В этом разделе описываются потоки данных об угрозах Kaspersky Threat Data Feeds, доступные для Kaspersky CyberTrace.
Общая информация о Kaspersky Threat Data Feeds
Поставщики средств безопасности базового уровня и организации используют проверенные временем и отлично зарекомендовавшие себя потоки данных об угрозах Kaspersky Threat Data Feeds для создания решений безопасности премиум-класса или для защиты собственного бизнеса.
Кибератаки происходят каждый день. В попытках преодоления средств защиты киберугрозы становятся все более сложными. Злоумышленники используют многоэтапные тщательно подготовленные атаки для нарушения работы организации и/или нанесения вреда клиентам.
«Лаборатория Касперского» предоставляет регулярно обновляемые потоки данных об угрозах, содержащих информацию о киберугрозах, а также рисках и последствиях, связанных с ними, помогая более результативно противодействовать злоумышленникам и превентивно защищаться от кибератак.
Информация, содержащаяся в потоках данных об угрозах Kaspersky Threat Data Feeds
Потоки данных об угрозах Kaspersky Threat Data Feeds содержат тщательно проверенные данные об индикаторах угроз, получаемые Лабораторией Касперского из многочисленных источников по всему миру в режиме реального времени.
Каждый индикатор в каждом потоке данных об угрозах дополнен контекстом, позволяющим спланировать дальнейшие шаги по расследованию (названия угроз, отметки времени, геолокация, связанные IP-адреса, URL зараженных веб-ресурсов, хеши, популярность и т. д.). Контекстные данные помогают увидеть «общую картину».
Данные в совокупности с контекстом лучше отвечают на вопросы «кто», «что», «где» и «когда», что в конечном счете ведет к полной либо частичной идентификации злоумышленников и помогает принимать своевременные решения и меры, подходящие для конкретной организации.
Доступные группы потоков данных об угрозах
Потоки данных об угрозах Kaspersky Threat Data Feeds, доступные в Kaspersky CyberTrace, можно разделить на следующие основные группы:
Эта группа содержит обычные коммерческие потоки данных об угрозах, к которым можно получить доступ с коммерческим сертификатом для доступа к потокам данных об угрозах от «Лаборатории Касперского». Потоки данных об угрозах из этой группы охватывают широкий спектр киберугроз.
Потоки данных об угрозах APT feeds — это коммерческие потоки данных об угрозах, которые содержат информацию о киберугрозах, связанных со сложными целевыми атаками (APT).
Демонстрационные потоки данных об угрозах можно использовать для ознакомительных целей. Эти потоки данных об угрозах не требуют коммерческого сертификата для доступа к потокам данных об угрозах от «Лаборатории Касперского». Демонстрационные потоки данных об угрозах обеспечивают гораздо более низкий уровень обнаружения киберугроз по сравнению с соответствующими коммерческими версиями.
Инкрементные потоки данных об угрозах предназначены для уменьшения объема данных, загружаемых с серверов обновлений «Лаборатории Касперского». Инкрементные потоки доступны для самых популярных потоков данных. Для них на серверах обновлений Лаборатории Касперского формируются срез данных (полная версия потока данных об угрозах) и инкрементная часть (изменения, применение которых к потоку данных об угрозах приводит его в актуальное состояние). Срез данных генерируется ежедневно, инкрементная часть – в соответствии с частотой обновления потока. Инкрементная часть содержит изменения, применение которых к потоку данных об угрозах приводит его в актуальное состояние. Инкрементная часть генерируется в соответствии с частотой обновления потока данных об угрозах.
Коммерческие потоки данных об угрозах
В этой группе доступны следующие потоки данных об угрозах:
Этот поток данных об угрозах содержит URL-адреса и маски для обнаружения серверов управления и контроля (C&C) и веб-ресурсов, связанных с ботнетами.
Этот поток данных содержит IP-адреса, с которых исходит вредоносная активность или которые могут быть использованы для вредоносных действий.
Этот поток данных содержит хеши вредоносных объектов для обнаружения наиболее опасных, распространенных и новых вредоносных программ.
Этот поток данных об угрозах содержит вредоносные URL-адреса и маски для обнаружения вредоносных веб-ресурсов.
Этот поток данных об угрозах содержит URL-адреса и маски для обнаружения серверов управления и контроля (C&C) и веб-ресурсов, связанных с мобильными ботнетами.
Этот поток данных об угрозах содержит хеши вредоносных объектов, нацеленных на мобильные платформы.
Этот поток данных содержит фишинговые URL-адреса и маски для обнаружения фишинговых веб-ресурсов.
Этот поток данных об угрозах содержит URL-адреса и маски, к которым пытаются подключиться программы-вымогатели.
Этот поток данных содержит маски URL, которые ранее использовались для загрузки вредоносных объектов, заражающих устройства IoT (Интернет вещей), такие как IP-камеры, маршрутизаторы и другая техника.
Этот поток данных содержит хеши файлов вредоносных объектов, которые используются для атак на инфраструктуру систем управления технологическими процессами (АСУ ТП).
Потоки данных об угрозах «APT feeds»
В этой группе доступны следующие потоки данных об угрозах:
Этот поток данных содержит хеши вредоносных объектов, которые используются участниками APT-группировок для проведения сложных целевых атак.
Этот канал содержит IP-адреса, используемые в кампаниях сложных целевых атак (Advanced Persistent Threat; APT).
Этот канал содержит домены, используемые в кампаниях сложных целевых атак (Advanced Persistent Threat; APT).
Демонстрационные потоки данных об угрозах
В этой группе доступны следующие потоки данных об угрозах:
Обеспечивает более низкий уровень обнаружения киберугроз по сравнению с Botnet C&C URL Data Feed.
Обеспечивает более низкий уровень обнаружения киберугроз по сравнению с IP Reputation Data Feed.
Обеспечивает более низкий уровень обнаружения киберугроз по сравнению с Malicious Hash Data Feed.
Инкрементные потоки данных об угрозах
Инкрементные версии доступны для следующих потоков данных об угрозах:
Порядок сортировки записей в потоках данных об угрозах
Записи потока данных об угрозах сортируются следующим образом: