Потоки данных об угрозах «Лаборатории Касперского»
Попытки взломать защиту предпринимаются все чаще, сложность и скрытность киберугроз растет. Злоумышленники используют многоступенчатые атаки, кампании и индивидуальные тактики, методы и процедуры, чтобы обойти средства контроля безопасности и нарушить работу бизнеса. «Лаборатория Касперского» предлагает постоянно обновляемые потоки данных об угрозах для обнаружения вредоносных действий в корпоративной сети.
Данные об угрозах собираются из множества надежных источников, включая Kaspersky Security Network (KSN), наши собственные поисковые роботы, наш сервис мониторинга ботнет-угроз (круглосуточное слежение за ботнетами и их мишенями) и ловушки для спама.
Мы также получаем информацию от исследовательских групп и партнеров и используем исторические данные о вредоносных объектах, собранные «Лабораторией Касперского» почти за два десятилетия работы.
Вся собранная информация тщательно проверяется и корректируется в режиме реального времени при помощи различных методов предварительной обработки: статистических критериев, инструментов экспертных систем «Лаборатории Касперского» («песочницы», средства эвристического анализа, определения сходства и профилирования моделей поведения), проверки аналитиками и сопоставления со списками разрешенного программного обеспечения. В результате потоки данных об угрозах содержат тщательно проверенные данные индикаторов угроз, полученные из реального мира в режиме реального времени.
Получить дополнительную информацию о потоках данных об угрозах вы можете на официальном сайте «Лаборатории Касперского» или в документе.
Смотрите видео ниже, чтобы узнать, как улучшить кибербезопасность вашей компании с помощью потоков данных об угрозах «Лаборатории Касперского».
Какие потоки предоставляет «Лаборатория Касперского»?
Демонстрационные потоки
- Demo IP Reputation Data Feed — демоверсия IP Reputation Data Feed.
- Demo Botnet C&C URL Data Feed — демоверсия Botnet C&C URL Data Feed.
- Demo Malicious Hash Data Feed — демоверсия Malicious Hash Data Feed.
- Demo APT Hash Data Feed — демоверсия APT Hash Data Feed.
- Demo APT IP Data Feed — демоверсия APT IP Data Feed.
- Demo APT URL Data Feed — демоверсия APT URL Data Feed.
- Demo Suricata Rules Data Feed — демоверсия Suricata Rules Data Feed.
Коммерческие потоки
- Malicious URL Data Feed — набор масок URL-адресов и дополнительной контекстной информации о веб-ресурсах, с которых распространяется вредоносное программное обеспечение. Поток предназначен для интеграции в средства контроля безопасности (например, SIEM-решения) с помощью Kaspersky CyberTrace, либо в межсетевые экраны нового поколения или безопасные почтовые и веб-шлюзы посредством интеграции потока в подсистему анализа трафика или в виде динамически обновляемого списка URL-адресов для блокировки.
- Malicious URL Exact Data Feed — набор URL-адресов, хостов, доменов и дополнительной контекстной информации о веб-ресурсах, с которых распространяется вредоносное программное обеспечение. Поток предназначен для прямой интеграции в средства контроля безопасности (например, SIEM-решения, межсетевые экраны или безопасные почтовые и веб-шлюзы) и Threat Intelligence платформы, если использование масок и Kaspersky CyberTrace по каким-либо причинам невозможно.
- Ransomware URL Data Feed — набор URL-адресов, доменов и хостов с контекстными данными, относящихся к веб-ресурсам, с которых распространяются программы-вымогатели. Поток предназначен для прямой интеграции в средства контроля безопасности (например, SIEM-решения) либо интеграции с помощью Kaspersky CyberTrace, а также для интеграции в межсетевые экраны нового поколения или безопасные почтовые и веб-шлюзы посредством интеграции потока в подсистему анализа трафика или в виде динамически обновляемого списка URL-адресов для блокировки.
- Phishing URL Data Feed — набор масок URL-адресов и дополнительной контекстной информации о фишинговых веб-ресурсах. Поток предназначен для интеграции в средства контроля безопасности (например, SIEM-решения) с помощью Kaspersky CyberTrace, либо в межсетевые экраны нового поколения или безопасные почтовые и веб-шлюзы посредством интеграции потока в подсистему анализа трафика или в виде динамически обновляемого списка URL-адресов для блокировки.
