В этом разделе описываются потоки данных об угрозах Kaspersky Threat Data Feeds, доступные для Kaspersky CyberTrace.
Общая информация о Kaspersky Threat Data Feeds
Поставщики средств безопасности базового уровня и организации используют проверенные временем и отлично зарекомендовавшие себя потоки данных об угрозах Kaspersky Threat Data Feeds для создания решений безопасности премиум-класса или для защиты собственного бизнеса.
Кибератаки происходят каждый день. В попытках преодоления средств защиты киберугрозы становятся все более сложными. Злоумышленники используют многоэтапные тщательно подготовленные атаки для нарушения работы организации и/или нанесения вреда клиентам.
«Лаборатория Касперского» поставляет регулярно обновляемые потоки данных об угрозах, содержащих информацию о киберугрозах, а также рисках и последствиях, связанных с ними, помогая более результативно противодействовать злоумышленникам и превентивно защищаться от кибератак.
Информация, содержащаяся в потоках данных об угрозах Kaspersky Threat Data Feeds
Потоки данных об угрозах Kaspersky Threat Data Feeds содержат тщательно проверенные данные об индикаторах угроз, получаемые Лабораторией Касперского из многочисленных источников по всему миру в режиме реального времени.
Каждый индикатор в каждом потоке данных об угрозах дополнен контекстом, позволяющим спланировать дальнейшие шаги по расследованию (названия угроз, отметки времени, геолокация, связанные IP-адреса, URL зараженных веб-ресурсов, хеши, популярность и т. д.). Контекстные данные помогают увидеть «общую картину».
Данные в совокупности с контекстом лучше отвечают на вопросы «кто», «что», «где» и «когда», что в конечном счете ведет к полной либо частичной идентификации злоумышленников и помогает принимать своевременные решения и меры, подходящие для конкретной организации.
Доступные группы потоков данных об угрозах
Потоки данных об угрозах Kaspersky Threat Data Feeds, доступные в Kaspersky CyberTrace, можно разделить на следующие основные группы:
Эта группа содержит обычные коммерческие потоки данных об угрозах, к которым можно получить доступ с коммерческим сертификатом для доступа к потокам данных об угрозах от «Лаборатории Касперского». Потоки данных об угрозах из этой группы охватывают широкий спектр киберугроз.
Потоки данных об угрозах APT feeds — это коммерческие потоки данных об угрозах, которые содержат информацию о киберугрозах, связанных со сложными целевыми атаками (APT).
Демонстрационные потоки данных об угрозах можно использовать для ознакомительных целей. Эти потоки данных об угрозах не требуют коммерческого сертификата для доступа к потокам данных об угрозах от «Лаборатории Касперского». Демонстрационные потоки данных об угрозах обеспечивают гораздо более низкий уровень обнаружения киберугроз по сравнению с соответствующими коммерческими версиями.
Инкрементные потоки данных об угрозах предназначены для уменьшения объема данных, загружаемых с серверов обновлений «Лаборатории Касперского». Инкрементные потоки доступны для самых популярных потоков данных. Для них на серверах обновлений Лаборатории Касперского формируются snapshot (полная версия потока данных об угрозах) и инкрементная часть (изменения, применение которых к потоку данных об угрозах приводит его в актуальное состояние). Snapshot генерируется ежедневно, инкрементная часть – в соответствии с частотой обновления потока. Инкрементная часть содержит изменения, применение которых к потоку данных об угрозах приводит его в актуальное состояние. Инкрементная часть генерируется в соответствии с частотой обновления потока данных об угрозах.
Коммерческие потоки данных об угрозах
В этой группе доступны следующие потоки данных об угрозах:
— набор масок URL-адресов и дополнительной контекстной информации о C&C-серверах ботнетов и связанных с ними вредоносных объектах (ботах).
— набор IP-адресов и дополнительной контекстной информации, относящихся к различным категориям подозрительных и вредоносных хостов.
— набор хешей и дополнительной контекстной информации, относящихся к распространенным вредоносным файлам.
— набор масок URL-адресов и дополнительной контекстной информации о веб-ресурсах, с которых распространяется вредоносное программное обеспечение.
— набор масок URL-адресов и дополнительной контекстной информации о C&C-серверах ботнетов и связанных с ними вредоносных объектах (ботах).
Набор хешей файлов с контекстной информацией о вредоносных объектах, заражающих мобильные устройства Google, Android, и Apple iPhone.
— набор масок URL-адресов и дополнительной контекстной информации о фишинговых веб-ресурсах.
— набор URL-адресов, доменов и хостов с контекстными данными, относящихся к веб-ресурсам, с которых распространяются программы-вымогатели.
— набор масок URL-адресов и дополнительной контекстной информации о веб-ресурсах, с которых распространяется вредоносное программное обеспечение для IoT-устройств (IP-камер, умных пылесосов, чайников и пр.).
— набор хешей и дополнительной контекстной информации, относящихся к распространенным вредоносным файлам, представляющим угрозу для АСУ ТП.
Потоки данных об угрозах «APT feeds»
В этой группе доступны следующие потоки данных об угрозах:
— набор хешей и дополнительной контекстной информации, относящихся к файлам, используемым участниками APT-группировок для проведения целевых атак.
— набор IP-адресов, принадлежащих инфраструктуре, которая используется в целевых атаках.
— набор доменов, принадлежащих инфраструктуре, которая используется в целевых атаках.
Демонстрационные потоки данных об угрозах
В этой группе доступны следующие потоки данных об угрозах:
— обеспечивает более низкий уровень обнаружения киберугроз по сравнению с Botnet C&C URL Data Feed.
— обеспечивает более низкий уровень обнаружения киберугроз по сравнению с IP Reputation Data Feed.
— обеспечивает более низкий уровень обнаружения киберугроз по сравнению с Malicious Hash Data Feed.
Инкрементные потоки данных об угрозах
Инкрементные версии доступны для следующих потоков данных об угрозах:
Порядок сортировки записей в потоках данных об угрозах
Записи потока данных об угрозах сортируются следующим образом: