PT Threat Intelligence Feeds и PT Threat Analyzer — Комплексное решение для управления угрозами

Positive Technologies предлагает интегрированное решение для управления информацией об угрозах, которое можно собрать из двух ключевых компонентов: PT Threat Intelligence Feeds и PT Threat Analyzer. Это сочетание обеспечивает эффективное выявление, анализ и нейтрализацию киберугроз.

PT Threat Intelligence Feeds

PT Threat Intelligence Feeds — это потоки данных, содержащие индикаторы компрометации (вредоносные домены, IP-адреса, ссылки и хеш-суммы файлов), которые позволяют SOC-командам быть в курсе актуальных угроз информационной безопасности.

• Уникальные данные о реальных угрозах: Обезличенная телеметрия из сотен инсталляций продуктов Positive Technologies формирует знание о текущих событиях в мире ИБ.
• Репутация и оценка потенциального ущерба: Для каждого индикатора компрометации рассчитываются показатели «Репутация» и «Потенциальный ущерб», что помогает приоритизировать угрозы и сфокусироваться на предотвращении самых опасных.
• Расширенные контекстные данные: Обогащение индикаторов компрометации дополнительными данными предоставляет аналитикам SOC необходимую информацию для принятия решений о реагировании на угрозы.
• Интеграция с продуктами разных вендоров: PT Threat Intelligence Feeds поддерживает различные форматы и широкий перечень средств защиты, число которых постоянно растет.

Подробнее: PT Threat Intelligence Feeds

PT Threat Analyzer

PT Threat Analyzer — программная платформа для накопления и использования знаний об угрозах информационной безопасности. Она собирает данные из внешних и внутренних источников, нормализует их, дополняет контекстом и передает в продукты Positive Technologies.

• Накопление знаний: Получает информацию об угрозах из различных источников, включая песочницы, анализаторы кода, коммерческие и открытые поставщики данных, WHOIS- и DNS-серверы.
• Анализ угроз: Позволяет фильтровать данные об угрозах по разным параметрам, предоставляя аналитикам подробную информацию об индикаторах компрометации.
• Обогащение данных: Дополняет данные дополнительным контекстом, позволяющим узнать больше о потенциальной угрозе.
• Распространение информации: Мгновенная доставка актуальных данных в средства защиты информации помогает противостоять реальным угрозам.

Подробнее: PT Threat Analyzer

Синергия компонентов

Совместное использование PT Threat Intelligence Feeds и PT Threat Analyzer обеспечивает:

• Централизованное управление данными об угрозах: PT Threat Analyzer агрегирует и обрабатывает данные из PT Threat Intelligence Feeds, создавая единую базу знаний для службы ИБ.
• Ускоренное обнаружение и реагирование на угрозы: Актуальные индикаторы компрометации из PT Threat Intelligence Feeds позволяют PT Threat Analyzer быстро выявлять и нейтрализовать угрозы.
• Обогащение данных для внешних систем: PT Threat Analyzer передает обработанные данные в другие продукты Positive Technologies, такие как MaxPatrol SIEM и PT Network Attack Discovery, повышая их эффективность.

Интеграция этих компонентов создает мощное решение для проактивного управления киберугрозами, обеспечивая надежную защиту информационных систем организации.

R‑Vision TIP — Платформа анализа информации об угрозах

R‑Vision Threat Intelligence Platform (TIP) — это платформа, предназначенная для автоматизации сбора, нормализации и обогащения индикаторов компрометации (IoC), а также для их передачи на внутренние средства защиты и поиска в инфраструктуре организации с помощью сенсоров.

Ключевые преимущества R‑Vision TIP:

