Группа компаний «Гарда» обновила сервис обогащения данных о киберугрозах. «Гарда Threat Intelligence 2.1» позволяет заказчикам определять принадлежность IP-адреса к определенному городу, региону или стране, помогает обнаружить угрозы и быстро принять решение о блокировке потенциального вредоноса.
Новая версия сервиса обогащения данных о киберугрозах «Гарда Threat Intelligence» (Гарда TI) дополнена актуальной базой GeoIP, которая ежемесячно обновляется производителем. Технология применяется в случаях, когда необходимо формировать правила на основе географической принадлежности IP-адресов: при настройке шлюзов безопасности и файерволов, для защиты веб-сервисов. Интерфейс новой версии сервиса позволяет выгружать IP-адреса в форматах .csv и .mmdb.
Обновления «Гарда TI» позволяют заказчикам принимать участие в развитии сервиса, сообщая производителю об актуальных для них угрозах. Информация об обнаруженной клиентом угрозе поступает в аналитический центр группы компаний и после верификации попадает в общую базу фидов.
«Совместное участие заказчиков и вендора в обнаружении и анализе угроз дает возможность быстрее выявлять паттерны и характеристики атак и способствует более быстрому и точному реагированию на угрозы. Заказчик получает более эффективный инструмент, продукт – развивается. Обогащение сервиса новыми данными усиливает его и позволяет другим клиентам группы компаний повышать эффективность систем информационной безопасности», – говорит Илья Селезнев, руководитель продукта «Гарда Threat Intelligence».
«Гарда TI 2.1» обеспечивает заказчиков готовыми сигнатурами за счет доступности правил YARA и Suricata. «Эти правила регулярно обновляются и учитывают актуальность фидов. Кроме того, эксперты нашего аналитического центра готовы помочь в создании индивидуальных правил для интеграции в средства защиты информации заказчика», – дополняет Илья Селезнев.
В новой версии «Гарда Threat Intelligence» реализована технология поиска индикаторов вредоносных фреймворков на основе их активности и используемых ими артефактов, в том числе JARM-отпечатков. Это позволяет поддерживать релевантность базы индикаторов вредоносных фреймворков, например, Cobalt Strike. «Уникальность фидов «Гарда TI» в том, что они учитывают особенности атак на российские ресурсы. Другие источники, которые включают более широкий контекст, также используются, но акцент при формировании базы фидов сделан именно на отечественной специфике», – подчеркивает Илья Селезнев.
В версию сервиса «Гарда Threat Intelligence 2.1» добавлен новый тип индикатора – значения хэш функций md5 и sha256. Готовые сигнатуры дают возможность обнаруживать неочевидную вредоносную активность.