卡巴斯基威脅情報(bào)增強(qiáng)威脅數(shù)據(jù)源、威脅分析和品牌保護(hù)功能

吳芳

最新版的卡巴斯基威脅情報(bào)服務(wù)包括一系列改進(jìn)的源，有助于更深入地了解網(wǎng)絡(luò)攻擊者的行為、戰(zhàn)術(shù)、技術(shù)和程序，不受地區(qū)或語(yǔ)言的限制。該服務(wù)還包含新的集成元素，允許在社交網(wǎng)絡(luò)和市場(chǎng)上保護(hù)公司的品牌。

網(wǎng)絡(luò)罪犯可以入侵公司網(wǎng)絡(luò)并確保不被發(fā)現(xiàn)，獲取敏感信息，從而導(dǎo)致公司財(cái)務(wù)損失、聲譽(yù)損害和長(zhǎng)期系統(tǒng)故障。根據(jù)卡巴斯基全球應(yīng)急響應(yīng)團(tuán)隊(duì)提供的統(tǒng)計(jì)數(shù)據(jù)，長(zhǎng)時(shí)間攻擊在被信息安全專(zhuān)家檢測(cè)到之前的平均持續(xù)時(shí)間為94.5天。為了保護(hù)企業(yè)免受此類(lèi)隱蔽威脅的影響，公司應(yīng)為其安全團(tuán)隊(duì)提供可靠的解決方案，幫助他們領(lǐng)先網(wǎng)絡(luò)罪犯一步，并在網(wǎng)絡(luò)罪犯造成任何危害之前消除網(wǎng)絡(luò)風(fēng)險(xiǎn)。

為了實(shí)現(xiàn)這一目標(biāo)，卡巴斯基更新了威脅情報(bào)，增加了新的威脅追蹤和事件調(diào)查功能。該解決方案以人類(lèi)和機(jī)器可讀的格式提供信息，在整個(gè)事件管理周期中為安全團(tuán)隊(duì)提供有意義的背景信息，促進(jìn)事件調(diào)查并為戰(zhàn)略決策提供信息。

高級(jí)威脅數(shù)據(jù)源，提供更好的保護(hù)

最新發(fā)布的卡巴斯基威脅情報(bào)包含有關(guān)犯罪軟件、云服務(wù)和開(kāi)源軟件威脅的新數(shù)據(jù)源。這些數(shù)據(jù)源將幫助客戶(hù)檢測(cè)或防止機(jī)密數(shù)據(jù)泄漏，并降低供應(yīng)鏈攻擊和漏洞攻擊或政治原因造成入侵的軟件組件的風(fēng)險(xiǎn)。它還引入了OVAL格式的工業(yè)漏洞數(shù)據(jù)源。它允許客戶(hù)通過(guò)使用流行的漏洞掃描程序，在網(wǎng)絡(luò)中的Windows主機(jī)上輕松找到易受攻擊的ICS軟件。

現(xiàn)有的數(shù)據(jù)源加入了更多有價(jià)值和可操作的信息，例如MITRE ATT&CK分類(lèi)中的新威脅類(lèi)別、攻擊戰(zhàn)術(shù)和技術(shù)，這將幫助客戶(hù)更快、更有效地識(shí)別對(duì)手，調(diào)查和應(yīng)對(duì)威脅。

通過(guò)卡巴斯基CyberTrace與安全信息和事件管理（SIEM）解決方案進(jìn)行集成，通過(guò)直接從電子郵件和PDF自動(dòng)解析感染跡象（IoC）而得到增強(qiáng)。此外，CyberTrace現(xiàn)在支持靈活的IOC導(dǎo)出格式，允許將過(guò)濾后的威脅數(shù)據(jù)無(wú)縫集成到第三方安全控制中。

為深入調(diào)查提供更好的可見(jiàn)性

卡巴斯基威脅情報(bào)將其覆蓋范圍擴(kuò)展到IP地址，并增加了新的類(lèi)別，如DDoS、入侵、暴力攻擊和網(wǎng)絡(luò)掃描器，因?yàn)榭蛻?hù)以前進(jìn)行了許多與這些類(lèi)型威脅相關(guān)的搜索。更新后的解決方案還支持篩選器，可幫助用戶(hù)指定自動(dòng)計(jì)劃搜索的條件源、部分和時(shí)間段。

