پرتال اطلاعاتی تهدید: باید عمیق تر پیش برویم

من به خوبی می فهمم که برای 95٪ از شما این پست به هیچ وجه فایده ای ندارد. اما برای 5 درصد باقیمانده ، این پتانسیل را دارد که هفته کاری شما (و بسیاری از آخر هفته های کاری) را بسیار ساده کنید. به عبارت دیگر ، ما خبرهای خوبی در مورد مزایای امنیت سایبری – تیمهای SOC ، محققان مستقل و تکنیکهای کنجکاو داریم: ابزاری که داربستهای ما و بچه های GReAT به طور روزانه از آنها استفاده می کنند تا همچنان در مورد بهترین تحقیقات درباره سایبری در جهان فریب دهند. در دسترس همه شما ، و رایگان در آن ، با نسخه lite از پرتال اطلاعات تهدید ما. گاهی اوقات TIP به اختصار خوانده می شود ، و بعد از اینکه در اینجا درباره آن چند کلمه گفتم ، نشانک فوری اجباری خواهد بود!

پرتال اطلاعات تهدید ، دو مشکل اصلی را برای متخصص امنیت سایبری امروزی حل می کند. اول: "کدام یک از این چند صد پرونده مشکوک را باید اول انتخاب کنم؟"؛ دوم: "خوب ، آنتی ویروس من می گوید که پرونده پاک است – بعد چیست؟"

برخلاف "کلاسیک" – محصولات کلاس امنیتی Endpoint ، که خلاصه ای از خطرناک را به شما می دهند. حکم ، ابزار تحلیلی که در پرتال اطلاعاتی تهدید وجود دارد ، اطلاعات مفصلی درباره چگونگی مشکوک پرونده و در جنبه های خاص چگونه می دهد. و نه تنها پرونده. برای اندازه گیری مناسب هش ها ، آدرس های IP و آدرس های اینترنتی قابل استفاده هستند. همه این موارد به سرعت توسط ابر ما تجزیه و تحلیل می شوند و نتایج حاصل از هرکدام بر روی یک بشقاب نقره ای: چه چیزی در مورد آنها بد است (اگر وجود داشته باشد) ، چه عفونت کمیاب است ، چه تهدیدهای شناخته شده ای آنها حتی از راه دور شباهت دارند ، از چه ابزاری برای ایجاد آن استفاده شده است ، و غیره. مهمتر از آن ، پرونده های اجرایی در جعبه ابری ثبت شده ما ثبت شده اند ، و نتایج آن در عرض دو دقیقه در دسترس است.

در این مرحله ، می توانم صدای فریاد 5٪ را بشنوم: "این فقط VirusTotal است!"

بله – و نه.

از یک طرف ، هدف همان است – به متخصصان ابزارهای اضافی برای تجزیه و تحلیل یک حادثه خاص و تصمیم گیری آگاهانه ارائه دهید. از سوی دیگر ، رویکرد ما کاملاً متفاوت است.

VirusTotal به عنوان یک multiscanner ساده تصور می شد – موتورهای آنتی ویروس مختلفی را جمع می کند و آنها را با پرونده های آپلود شده توسط کاربر تغذیه می کند. به همین دلیل ، این اتهام "شما پرونده X را ردیابی نمی کنید" در همه فروشندگان از جمله ما سرکوب می شود. اما دقیق تر است که بگوییم ما X را با یک اسکنر پرونده سنتی تشخیص نمی دهیم. همانطور که بعداً تبدیل می شود ، ما با موفقیت آن را با استفاده از ابزارهای دیگر تشخیص می دهیم. اما در مورد VirusTotal شما آن را نمی بینید. مطمئناً ، ابزارهای اضافی در VirusTotal ظاهر شده است ، اما تمرکز کلی بر روی پوشش گسترده موتورهایی که از یک فناوری بسیار محافظه کار استفاده می کنند ، که 30 سال پیش به وجود آمده است ، باقی مانده است.

به عنوان کارشناسان در ژرف عمیق تجزیه و تحلیل تهدیدات پیچیده ، ما تلاش می کنیم این عمق بسیار را در دسترس کل جامعه متخصص قرار دهیم. تنها پیشرانه ای که در آثار پورتال اطلاعات هوایی Threat Intelligence را تجزیه و تحلیل می کند متعلق به شرکتی است که نام من را دارد. و این اتفاق می افتد که بهترین جهان است. این ده ها فن آوری پیشرفته تجزیه و تحلیل (به اینجا ، اینجا ، اینجا ، و غیره مراجعه می کند) و ترکیبی از آنها به شما امکان می دهد نگاهی به نتایج دقیق بیندیشید البته ، در مقایسه با بخشی از موتور ما که در VirusTotal ساکن است ، TIP سطح تشخیص بسیار متفاوتی را به شما می دهد.

علاوه بر آن ، ممکن است اسکن پرونده ها با VirusTotal نیز مفید باشد – یک دوم ، سوم و نظر چهارم هرگز چیز بدی نیست. اما دانستن چگونگی وزن مناسب این عقاید بسیار حیاتی است. اتفاقاً ، اگر ما تصمیم بگیریم كه اطلاعات اطلاعاتی Threat Intelligence را با اطلاعات مربوط به مشاركت با سایر فروشندگان گسترش دهیم ، دقت و كوشش ما بیش از حد سختگیرانه خواهد بود.

تفاوت دیگر بین پرتال اطلاعات Threat Intelligence و VirusTotal این است … نحوه توصیف آن … – توزیع محدود اطلاعات . پرونده های بارگذاری شده در VirusTotal در دسترس طیف گسترده ای از مشترکین قرار دارد ، در حالی که با درگاه اطلاعات ما Threat Intelligent هیچ مشترکی با دسترسی به پرونده های افراد دیگر وجود ندارد.

درباره موضوع اشتراک ها:

نسخه پرداخت شده ای از تهدید وجود دارد. پورتال اطلاعاتی ، که بسیار ثروتمندتر است – بخشی از آن به دلیل گزارش های مفصل در مورد اختلالهای کشف شده در فضای مجازی که توسط تحلیلگران ارشد ما نوشته شده است و به آنها دسترسی می دهد. و اگر معلوم شود که یک پرونده آپلود شده شبیه به یک بدافزار مالی شناخته شده است ، تازه ترین و دقیق ترین اطلاعات در مورد چگونگی حمله توسعه دهندگان سایبری وی به قربانیان ، چه ابزاری که آنها استفاده می کنند و مواردی از این دست ، درست در دسترس است. نسخه کامل خدمات.