OpenTIP, сезон-2: заходите чаще!

Год назад я уже обращался к самым продвинутым 5% аудитории, спецам по кибербезопасности, чтобы порадовать их новым инструментом нашей разработки, Open Threat Intelligence Portal (далее OpenTIP).

Инструменты анализа сложных угроз и просто подозрительных файлов, которыми пользуются в том числе знаменитые «киберниндзя» из GReAT, стали доступны всем желающим. И желающие пришли! Они проверяют тонны файлов ежемесячно.

За год жизнь этих 5% стала гораздо сложнее, потому что зловредный биовирус выгнал мир на «удаленку» и обеспечивать безопасность корпоративных сетей стало стократ хлопотней. Время, которого и раньше не хватало, стало драгоценным ресурсом. Поэтому самый частый запрос, который мы слышим от наших искушенных пользователей, прост и прямолинеен: «Дайте доступ по API и увеличьте лимиты!»

Сказано – сделано!

В новой версии OpenTIP появилась регистрация пользователей. Постоянным посетителям ее категорически советую, потому что после регистрации бóльший кусочек платного Threat Intelligence Portal покажется из сумрака.

Во-первых, отсылать артефакты на проверку можно будет по API — интегрируйте OpenTIP в свои процессы анализа тем способом, который считаете наиболее быстрым и удобным. Кроме неограниченного количества файлов проверять можно и прочие подозрительные артефакты, такие как URL, IP и хэши.

Во-вторых, когда речь идет об исполняемом файле, кроме вердиктов о том, что именно в нем кажется подозрительным, OpenTIP теперь выдает больше первичного сырья для анализа. Сюда относятся данные о структуре PE-файлов, а также извлеченные из них текстовые строки. В рамках квоты можно воспользоваться нашей Kaspersky Sandbox, которая вообще-то является платным самостоятельным продуктом.  Ну и наконец, в настройках появится кнопка «Private submission», которая позволит проверять артефакты, вообще никак не сообщая миру о том, что они были загружены на OpenTIP. Мы и раньше не позволяли никому «подписываться» на чужие файлы, но теперь в публичную историю можно не отправлять никакие проверенные на портале индикаторы.

Впрочем, даже без регистрации улучшения Open Threat Intelligence Portal будут заметны невооруженным глазом.

Более удобный веб-интерфейс сэкономит вам время и приятно порадует глаз :), а результаты анализа будут гораздо информативнее.

Ко второй версии мы подключили дополнительные технологии поведенческого анализа. Напомню, что портал выдает не просто вердикт «заражен/чист», как в традиционной endpoint-защите, а детальный разбор подозрительных свойств, на основании которых живой белковый аналитик принимает решения о том, копаться ли в вопросе дальше.  Для подозрительных URL будет также доступна категоризация по опасным свойствам.

Ну а для тех, кому нужно еще больше функций, у Threat Intelligence Portal есть и платная версия, и она куда богаче. В том числе за счет детальных отчетов наших аналитиков о найденных киберугрозах.

В общем, хватить читать описания — проще один раз сходить и попробовать! Просто закинуть на OpenTIP подозрительный файл самостоятельно. Для тех, кто не подписан на сервисы Threat Intelligence, портал будет незаменим (нет-нет, я помню про VirusTotal, но об этом — в прошлом посте). Но максимальную пользу из OpenTIP извлекут те, кто будут пользоваться им не от случая к случаю, а встроят его в повседневный процесс анализа кибергадости.