- infoCOM.UZ - http://infocom.uz -

TIP: смотрите глубже!

TIP решает две главные проблемы современного перегруженного кибербезопасника. А именно: «как выбрать, какой из сотни подозрительных файлов ковырять первым» и «окей, мой антивирус говорит, что файл чистый, – что делать дальше?».

[1]

В отличие от «классики в чёрном» — продуктов класса Endpoint Security [2], которые выдают чёткий вердикт вида «Чисто/Опасно», инструменты аналитиков, зашитые в Threat Intelligence Portal [3], дают детальную информацию о том, насколько файл подозрителен и в каких конкретно аспектах. Кстати, не только файл. Можно закидывать и просто хеш, IP-адрес или URL. Все эти артефакты будут быстро пропесочены нашим облаком [4] и разложены на блюдечке – что найдено плохого, насколько зараза распространена, на какие известные угрозы это отдалённо похожекакие инструменты использовались при создании, и так далее. Исполняемые файлы также запускаются в нашей запатентованной [5] облачной «песочнице» – и через пару минут вы узнаёте, чем это кончилось.

[6]

[7]

Вот здесь, я уверен, что те 5%, для кого этот пост, кричат: «Да это же Virustotal!».

Да – и нет.

С одной стороны, мы преследуем одну и ту же цель – дать специалистам дополнительные инструменты для анализа конкретного инцидента и принятия информированного решения.  С другой, наш подход совершенно иной.

Virustotal зародился как простой мультисканер – ты загружаешь туда файл, он прогоняет его несколькими десятками сигнатурных файловых сканеров.  Из-за этого, кстати, всех вендоров, включая нас, часто ругают «вы не детектите файл Х» – но правильней сказать, мы не детектим Х традиционным файловым сканером. Потом, правда, выясняется, что мы успешно детектим его другими инструментами. Но на Virustotal вы этого просто не увидите. Конечно, на VT появились дополнительные инструменты, но в целом упор у них всё тот же – на широту охвата движков, работающих по наиболее консервативной технологии, изобретённой 30+ лет назад.

Мы же, как эксперты по глубокому анализу сложных угроз, стремимся дать эту самую глубину всему сообществу специалистов. Единственный «движок», который анализирует артефакты в Threat Intelligence Portal, – это «движок» компании имени меня.  Но он – лучший в мире [8]. Он комбинирует десятки продвинутых технологий анализа (тыц [5]тыц [9]тыц [10], и так далее [11]), и на Threat Intelligence Portal можно заглянуть этой махине «под капот». Разумеется, по сравнению с кусочком нашего же движка на Virustotal уровень детекта будет существенно выше.

В дополнение к этому, файлы можно анализировать на Virustotal – второе, третье и четвёртое мнение, безусловно, полезны, если вы умеете их взвешивать. Кстати, если мы когда-нибудь решим расширить Threat Intelligence Portal информацией в партнёрстве с другими вендорами, строгость «фейс-контроля» будет запредельной.

Ещё одним отличием Threat Intelligence Portal от Virustotal является… как бы это назвать… ограниченное распространение информации. Файлы, загруженные на Virustotal, доступны широкому кругу подписчиков, а у нас никаких подписчиков на чужие файлы нет. «Кто знает – тот поймёт». ©

Кстати, о подписке.

У Threat Intelligence Portal есть и платная версия [12], и она куда богаче. В том числе за счёт детальных отчётов наших аналитиков о найденных киберугрозах. И если оказалось, что загруженный файл, например, похож на известную финансовую малвару, то самая свежая и детальная информация о том, как разработавшие ее кибернегодяи атакуют жертвы, какие инструменты используют, и так далее, доступна именно в полной версии сервиса.

Источник [13]