing sahifalari, zararli dasturlar, ekspluatatsiyalar va boshqa xavfli kontentni joylashtirish uchun ishlatiladi. Zararli ob'ektlar xeshlari (jumladan, ICS va mobil qurilmalar uchun). Zaiflik ma'lumotlar tasmasi (zaif ilovalar/ekspluatatsiya xeshlari, vaqt belgilari, CVE zaifliklari, yamoqlar va boshqalar). APT kompromis ko'rsatkichlari (zararli domenlar, xostlar, tajovuzkorlar tomonidan APT hujumlarini amalga oshirish uchun foydalaniladigan fayllar). Oq roʻyxat maʼlumotlari. Maltego foydalanuvchilari uchun o'zgartirish to'plamlari (URL, xesh va IP manzillarni oqim ma'lumotlari bilan tekshirish). Botnet buyruq markazlari (jumladan, mobil qurilmalar uchun), to'lov dasturi va IOT. IP obro'si ma'lumotlari - shubhali va zararli xostlar haqida xabar beruvchi kontekstli ma'lumotlarga ega IP manzillar ro'yxati. Ma'lumotlar turli manbalardan (masalan, Kasperskiy xavfsizlik tarmog'i, brauzerlar, botnet tahdidlarini monitoring qilish xizmati, spam tuzoqlari, tadqiqot guruhlari va hamkorlar ma'lumotlari) yig'iladi va oldindan ishlov berish usullari yordamida filtrlanadi: statistik modellar, qum qutilari, evristik tahlil, ko'p skanerlar, xulq-atvor shakllarini profillash. Shakl 4. Kaspersky Threat Intelligence Portal uchun analitik ma'lumotlar manbalari
API Kaspersky Threat Intelligence Portal API vositasidan foydalanib, siz qidiruv so'rovlari va hisobotlarni yaratishingiz, shuningdek, Kaspersky Cloud Sandbox-da fayllarni skanerlashingiz mumkin. Tekshiruv natijalari JSON formatida taqdim etiladi. APT C&C Tracking, ICS Threat Intelligence Reporting va Digital Footprint Intelligence API usullari ham mavjud. Kaspersky Threat Intelligence Portal uchun tizim talablari Minimal tizim talablari: 2 GB bo'sh qattiq disk maydoni; Kaspersky Threat Intelligence Portal bilan onlayn ishlash uchun Internetga ulanish; ochiq portlar: 443 (HTTPS) va 80 (HTTP); 1366x768 ekran o'lchamlarini qo'llab-quvvatlaydigan monitor. Minimal apparat talablari: 32 yoki 64 bitli operatsion tizimlar uchun Intel Pentium 1 GHz (yoki mos keladigan ekvivalenti); 1 GB bepul RAM. Qo'llab-quvvatlanadigan brauzerlar (oxirgi versiyalar): Microsoft Internet Explorer; Mozilla Firefox; Gugl xrom; Microsoft Edge; safari. Kaspersky Threat Intelligence Portal API ishlashi uchun dasturiy ta'minot talabi: Python 3.5.3. Kaspersky Threat Intelligence Portal-dan foydalanish stsenariylari Keling, veb-interfeys orqali Kaspersky Threat Intelligence Portal bilan qanday ishlashni tanlaylik. Veb-brauzeringizning manzil satriga https://tip.kaspersky.com URL manzilini kiriting, u kirish oynasini ochadi.
https://opentip.kaspersky.com/
Do'stlaringiz bilan baham: |