- Phishing URL Exact Data Feed — набор URL-адресов, хостов, доменов и дополнительной контекстной информации о фишинговых веб-ресурсах. Поток предназначен для прямой интеграции в средства контроля безопасности (например, SIEM-решения, межсетевые экраны или безопасные почтовые и веб-шлюзы) и Threat Intelligence платформы, если использование масок и Kaspersky CyberTrace по каким-либо причинам невозможно.
- Botnet C&C URL Data Feed — набор масок URL-адресов и дополнительной контекстной информации о C&C-серверах ботнетов и связанных с ними вредоносных объектах (ботах). Поток предназначен для интеграции в средства контроля безопасности (например, SIEM-решения) с помощью Kaspersky CyberTrace, либо в межсетевые экраны нового поколения или безопасные почтовые и веб-шлюзы посредством интеграции потока в подсистему анализа трафика или в виде динамически обновляемого списка URL-адресов для блокировки.
- Botnet C&C URL Exact Data Feed — набор URL-адресов, хостов, доменов и дополнительной контекстной информации о C&C-серверах ботнетов и связанных с ними вредоносных объектах (ботах). Поток предназначен для прямой интеграции в средства контроля безопасности (например, SIEM-решения, межсетевые экраны или безопасные почтовые и веб-шлюзы) и Threat Intelligence платформы, если использование масок и Kaspersky CyberTrace по каким-либо причинам невозможно.
- Mobile Botnet С&C URL Data Feed — набор масок URL-адресов и дополнительной контекстной информации о С&C серверах мобильных ботнетов и связанных с ними вредоносных объектов (ботов). Поток предназначен для интеграции в средства контроля безопасности (например, SIEM-решения) с помощью Kaspersky CyberTrace, либо в межсетевые экраны нового поколения или безопасные почтовые и веб-шлюзы посредством интеграции потока в подсистему анализа трафика.
- Malicious Hash Data Feed — набор хешей и дополнительной контекстной информации, относящихся к распространенным вредоносным файлам. Поток предназначен для интеграции в средства контроля безопасности (например, SIEM-решения) с помощью Kaspersky CyberTrace, либо в межсетевые экраны нового поколения или безопасные почтовые и веб-шлюзы посредством интеграции потока в подсистему анализа трафика.
- Mobile Malicious Hash Data Feed — набор хешей и дополнительной контекстной информации, относящихся к распространенным вредоносным файлам для мобильных операционных систем (Android и iOS). Поток предназначен для интеграции в средства контроля безопасности (например, SIEM-решения) с помощью Kaspersky CyberTrace, либо в межсетевые экраны нового поколения или безопасные почтовые и веб-шлюзы посредством интеграции потока в подсистему анализа трафика.
- IP Reputation Data Feed — набор IP-адресов и дополнительной контекстной информации, относящихся к различным категориям подозрительных и вредоносных хостов. Поток предназначен для интеграции в средства контроля безопасности (например, SIEM-решения) с помощью Kaspersky CyberTrace, либо в межсетевые экраны нового поколения или безопасные почтовые и веб-шлюзы посредством интеграции потока в подсистему анализа трафика либо в виде динамически обновляемого списка IP адресов для блокировки.
- IoT URL Data Feed — набор масок URL-адресов и дополнительной контекстной информации о веб-ресурсах, с которых распространяется вредоносное программное обеспечение для IoT-устройств (IP-камер, умных пылесосов, чайников и пр.). Поток предназначен для интеграции в средства контроля безопасности (например, SIEM-решения) с помощью Kaspersky CyberTrace, либо в межсетевые экраны нового поколения или безопасные почтовые и веб-шлюзы посредством интеграции потока в подсистему анализа трафика.
- Vulnerability Data Feed — набор уязвимостей корпоративного программного обеспечения с дополнительной контекстной информацией (хеши уязвимых приложений или эксплойтов, временные метки, CVE, исправления и пр.). Поток предназначен для интеграции в Threat Intelligence платформы и SIEM-системы с целью поиска уязвимого программного обеспечения посредством сопоставления данных из потока с данными реестра используемого программного обеспечения (например, список активов в SIEM-системе).
- ICS Vulnerability Data Feed — набор уязвимостей корпоративного программного обеспечения и программного обеспечения АСУ ТП с дополнительной контекстной информацией (хеши уязвимых приложений или эксплойтов, временные метки, CVE, исправления и пр.). Поток предназначен для интеграции в Threat Intelligence платформы c целью агрегации информации об известных и релевантных для организации уязвимостях. Также поток может быть использован для интеграции в SIEM-системы с целью поиска уязвимого программного обеспечения посредством сопоставления данных из потока с данными реестра используемого программного обеспечения (например, список активов в SIEM-системе).
