向來以防毒軟體產品聞名遐邇的Kaspersky Lab公司,近期積極進軍網路威脅情報(CTI)應用的領域,他們在9月宣布推出安全資料餵送服務Threat Data Feeds,並且能整合主要的安全事件管理(SIEM)平臺,像是Splunk、IBM QRadar、HPE ArcSight。

目前,Kaspersky在Threat Data Feeds服務裡面,整理了涵蓋個人電腦、手機與平板電腦等平臺的惡意程式活動特徵,以及具有不良信譽的IP位址。而基於這種安全資料串流提供機制,企業可以將威脅情報的管理,提升到新的層次,並且適當地調整現行偵測安全威脅的演算法,重新定義SOC處理事件的優先順序,並且加快突發事件的應變速度。

細部來看,Kaspersky Threat Data Feeds提供的資料類型,可分為4大類,涵蓋他們所記錄的事件時戳(TimeStamp)、遭到惡意程式感染最嚴重的國家、相關URL網址牽涉到的IP位址、網域名稱。

Threat Data Feeds首先提供的是惡意程式的Hash值,這套服務會將定期更新相關情報,並持續送到企業手上。

其次,是惡意網址,例如,遭受到網頁掛馬(Drive-by Downloads)行為的網址,曾經發起網路釣魚行為的網址,以及與殭屍網路活動有關的網址——命令與控制(Command & Control,C&C)伺服器網址。有了這樣的資料,企業對於極度隱匿、潛藏已久的網路攻擊行為,將有機會在第一時間辨識出它們的定期活動。

Threat Data Feeds提供的第三種資料,則是行動威脅的情報。Kaspersky特別提供了一套專門提供電信業使用的資料包,裡面記錄了最近他們發現的各種行動裝置惡意程式。

此外,Threat Data Feeds也涵蓋到IP位址信譽度的資料,這是今年8月以後才開始提供的。這些情報的來源,主要是Kaspersky持續收集與更新的全球C&C伺服器清單,以及網路攻擊來源,透過這份信譽資料庫,企業可以找出正在進行的資料外洩行為。

產品資訊

Kaspersky Threat Data Feeds
●原廠:Kaspersky(02)7736-7376
●建議售價:廠商未提供
●支援安全事件管理系統平臺:Splunk(Kaspersky Threat Feed App for Splunk)、IBM QRadar、HPE ArcSight
●提供威脅情報類型:惡意網址、釣魚網址、殭屍網路C&C網址、惡意檔案Hash值、SMS簡訊木馬程式Hash值、行動殭屍網路網址

 

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商】


熱門新聞

Advertisement