Прекрасно понимаю, что для 95% из вас этот текст совершенно бесполезен, но остальным 5% он может сильно упростить рабочие будни, рабочие выходные и рабочие праздничные дни. Иными словами, у нас есть прекрасная новость для спецов по кибербезопасности – сотрудников SOC, независимых исследователей и пытливых айтишников: инструменты, которыми ежедневно пользуются наши «дятлы» и GReAT, чтобы выдавать на гора лучший в мире ресёрч по киберугрозам, теперь доступен всем вам, причём бесплатно. Это лайт-версия нашего Threat Intelligence Portal, (сокращённо TIP) – я про неё здесь кратко расскажу, и вы не сможете не добавить его в закладки прямо сейчас.
TIP решает две главные проблемы современного перегруженного кибербезопасника. А именно: «как выбрать, какой из сотни подозрительных файлов ковырять первым» и «окей, мой антивирус говорит, что файл чистый, – что делать дальше?».
В отличие от «классики в чёрном» — продуктов класса Endpoint Security, которые выдают чёткий вердикт вида «Чисто/Опасно», инструменты аналитиков, зашитые в Threat Intelligence Portal, дают детальную информацию о том, насколько файл подозрителен и в каких конкретно аспектах. Кстати, не только файл. Можно закидывать и просто хеш, IP-адрес или URL. Все эти артефакты будут быстро пропесочены нашим облаком и разложены на блюдечке – что найдено плохого, насколько зараза распространена, на какие известные угрозы это отдалённо похоже, какие инструменты использовались при создании, и так далее. Исполняемые файлы также запускаются в нашей запатентованной облачной «песочнице» – и через пару минут вы узнаёте, чем это кончилось.
Вот здесь, я уверен, что те 5%, для кого этот пост, кричат: «Да это же Virustotal!».
Да – и нет.
С одной стороны, мы преследуем одну и ту же цель – дать специалистам дополнительные инструменты для анализа конкретного инцидента и принятия информированного решения. С другой, наш подход совершенно иной.
Virustotal зародился как простой мультисканер – ты загружаешь туда файл, он прогоняет его несколькими десятками сигнатурных файловых сканеров. Из-за этого, кстати, всех вендоров, включая нас, часто ругают «вы не детектите файл Х» – но правильней сказать, мы не детектим Х традиционным файловым сканером. Потом, правда, выясняется, что мы успешно детектим его другими инструментами. Но на Virustotal вы этого просто не увидите. Конечно, на VT появились дополнительные инструменты, но в целом упор у них всё тот же – на широту охвата движков, работающих по наиболее консервативной технологии, изобретённой 30+ лет назад.
Мы же, как эксперты по глубокому анализу сложных угроз, стремимся дать эту самую глубину всему сообществу специалистов. Единственный «движок», который анализирует артефакты в Threat Intelligence Portal, – это «движок» компании имени меня. Но он – лучший в мире. Он комбинирует десятки продвинутых технологий анализа (тыц, тыц, тыц, и так далее), и на Threat Intelligence Portal можно заглянуть этой махине «под капот». Разумеется, по сравнению с кусочком нашего же движка на Virustotal уровень детекта будет существенно выше.
В дополнение к этому, файлы можно анализировать на Virustotal – второе, третье и четвёртое мнение, безусловно, полезны, если вы умеете их взвешивать. Кстати, если мы когда-нибудь решим расширить Threat Intelligence Portal информацией в партнёрстве с другими вендорами, строгость «фейс-контроля» будет запредельной.
Ещё одним отличием Threat Intelligence Portal от Virustotal является… как бы это назвать… ограниченное распространение информации. Файлы, загруженные на Virustotal, доступны широкому кругу подписчиков, а у нас никаких подписчиков на чужие файлы нет. «Кто знает – тот поймёт». ©
Кстати, о подписке.
У Threat Intelligence Portal есть и платная версия, и она куда богаче. В том числе за счёт детальных отчётов наших аналитиков о найденных киберугрозах. И если оказалось, что загруженный файл, например, похож на известную финансовую малвару, то самая свежая и детальная информация о том, как разработавшие ее кибернегодяи атакуют жертвы, какие инструменты используют, и так далее, доступна именно в полной версии сервиса.