• Централизованный сбор данных: Платформа агрегирует информацию об угрозах из различных источников, включая Group-IB Threat Intelligence, Kaspersky Threat Intelligence, RST Cloud Threat Feed, BI.ZONE ThreatVision, AT&T Cybersecurity, АСОИ ФинЦЕРТ, MITRE ATT&CK и собственный R-Vision Threat Feed.
• Обработка и обогащение: Индикаторы нормализуются, объединяются дублирующиеся записи, присваиваются рейтинги и устанавливаются политики устаревания. Платформа поддерживает обогащение данных с помощью более 20 сервисов, таких как VirusTotal, Whois, RiskIQ, Ipgeolocation.io, Hybrid Analysis, OPSWAT Metadefender, Shodan и MaxMind.
• Анализ взаимосвязей: R‑Vision TIP собирает информацию об индикаторах и связанных с ними данных, включая вредоносное ПО, уязвимости (CVE, CPE, CWE), отчеты, субъекты угроз, техники и тактики из MITRE ATT&CK, а также другие индикаторы, что помогает формировать целостную картину угрозы.
• Интеграция со средствами защиты: Обработанные данные автоматически передаются на внутренние средства защиты, такие как UserGate, Cisco, PaloAlto Networks, Check Point, McAfee и Ideco UTM, для немедленной блокировки угроз.
• Мониторинг индикаторов: Платформа обеспечивает ретроспективный и проактивный поиск релевантных индикаторов в событиях SIEM и отправляет оповещения при их обнаружении. Поддерживаются интеграции с системами QRadar, ArcSight, MaxPatrol SIEM, Apache Kafka и Smart Monitor.
• Автоматизация сценариев: R‑Vision TIP позволяет создавать и автоматизировать сценарии работы с индикаторами, включая обогащение данных, мониторинг в событиях SIEM, оповещения и экспорт индикаторов на средства защиты.
• Формирование бюллетеней: Платформа предоставляет конструктор бюллетеней для создания информационных материалов об угрозах и уязвимостях, которые можно распространять среди заинтересованных лиц и экспортировать на внешние системы через API.

R‑Vision TIP сертифицирована ФСТЭК России по 4 уровню доверия, а также поддерживает новые фиды ФинЦЕРТ «Фид-Антифрод». R‑Vision TIP помогает организациям эффективно управлять данными киберразведки, своевременно выявлять и блокировать угрозы, а также автоматизировать процессы информационной безопасности.

Подробнее: R-Vision TIP

Kaspersky Threat Intelligence — Комплекс сервисов информирования об угрозах

Kaspersky Threat Intelligence — это комплекс сервисов, предоставляющих подробный и содержательный контекст в ходе всего цикла управления инцидентом и обеспечивающих всестороннее понимание киберугроз. Поддержка ведущих мировых аналитиков.

Ключевые компоненты Kaspersky Threat Intelligence:

• Kaspersky Threat Data Feeds: Индикаторы угроз, обогащённые дополнительными разведданными. 
• Kaspersky CyberTrace: Платформа сопоставления данных, поступающих с SIEM, с индикаторами угроз. 
• Kaspersky Threat Lookup: Поиск подробных данных об индикаторах угроз и связях между ними на основе Kaspersky Threat Intelligence Portal.
• Kaspersky Threat Analysis: Комплекс технологий облачной песочницы, атрибуции и выявления схожести объектов для анализа угроз. 
• Kaspersky Digital Footprint Intelligence: Мониторинг потенциальных угроз в отношении организации на основе анализа данных даркнета и открытых источников.
• Kaspersky APT Intelligence Reporting: Подробные отчёты об угрозах, связанных с APT-группировками. 
• Kaspersky Crimeware Intelligence Reporting: Подробные отчёты об угрозах, связанных с финансово мотивированными группировками.
• Kaspersky ICS Threat Intelligence Reporting: Подробные отчёты об угрозах, связанных с промышленными предприятиями.
• Kaspersky Threat Infrastructure Tracking: Отслеживание инфраструктур кибергруппировок с целью минимизации последствий.
• Kaspersky Takedown Service: Полностью управляемое блокирование вредоносных и фишинговых доменов.
• Kaspersky Ask the Analyst: Всесторонняя коммуникация с экспертами и расширение возможностей знаниями и ресурсами «Лаборатории Касперского».