圖形可視化工具“研究圖”也進(jìn)行了更新，以支持2個(gè)新節(jié)點(diǎn)：行為者和報(bào)告。用戶(hù)可以應(yīng)用它們來(lái)查找與IoC的額外關(guān)聯(lián)。該選項(xiàng)通過(guò)突出APT、犯罪軟件和工業(yè)報(bào)告中描述的高調(diào)攻擊的IoC以及行為者特征，加速威脅響應(yīng)和威脅追蹤活動(dòng)。

在社交網(wǎng)絡(luò)和市場(chǎng)上進(jìn)行可靠的品牌保護(hù)

通過(guò)向數(shù)字足跡情報(bào)服務(wù)添加新的通知功能，得到了威脅情報(bào)的品牌保護(hù)能力。現(xiàn)在，它支持有針對(duì)性的網(wǎng)絡(luò)釣魚(yú)、偽造的社交網(wǎng)絡(luò)賬戶(hù)或移動(dòng)市場(chǎng)中的應(yīng)用程序的實(shí)時(shí)警報(bào)。

它有助于跟蹤針對(duì)其品牌公司名稱(chēng)、在線(xiàn)服務(wù)或商標(biāo)的釣魚(yú)網(wǎng)站的出現(xiàn)，并提供有關(guān)網(wǎng)絡(luò)釣魚(yú)活動(dòng)的、準(zhǔn)確和詳細(xì)信息。更新后的解決方案還可以監(jiān)控和檢測(cè)在社交網(wǎng)絡(luò)上假冒客戶(hù)品牌和偽造組織資料的惡意移動(dòng)應(yīng)用程序。

改進(jìn)的威脅分析工具

更新后的卡巴斯基云研究沙盒支持安卓操作系統(tǒng)和MITRE ATT&CK映射，相關(guān)指標(biāo)將顯示在云沙盒的儀表盤(pán)上。它還提供對(duì)所有協(xié)議的網(wǎng)絡(luò)活動(dòng)，包括IP、UDP、TCP、DNS、HTTP（S）、SSL、FTP、POP3和IRC。用戶(hù)現(xiàn)在可以指定命令行和文件參數(shù)，以定制的方式啟動(dòng)模擬。

“二十多年來(lái)，卡巴斯基一直專(zhuān)注于威脅研究。憑借數(shù)PB的豐富威脅數(shù)據(jù)、先進(jìn)的機(jī)器學(xué)習(xí)技術(shù)和獨(dú)特的全球?qū)＜規(guī)欤覀冎铝τ跒榭蛻?hù)提供來(lái)自世界各地的最新威脅情報(bào)，保護(hù)他們抵御前所未見(jiàn)的網(wǎng)絡(luò)攻擊，”卡巴斯基技術(shù)解決方案產(chǎn)品管理負(fù)責(zé)人Anatoly Simonenko評(píng)論說(shuō)。

卡巴斯基威脅情報(bào)還具有以下功能：

卡巴斯基威脅情報(bào)是一項(xiàng)服務(wù)，提供有關(guān)網(wǎng)絡(luò)威脅的基于證據(jù)的知識(shí)、背景和可操作建議；

新的數(shù)據(jù)源包括云訪(fǎng)問(wèn)安全代理（CASB）數(shù)據(jù)源和開(kāi)源軟件威脅（OSST）數(shù)據(jù)源；

卡巴斯基CyberTrace是一個(gè)威脅情報(bào)平臺(tái)，可幫助分析師及時(shí)做出更明智的決策。它使用不斷更新的威脅數(shù)據(jù)源來(lái)及時(shí)檢測(cè)網(wǎng)絡(luò)威脅，對(duì)有關(guān)威脅的安全警報(bào)進(jìn)行優(yōu)先排序，并有效響應(yīng)信息安全事件。