О потоках данных об угрозах Kaspersky Threat Data Feeds

В этом разделе описываются потоки данных об угрозах Kaspersky Threat Data Feeds, доступные для Kaspersky CyberTrace.

Общая информация о Kaspersky Threat Data Feeds

Поставщики средств безопасности базового уровня и организации используют проверенные временем и отлично зарекомендовавшие себя потоки данных об угрозах Kaspersky Threat Data Feeds для создания решений безопасности премиум-класса или для защиты собственного бизнеса.

Кибератаки происходят каждый день. В попытках преодоления средств защиты киберугрозы становятся все более сложными. Злоумышленники используют многоэтапные тщательно подготовленные атаки для нарушения работы организации и/или нанесения вреда клиентам.

«Лаборатория Касперского» предоставляет регулярно обновляемые потоки данных об угрозах, содержащих информацию о киберугрозах, а также рисках и последствиях, связанных с ними, помогая более результативно противодействовать злоумышленникам и превентивно защищаться от кибератак.

Информация, содержащаяся в потоках данных об угрозах Kaspersky Threat Data Feeds

Потоки данных об угрозах Kaspersky Threat Data Feeds содержат тщательно проверенные данные об индикаторах угроз, получаемые Лабораторией Касперского из многочисленных источников по всему миру в режиме реального времени.

Каждый индикатор в каждом потоке данных об угрозах дополнен контекстом, позволяющим спланировать дальнейшие шаги по расследованию (названия угроз, отметки времени, геолокация, связанные IP-адреса, URL зараженных веб-ресурсов, хеши, популярность и т. д.). Контекстные данные помогают увидеть «общую картину».

Данные в совокупности с контекстом лучше отвечают на вопросы «кто», «что», «где» и «когда», что в конечном счете ведет к полной либо частичной идентификации злоумышленников и помогает принимать своевременные решения и меры, подходящие для конкретной организации.

Доступные группы потоков данных об угрозах

Потоки данных об угрозах Kaspersky Threat Data Feeds, доступные в Kaspersky CyberTrace, можно разделить на следующие основные группы:

• Коммерческие потоки данных об угрозах

  Эта группа содержит обычные коммерческие потоки данных об угрозах, к которым можно получить доступ с коммерческим сертификатом для доступа к потокам данных об угрозах от «Лаборатории Касперского». Потоки данных об угрозах из этой группы охватывают широкий спектр киберугроз.

• Потоки данных об угрозах «APT feeds»

  Потоки данных об угрозах APT feeds — это коммерческие потоки данных об угрозах, которые содержат информацию о киберугрозах, связанных со сложными целевыми атаками (APT).

• Демонстрационные потоки данных об угрозах

  Демонстрационные потоки данных об угрозах можно использовать для ознакомительных целей. Эти потоки данных об угрозах не требуют коммерческого сертификата для доступа к потокам данных об угрозах от «Лаборатории Касперского». Демонстрационные потоки данных об угрозах обеспечивают гораздо более низкий уровень обнаружения киберугроз по сравнению с соответствующими коммерческими версиями.

• Инкрементные потоки данных об угрозах

  Инкрементные потоки данных об угрозах предназначены для уменьшения объема данных, загружаемых с серверов обновлений «Лаборатории Касперского». Инкрементные потоки доступны для самых популярных потоков данных. Для них на серверах обновлений «Лаборатории Касперского» формируются срез данных (полная версия потока данных об угрозах) и инкрементная часть (изменения, применение которых к потоку данных об угрозах приводит его в актуальное состояние). Срез данных генерируется ежедневно, инкрементная часть – в соответствии с частотой обновления потока. Инкрементная часть содержит изменения, применение которых к потоку данных об угрозах приводит его в актуальное состояние. Инкрементная часть генерируется в соответствии с частотой обновления потока данных об угрозах.

Коммерческие потоки данных об угрозах

В этой группе доступны следующие потоки данных об угрозах:

• Botnet C&C URL Data Feed

  Этот поток данных об угрозах содержит URL-адреса и маски для обнаружения серверов управления и контроля (C&C) и веб-ресурсов, связанных с ботнетами.

• IP Reputation Data Feed

  Этот поток данных об угрозах содержит подозрительные и вредоносные IP-адреса.

• Malicious Hash Data Feed

  Этот поток данных об угрозах содержит хеши вредоносных объектов для обнаружения наиболее опасных, распространенных и новых вредоносных программ, распространяемых в реальном мире.

• Malicious URL Data Feed

  Этот поток данных об угрозах содержит вредоносные URL-адреса и маски для обнаружения вредоносных веб-ресурсов.

• Mobile Botnet C&C URL Data Feed

  Этот поток данных об угрозах содержит URL-адреса и маски для обнаружения серверов управления и контроля (C&C) и веб-ресурсов, связанных с мобильными ботнетами.

• Mobile Malicious Hash Data Feed

  Этот поток данных об угрозах содержит хеши вредоносных объектов, нацеленных на мобильные платформы.

• Phishing URL Data Feed

  Этот поток данных об угрозах содержит фишинговые URL-адреса и маски для обнаружения фишинговых веб-ресурсов.

• Ransomware URL Data Feed

  Этот поток данных об угрозах содержит URL-адреса и маски, к которым пытаются подключиться программы-вымогатели.

• IoT URL Data Feed

  Этот поток данных об угрозах содержит маски URL-адресов, которые использовались для загрузки вредоносных программ, заражающих устройства с поддержкой интернета вещей (IoT), например IP-камеры, маршрутизаторы и посудомоечные машины.

• ICS Hash Data Feed

  Этот поток данных об угрозах содержит набор хешей файлов с соответствующим контекстом, охватывающий вредоносные объекты, которые представляют угрозу для инфраструктуры АСУ ТП.

Потоки данных об угрозах «APT feeds»

В этой группе доступны следующие потоки данных об угрозах:

• APT Hash Data Feed

  Этот поток данных об угрозах содержит хеши, охватывающие вредоносные артефакты, которые используются участниками APT-группировок для проведения сложных целевых атак.

• APT IP Data Feed

  Этот поток данных об угрозах содержит IP-адреса, входившие в инфраструктуру, которая использовалась в сложных целевых атаках.

• APT URL Data Feed

  Этот поток данных об угрозах содержит набор доменов, входивших в инфраструктуру, которая использовалась в сложных целевых атаках.

Демонстрационные потоки данных об угрозах

В этой группе доступны следующие потоки данных об угрозах:

• Demo Botnet C&C URL Data Feed

  Обеспечивает более низкий уровень обнаружения киберугроз по сравнению с Botnet C&C URL Data Feed.

• Demo IP Reputation Data Feed

  Обеспечивает более низкий уровень обнаружения киберугроз по сравнению с IP Reputation Data Feed.

• Demo Malicious Hash Data Feed

  Обеспечивает более низкий уровень обнаружения киберугроз по сравнению с Malicious Hash Data Feed.

Инкрементные потоки данных об угрозах

Инкрементные версии доступны для следующих потоков данных об угрозах:

• Botnet C&C URL Data Feed
• Phishing URL Data Feed
• Malicious URL Data Feed

Порядок сортировки записей в потоках данных об угрозах

Записи потока данных об угрозах сортируются следующим образом:

• Записи IP Reputation Data Feed отсортированы по убыванию степени опасности угрозы.
• Записи во всех остальных потоках данных об угрозах отсортированы по убыванию популярности.