Преимущества Kaspersky Threat Intelligence:

• Единая точка доступа — Kaspersky Threat Intelligence Portal: Объединение экспертизы и всех знаний «Лаборатории Касперского» о киберугрозах в одном месте.
• Взаимосвязанная работа сервисов: Сервисы обогащают и дополняют друг друга, обеспечивая комплексный подход к безопасности.
• Покрытие тактических, операционных и стратегических данных об угрозах: Мониторинг угроз, релевантных для конкретной организации, с использованием собственных технологий обработки и нормализации данных.
• Исследование образцов вредоносного ПО с их последующей атрибуцией: Возможность оповещения о поступлении новых данных в портал.
• Проактивный подход к безопасности, основанный на данных киберразведки: Глобальная аналитика, обеспечивающая всестороннее представление о современном ландшафте угроз.
• Доступ к единой всесторонней базе знаний об угрозах и их взаимосвязях от мировых экспертов в области кибербезопасности: Интеграция машиночитаемых данных Kaspersky Threat Data Feeds в SIEM или другие системы безопасности.
• Проактивное выявление уязвимых мест в организации, которые могут быть проэксплуатированы злоумышленниками: Успешный опыт раннего обнаружения новых угроз.

Комплекс сервисов Kaspersky Threat Intelligence предоставляет подробный и содержательный контекст в ходе всего цикла управления инцидентом и обеспечивает всестороннее понимание киберугроз. Поддержка ведущих мировых аналитиков.

Подробнее: Kaspersky Threat Intelligence

F.A.C.C.T. Threat Intelligence — Проактивный анализ киберугроз

F.A.C.C.T. Threat Intelligence — это решение, предназначенное для проактивного анализа киберугроз и предотвращения атак на основе глубокого понимания методов и инструментов злоумышленников.

Ключевые возможности F.A.C.C.T. Threat Intelligence:

• Графовый анализ: Интуитивно понятный интерфейс для исследования угроз, позволяющий прослеживать связи между злоумышленниками, их инфраструктурой и инструментами, а также получать детализированную информацию одним кликом.
• Анализ данных из Darkweb: Доступ к самой обширной базе данных Darkweb среди компаний в области кибербезопасности. Возможность обнаружения нелегальной активности в сети и отслеживания упоминаний вашей организации в андеграунде с настройкой оповещений по интересующим темам.
• Атрибуция угроз: Быстрое составление представления о поведении злоумышленников, их методах и используемой инфраструктуре, а также получение информации об их активности в формате матрицы MITRE ATT&CK.
• Ландшафт угроз: Персонализированное отслеживание действий злоумышленников в виде матрицы «Ландшафт угроз», позволяющее получить всю необходимую информацию о тех, кто атакует вашу компанию, партнеров или отрасль.
• Обнаружение утечек данных: Выявление скомпрометированных учетных данных, включая личные аккаунты VIP-персон, банковские карты и утекшие базы данных, до их использования злоумышленниками.
• Борьба с фишингом: Автоматическое обнаружение и закрытие вредоносных сайтов для защиты бренда и клиентов вашей организации. Центр реагирования на инциденты F.A.C.C.T. оперативно блокирует фишинговые сайты, минимизируя ущерб.
• Анализ эксплойтов: Детонация подозрительных файлов через Unified Risk Platform или передача их команде по реверс-инжинирингу для исследования. Просмотр результатов углубленного анализа уязвимостей, ставших мишенью определенных ВПО и злоумышленников, для приоритизации устранения слабых мест в системе защиты.

Преимущества F.A.C.C.T. Threat Intelligence:

• Интеграция с существующими системами безопасности: Готовая интеграция с популярными SIEM, SOAR и TIP-инструментами, а также передача данных через API и STIX/TAXII.
• Персонализированные отчеты об угрозах: Составление отчетов по запросу, а также ежемесячно или ежеквартально специально для высшего руководства компании.
• Проактивная защита: Выявление и устранение уязвимостей до их эксплуатации злоумышленниками благодаря подробной информации о тактиках, техниках и процедурах атакующих.
• Автоматизация рабочих процессов: Повышение эффективности команды за счет обогащения SIEM-, SOAR- и EDR-систем и платформ по управлению уязвимостями готовыми API-интеграциями с поддержкой TAXII и STIX.
• Приоритизация устранения уязвимостей: Автоматизация оповещений при обнаружении уязвимостей или их эксплуатации злоумышленниками, атакующими предприятия вашей отрасли.
• Сокращение времени реагирования: Быстрое устранение атакующих из вашей сети благодаря данным об используемых злоумышленниками методах атаки, представленным в формате матрицы MITRE ATT&CK.

F.A.C.C.T. Threat Intelligence предоставляет уникальную информацию об атакующих, нацеленных на вашу компанию, и оптимизирует механизмы защиты от них, эффективно предотвращая атаки, онлайн-мошенничество и другие виды киберугроз для защиты бизнеса по всему миру.

