پورتال هوش تهدید: باید عمیق‌تر شد

۱۳۹۸/۸/۸امنیت اطلاعات

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ کاملاً می‌دانیم که این پست شاید به کارِ 95 درصدِ شماها نیاید اما برای آن 5 درصد باقیمانده می‌تواند توانایی این را داشته باشد تا هفته‌ی کاری‌شان آسان‌تر از قبل شود. به بیانی دیگر، ما برای حرفه‌ای‌های حوزه‌ی امنیت سایبری –تیم‌های SOC، محققین مستقل و تکنولوژی‌بازها- خبرهای خوبی داریم: ابزارهایی که بچه‌های ما در GReAT روزانه برای انجام بهترین تحقیقات روی تهدیدات سایبری در جهان استفاده می‌کنند (با نسخه‌ی ارزان‌تری از پورتال هوش تهدید[1] که برخی‌اوقات به اختصار بدان TIP می‌گویند) اکنون کاملاً رایگان در اختیار شماست.

پورتال هوش تهدید دو مشکل اساسی و کنونیِ متخصصین حوزه‌ی امنیت سایبری را حل می‌کند: اول اینکه، «کدامیک از این چند صد فایل مشکوک را باید اول از همه انتخاب کنم؟» و دوم اینکه، «بسیارخوب، آنتی‌ویروسِ من می‌گوید فایل پاک است- مرحله‌ی بعدی چیست؟».

 

 

 

برخلاف ابزارهای سنتی، ابزارهای تحلیلیِ تعبیه‌شده داخل TIP اطلاعات دقیق و پرجزئیاتی از مشکوک بودن فایل و ابعادی که می‌توان این فایل را مشکوک دانست ارائه می‌دهند. و این فقط به فایل‌ها محدود نمی‌شود؛ هش‌ها، آدرس‌های آی‌پی و یوآرال‌ها نیز می‌توانند در این طبقه‌بندی قرار گیرند. تمام این آیتم‌ها را می‌توان با کلودِ ما مورد تحلیل قرار داد: بدی‌هایشان در چیست (اگر اساساً بدی‌ای وجود داشته باشد)، این آلودگی تا چه حد نادر است، آن‌ها حتی از راه دور نیز به چه تهدیدهای شناخته‌شده‌ای شباهت دارند، چه ابزارهایی برای ساختشان مورد استفاده قرار گرفته است و غیره. افزون بر این، فایل‌های قابل‌اجرا در سندباکس کلودِ پتنت‌شده‌ی ما اجرا می‌شوند (با نتایجی که ظرف چند دقیقه حی و حاضر خواهد بود).

تا اینجای کار آن 5 درصد دارند جیغ می‌کشند و می‌گویند: «اوه ویروس‌توتال[2]

 

 

 

 

هم بله هم نه.

از طرفی، هدف هر دو یکی است: دادن ابزارهای بیشتر به متخصصین برای تحلیل رخداد‌های سایبری و اتخاذ تصمیماتی آگاهانه. از طرفی دیگر، رویکرد ما کاملاً با رویکرد این وبگاه متفاوت است.

ویروس‌توتال همیشه اسکنری چندگانه‌ و ساده تلقی می‌شد- موتورهای مختلف آنتی‌ویروس را جمع‌آوری کرده و با فایل‌های آپلودشده توسط کاربر آن‌ها را تغذیه می‌کند. دقیق‌تر بگوییم، ما با اسکنر فایل سنتی فلان فایل را شناسایی نمی‌کنیم؛ بلکه ما این کار را به طور موفقیت‌آمیزی با سایر ابزارها انجام می‌دهیم. اما شما آن را در ویروس‌توتال مشاهده نمی‌کنید؛ برای همین خیلی وقت‌ها به ما این اتهام زده می‌شود که «شما فلان فایل را شناسایی نکردید». مطمئناً، ابزارهای اضافی برای ویروس‌توتال تعبیه شده است اما تمرکز اصلی آن همچنان روی پوشش‌دهی وسیعِ موتورهاییست که از فناوری بسیار محتاطانه‌ای استفاده می‌کنند (فناوری‌ای که بیش از 30 سال پیش ساخته شده است).

ما در مقام متخصصینی که روی تهدیدهای پیچیده تحلیل‌های عمیقی انجام می‌دهند، سعی داریم این عمق تحلیل را در اختیار کل جامعه‌ی متخصصین بگذاریم. تنها موتوری که مصنوعات پورتال هوش تهدید را تحلیل می‌کند در جهان بهترین است. این موتور، انواع فناوری‌های پیشرفته‌ی تحلیل را با هم ادغام می‌کند و بعد به شما اجازه می‌دهد تا به نتایج دقیق و پرجزئیاتِ آن نگاهی بیاندازید. البته که TIP در مقایسه با آن بخش از موتور ما که در ویروس‌توتال است، سطح شناسایی کاملاً متفاوتی را ارائه می‌دهد.

علاوه بر این، شاید اسکنِ فایل‌ها با ویروس‌توتال هم خالی از لطف نباشد اما باید از درستیِ سنجش این نظرات مطمئن شد. تازه، اگر تصمیم بگیریم پورتال هوش تهدید خود را اطلاعات سایر فروشندگان بسط دهیم، دقت‌مان بالاتر هم خواهد رفت و سختگیرانه‌تر نیز خواهد شد.

تفاوت دیگر بین پورتال هوش تهدید و ویروس‌توتال، نحوه‌ی شرح آن است- توزیع محدود اطلاعات. فایل‌های آپلودشده در ویروس‌توتال در اختیار طیف وسیعی از مشترکین قرار می‌گیرد؛ این درحالیست که پورتال هوش تهدید ما هیچ مشترکی نمی‌تواند به اطلاعات فایل سایر افراد دسترسی داشته باشد.

بحث مشترکین شد این را هم اضافه کنیم که:

پورتال هوش تهدید، نسخه‌ی پولی هم دارد که کمی بیشتر روی آن کار شده است- تا حد زیادی به این دلیل که گزارشات مربوط به تهدیدهای سایبریِ شناسایی‌شده که تحلیلگران ارشد ما آن‌ها را نوشته‌اند برای کاربران قابل‌دسترسی خواهد بود. و اگر چنین شد که فرضاً یک فایل آپلودشده به بدافزار مالیِ معروفی شباهت دارد، تازه‌ترین و دقیق‌ترین اطلاعات از نحوه‌ی حمله‌ی مهاجمین به قربانیان و اینکه از چه ابزارهایی استفاده می‌کنند و غیره بالافاصله ارائه داده می‌شود. 

 

[1]  Threat Intelligence Portal

[2] VirusTotal

 

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.