О потоках данных об угрозах Kaspersky Threat Data Feeds

В этом разделе описываются потоки данных об угрозах Kaspersky Threat Data Feeds, доступные для Kaspersky CyberTrace.

Общая информация о Kaspersky Threat Data Feeds

Поставщики средств безопасности базового уровня и организации используют проверенные временем и отлично зарекомендовавшие себя потоки данных об угрозах Kaspersky Threat Data Feeds для создания решений безопасности премиум-класса или для защиты собственного бизнеса.

Кибератаки происходят каждый день. В попытках преодоления средств защиты киберугрозы становятся все более сложными. Злоумышленники используют многоэтапные тщательно подготовленные атаки для нарушения работы организации и/или нанесения вреда клиентам.

«Лаборатория Касперского» поставляет регулярно обновляемые потоки данных об угрозах, содержащих информацию о киберугрозах, а также рисках и последствиях, связанных с ними, помогая более результативно противодействовать злоумышленникам и превентивно защищаться от кибератак.

Информация, содержащаяся в потоках данных об угрозах Kaspersky Threat Data Feeds

Потоки данных об угрозах Kaspersky Threat Data Feeds содержат тщательно проверенные данные об индикаторах угроз, получаемые Лабораторией Касперского из многочисленных источников по всему миру в режиме реального времени.

Каждый индикатор в каждом потоке данных об угрозах дополнен контекстом, позволяющим спланировать дальнейшие шаги по расследованию (названия угроз, отметки времени, геолокация, связанные IP-адреса, URL зараженных веб-ресурсов, хеши, популярность и т. д.). Контекстные данные помогают увидеть «общую картину».

Данные в совокупности с контекстом лучше отвечают на вопросы «кто», «что», «где» и «когда», что в конечном счете ведет к полной либо частичной идентификации злоумышленников и помогает принимать своевременные решения и меры, подходящие для конкретной организации.

Доступные группы потоков данных об угрозах

Потоки данных об угрозах Kaspersky Threat Data Feeds, доступные в Kaspersky CyberTrace, можно разделить на следующие основные группы:

• Коммерческие потоки данных об угрозах

  Эта группа содержит обычные коммерческие потоки данных об угрозах, к которым можно получить доступ с коммерческим сертификатом для доступа к потокам данных об угрозах от «Лаборатории Касперского». Потоки данных об угрозах из этой группы охватывают широкий спектр киберугроз.

• Потоки данных об угрозах «APT feeds»

  Потоки данных об угрозах APT feeds — это коммерческие потоки данных об угрозах, которые содержат информацию о киберугрозах, связанных со сложными целевыми атаками (APT).

• Демонстрационные потоки данных об угрозах

  Демонстрационные потоки данных об угрозах можно использовать для ознакомительных целей. Эти потоки данных об угрозах не требуют коммерческого сертификата для доступа к потокам данных об угрозах от «Лаборатории Касперского». Демонстрационные потоки данных об угрозах обеспечивают гораздо более низкий уровень обнаружения киберугроз по сравнению с соответствующими коммерческими версиями.

• Инкрементные потоки данных об угрозах

  Инкрементные потоки данных об угрозах предназначены для уменьшения объема данных, загружаемых с серверов обновлений «Лаборатории Касперского». Инкрементные потоки доступны для самых популярных потоков данных. Для них на серверах обновлений Лаборатории Касперского формируются snapshot (полная версия потока данных об угрозах) и инкрементная часть (изменения, применение которых к потоку данных об угрозах приводит его в актуальное состояние). Snapshot генерируется ежедневно, инкрементная часть – в соответствии с частотой обновления потока. Инкрементная часть содержит изменения, применение которых к потоку данных об угрозах приводит его в актуальное состояние. Инкрементная часть генерируется в соответствии с частотой обновления потока данных об угрозах.

Коммерческие потоки данных об угрозах

В этой группе доступны следующие потоки данных об угрозах:

• Botnet C&C URL Data Feed

  — набор масок URL-адресов и дополнительной контекстной информации о C&C-серверах ботнетов и связанных с ними вредоносных объектах (ботах).

• IP Reputation Data Feed

  — набор IP-адресов и дополнительной контекстной информации, относящихся к различным категориям подозрительных и вредоносных хостов.

• Malicious Hash Data Feed

  — набор хешей и дополнительной контекстной информации, относящихся к распространенным вредоносным файлам.

• Malicious URL Data Feed

  — набор масок URL-адресов и дополнительной контекстной информации о веб-ресурсах, с которых распространяется вредоносное программное обеспечение.

• Mobile Botnet С&C URL Data Feed

  — набор масок URL-адресов и дополнительной контекстной информации о C&C-серверах ботнетов и связанных с ними вредоносных объектах (ботах).

• Mobile Malicious Hash Data Feed

  Набор хешей файлов с контекстной информацией о вредоносных объектах, заражающих мобильные устройства Google, Android, и Apple iPhone.

• Phishing URL Data Feed

  — набор масок URL-адресов и дополнительной контекстной информации о фишинговых веб-ресурсах.

• Ransomware URL Data Feed

  — набор URL-адресов, доменов и хостов с контекстными данными, относящихся к веб-ресурсам, с которых распространяются программы-вымогатели.

• IoT URL Data Feed

  — набор масок URL-адресов и дополнительной контекстной информации о веб-ресурсах, с которых распространяется вредоносное программное обеспечение для IoT-устройств (IP-камер, умных пылесосов, чайников и пр.).

• ICS Hash Data Feed

  — набор хешей и дополнительной контекстной информации, относящихся к распространенным вредоносным файлам, представляющим угрозу для АСУ ТП.

Потоки данных об угрозах «APT feeds»

В этой группе доступны следующие потоки данных об угрозах:

• APT Hash Data Feed

  — набор хешей и дополнительной контекстной информации, относящихся к файлам, используемым участниками APT-группировок для проведения целевых атак.

• APT IP Data Feed

  — набор IP-адресов, принадлежащих инфраструктуре, которая используется в целевых атаках.

• APT URL Data Feed

  — набор доменов, принадлежащих инфраструктуре, которая используется в целевых атаках.

Демонстрационные потоки данных об угрозах

В этой группе доступны следующие потоки данных об угрозах:

• Demo Botnet C&C URL Data Feed

  — обеспечивает более низкий уровень обнаружения киберугроз по сравнению с Botnet C&C URL Data Feed.

• Demo IP Reputation Data Feed

  — обеспечивает более низкий уровень обнаружения киберугроз по сравнению с IP Reputation Data Feed.

• Demo Malicious Hash Data Feed

  — обеспечивает более низкий уровень обнаружения киберугроз по сравнению с Malicious Hash Data Feed.

Инкрементные потоки данных об угрозах

Инкрементные версии доступны для следующих потоков данных об угрозах:

• Botnet C&C URL Data Feed
• Phishing URL Data Feed
• Malicious URL Data Feed

Порядок сортировки записей в потоках данных об угрозах

Записи потока данных об угрозах сортируются следующим образом:

• Записи IP Reputation Data Feed отсортированы по убыванию степени опасности угрозы.
• Записи во всех остальных потоках данных об угрозах отсортированы по убыванию популярности.