Подробнее: F.A.C.C.T. Threat Intelligence

BI.ZONE Threat Intelligence — Платформа киберразведки

BI.ZONE Threat Intelligence — это портал киберразведки, ориентированный на российский ландшафт угроз. Он предоставляет исчерпывающие данные о реальных атаках и кластерах активности, которые их реализуют, а также ежедневно обновляемые потоки индикаторов компрометации.

Ключевые возможности BI.ZONE Threat Intelligence:

• Построение ландшафта киберугроз: Используйте данные об актуальных для вашей компании угрозах с учетом ее отрасли и географии.
• Учет контекста срабатываний средств защиты информации (СЗИ): Устанавливайте связи выявленных индикаторов компрометации с известными угрозами, а также методами и инструментами атакующих.
• Получение информации с теневых ресурсов: Будьте в курсе новых атак и инструментов злоумышленников, а также эксплуатируемых уязвимостей.
• Устранение эксплуатируемых уязвимостей: Узнайте о слабых местах в вашей инфраструктуре, которыми пользуются злоумышленники в реальных атаках.
• Улучшение сценариев киберучений: Проводите эмуляции атак в формате red team и purple team с учетом информации о реальных инцидентах.
• Проактивный поиск киберугроз: Стройте гипотезы для threat hunting на основе детальных данных о тактиках, техниках и процедурах атакующих.

Данные на портале:

• Стратегический уровень: Высокоуровневая обобщенная информация об угрозах, предназначенная для руководителей.
• Тактический уровень: Техническая информация о методах атакующих для специалистов по кибербезопасности.
• Операционный уровень: Техническая информация о конкретных атаках или кампаниях определенного кластера активности.
• Технический уровень: Потоки индикаторов компрометации.

BI.ZONE Threat Intelligence получает уникальную информацию благодаря собственным командам киберразведки и реагирования на инциденты, сенсорам в защищаемых организациях и многим другим источникам.

Подробнее: BI.ZONE Threat Intelligence

Гарда Threat Intelligence — Платформа киберразведки

Гарда Threat Intelligence — это платформа, предназначенная для сбора, анализа, обогащения, упорядочивания и актуализации данных о киберугрозах. Сервис работает как с внутренними, так и с внешними источниками, обрабатывая информацию об индикаторах компрометации, тактиках, техниках и процедурах (TTP).

Ключевые возможности Гарда Threat Intelligence:

• Масштабируемость: Платформа обрабатывает до 60 000 новых индикаторов компрометации в сутки, обеспечивая актуальность данных.
• Разнообразие типов данных: Поддержка восьми типов данных, включая Botnet host, Spam, VPN, Proxy, TOR, DDoS, Phishing и Suspicious hosts.
• Гибкость форматов: Предоставление фидов в четырех форматах: JSON, TXT, CSV и SIG, что облегчает интеграцию с различными системами безопасности.
• Интеграция с системами безопасности: Сервис интегрируется с системами NTA, NDR, NGFW, EDR, WAF, SIEM, IPS/IDS, SOAR/IRP, antiDDoS, межсетевыми экранами и песочницами, повышая эффективность защиты.
• Обогащение данных: Собственная база Geo IP позволяет настраивать политики безопасности межсетевых экранов и проводить расследования инцидентов информационной безопасности.

Преимущества использования Гарда Threat Intelligence:

• Предотвращение атак: Сервис помогает предотвращать атаки на защищаемые активы, предоставляя актуальные данные об угрозах.
• Снижение нагрузки на сотрудников: Интеграция с системами безопасности снижает нагрузку на сотрудников мониторинговых центров ИБ.
• Актуальность данных: Ежедневная обработка большого объема данных обеспечивает своевременное обновление информации об угрозах.
• Гибкость подписки: Сервис предоставляется по подписке сроком от 12 месяцев и более, что позволяет адаптировать его под потребности организации.

Гарда Threat Intelligence предоставляет структурированные данные о киберугрозах на основании анализа большого количества источников, что позволяет компаниям прогнозировать использование злоумышленниками новых техник и тактик, предпринимать защитные меры сообразно характеру угрозы и степени риска.

Подробнее: Гарда Threat Intelligence