- ICS Vulnerability Data Feed в формате OVAL — набор правил для поиска уязвимостей программного обеспечения АСУ ТП. Поток предназначен для сканирования файлов в операционных системах Microsoft Windows с помощью популярных сканеров уязвимостей программного обеспечения с целью обнаружения уязвимого программного обеспечения АСУ ТП.
- ICS Hash Data Feed — набор хешей и дополнительной контекстной информации, относящихся к распространенным вредоносным файлам, представляющим угрозу для АСУ ТП. Поток предназначен для интеграции в средства контроля безопасности (например, SIEM-решения) с помощью Kaspersky CyberTrace, либо в межсетевые экраны нового поколения или безопасные почтовые и веб-шлюзы посредством интеграции потока в подсистему анализа трафика.
- pDNS Data Feed — набор записей, содержащих результаты DNS преобразований для доменов в соответствующие IP-адреса за период времени. Поток предназначен для расследования киберинцидентов.
- Suricata Rules Data Feed — правила обнаружения различных категорий угроз в сетевом трафике, таких как APT, Botnet С&C, Ransomware и др. Поток предназначен для интеграции в IDS решения.
- Cloud Access Security Broker (CASB) Data Feed — набор доменов и хостов, а также дополнительной контекстной информации, относящихся к популярным облачным сервисам. Поток предназначен для построения CASB решения, в частности, для настройки политик доступа к облачным сервисам.
- APT Hash Data Feed — набор хешей и дополнительной контекстной информации, относящихся к файлам, используемым участниками APT-группировок для проведения целевых атак. Поток предназначен для расследования киберинцидентов, а также для интеграции в средства контроля безопасности (например, SIEM-решения) с помощью Kaspersky CyberTrace.
- APT IP Data Feed — набор IP-адресов, принадлежащих инфраструктуре, которая используется в целевых атаках. Поток предназначен для расследования киберинцидентов, а также для интеграции в средства контроля безопасности (например, SIEM-решения) с помощью Kaspersky CyberTrace.
- APT URL Data Feed — набор доменов, принадлежащих инфраструктуре, которая используется в целевых атаках. Поток предназначен для расследования киберинцидентов, а также для интеграции в средства контроля безопасности (например, SIEM-решения) с помощью Kaspersky CyberTrace.
- APT Yara Data Feed — набор YARA правил для идентификации файлов, используемых в целевых атаках. Поток предназначен для проактивного поиска признаков целевых атак в локальной сети организации, а также для расследования киберинцидентов.
- Open Source Software Threats Data Feed — список названий, версий и дополнительной контекстной информации о программных пакетах с открытым исходным кодом (open source), содержащих уязвимости, вредоносную функциональность либо политически мотивированную компрометацию функциональности (блокировку в определенных регионах, политические лозунги). Поток предназначен для компонентного анализа разрабатываемого программного обеспечения в рамках процесса безопасной разработки (DevSecOps) с целью защиты программного продукта от атак на цепочку поставок (supply chain attack), раннего обнаружения и устранения уязвимостей, а также предотвращения использования пакетов, содержащих политически ориентированные недекларированные возможности (НДВ).
- Crimeware Hash Data Feed — набор хешей и дополнительной контекстной информации, относящихся к файлам, используемым в мошеннических кампаниях, описанных в Crimeware отчетах «Лаборатории Касперского». Поток предназначен для расследования киберинцидентов.
- Crimeware URL Data Feed — набор доменов и дополнительной контекстной информации, используемых в мошеннических кампаниях, описанных в Crimeware отчетах «Лаборатории Касперского». Поток предназначен для расследования киберинцидентов.
- Crimeware Yara Data Feed — набор YARA правил, которые идентифицируют файлы, используемые в мошеннических кампаниях, описанных в Crimeware отчетах «Лаборатории Касперского». Поток предназначен для поиска признаков мошеннических кампаний в локальной сети организации и расследования киберинцидентов.
Что содержится в потоках?
Записи в потоках данных об угрозах, предоставляемых «Лабораторией Касперского», содержат контекстные данные, которые позволяют быстро подтвердить и приоритизировать угрозы:
- имена угроз;
- установленные IP-адреса и доменные имена вредоносных веб-ресурсов;
- хеши вредоносных файлов;
- идентификаторы уязвимых и скомпрометированных объектов;
- метки времени;
- географическое положение;
- популярность и прочее.
Эти данные вы можете использовать, чтобы составить общее представление o событии или провести дополнительные проверки. Они помогут найти ответы на вопросы «Кто? Что? Где? Когда?» и выявить источники атак, чтобы принимать своевременные решения и защищать компанию от угроз любой сложности.
Как часто обновляются потоки?
- Malicious URL Data Feed в формате JSON — каждые 20 минут.
- Malicious URL Exact Data Feed в формате JSON — каждые 10 минут.
- Ransomware URL Data Feed в формате JSON — каждые 20 минут.
- Phishing URL Data Feed в формате JSON — каждые 20 минут.
- Phishing URL Exact Data Feed в формате JSON — каждые 30 минут.
- Botnet C&C URL Data Feed в формате JSON — каждые 60 минут.
- Demo Botnet C&C URL Data Feed — каждые 24 часа.
- Botnet C&C URL Exact Data Feed в формате JSON — каждые 60 минут.
- Mobile Botnet C&C URL Data Feed в формате JSON — каждые 60 минут.
- Malicious Hash Data Feed в формате JSON — каждые 20 минут.
- Demo Malicious Hash Data Feed — каждые 24 часа.
- Mobile Malicious Hash Data Feed в формате JSON — каждые 20 минут.
- IP Reputation Data Feed в формате JSON — каждые 20 минут.
- Demo IP Reputation Data Feed — каждые 24 часа.
- IoT URL Data Feed в формате JSON — каждые 60 минут.
- APT Hash Data Feed в формате JSON — каждые 60 минут.
- APT IP Data Feed в формате JSON — каждые 60 минут.
- APT URL Data Feed в формате JSON — каждые 60 минут.
- Crimeware Hash Data Feed в формате JSON — каждые 3 часа, но новые данные появляются в зависимости от обновлений отчетов Crimeware.
- Crimeware URL Data Feed — каждые 3 часа, но новые данные появляются в зависимости от обновлений отчетов Crimeware.
- Vulnerability Data Feed в формате JSON — каждые 6 часов.
- pDNS Data Feed в формате JSON — каждые 60 минут.
- ICS Hash Data Feed в формате JSON — каждые 60 минут.
- ICS Vulnerability Data Feed в формате JSON — каждые 60 минут.
- Cloud Access Security Broker (CASB) Data Feed — каждые 6 часов.
- Open Source Software Threats Data Feed — каждые 4 часа.
- Malicious URL Differential Data Feed в формате JSON — каждые 20 минут для diff, каждые 24 часа для snapshot.
- Phishing URL Differential Data Feed в формате JSON — каждые 20 минут для diff, каждые 24 часа для snapshot.
- Botnet C&C Differential URL Data Feed в формате JSON — каждые 60 минут для diff, каждые 24 часа для snapshot.
- META Malicious URL Data Feed в формате JSON — каждые 60 минут.
- META Phishing URL Data Feed в формате JSON — каждые 60 минут.
- META Botnet C&C URL Data Feed в формате JSON — каждые 60 минут.
- META Malicious Hash Data Feed в формате JSON — каждые 60 минут.
- META Mobile Malicious Hash Data Feed в формате JSON — каждые 60 минут.
- Suricata Rules Data Feed — каждые 24 часа.
- Demo Suricata Rules Data Feed — каждые 24 часа.
- APT Yara Data Feed — каждые 60 минут.
- Crimeware YARA Data Feed — каждые 3 часа, но новые данные появляются в зависимости от обновлений отчетов Crimeware.
Как будут доставлены потоки?
Вы можете загрузить потоки данных по протоколу HTTPS. Для этого вам необходимо использовать утилиту автоматизации скачивания потоков и сертификат «Лаборатории Касперского». Чтобы их получить, отправьте запрос на intelligence@kaspersky.com.
Наиболее популярные потоки также доступны по протоколу TAXII с аутентификацией по токену. Чтобы получить токен и инструкции, отправьте запрос на intelligence@kaspersky.com.
При необходимости возможно использование другого протокола доставки потоков.
В каком формате будут выложены потоки?
Мы выкладываем потоки данных в формате JSON для Enterprise и текста для OEM.
Также мы предоставляем утилиту, которая может конвертировать потоки из формата JSON в форматы STIX, OpenIOC, Snort, CSV и Plain-text. Конвертация в другой формат может быть добавлена по запросу.