Группа компаний «Гарда» обновила сервис обогащения данных о киберугрозах.
«Гарда Threat Intelligence 2.1» позволяет определять принадлежность IP-адреса к определенному городу, региону или стране, помогает обнаружить угрозы и быстро принять решение о блокировке потенциального вредоноса.
Новая версия сервиса обогащения данных о киберугрозах «Гарда Threat Intelligence» (Гарда TI) дополнена актуальной базой GeoIP, которая ежемесячно обновляется производителем. Технология применяется в случаях, когда необходимо формировать правила на основе географической принадлежности IP-адресов: при настройке шлюзов безопасности и файерволов, для защиты веб-сервисов. Интерфейс новой версии сервиса позволяет выгружать IP-адреса в форматах .csv и .mmdb.
Обновления «Гарда TI» позволяют компаниям принимать участие в развитии сервиса, сообщая производителю об актуальных для них угрозах. Информация об обнаруженной клиентом угрозе поступает в аналитический центр группы компаний и после верификации попадает в общую базу фидов.
«Совместное участие пользователей и вендора в обнаружении и анализе угроз дает возможность быстрее выявлять паттерны и характеристики атак и способствует более быстрому и точному реагированию на угрозы. Компания получает более эффективный инструмент, продукт – развивается. Обогащение сервиса новыми данными усиливает его и позволяет другим клиентам группы компаний повышать эффективность систем информационной безопасности», – говорит Илья Селезнев, руководитель продукта «Гарда Threat Intelligence».
«Гарда TI 2.1» обеспечивает готовыми сигнатурами за счет доступности правил YARA и Suricata. «Эти правила регулярно обновляются и учитывают актуальность фидов. Кроме того, эксперты нашего аналитического центра готовы помочь в создании индивидуальных правил для интеграции в средства защиты информации», – дополняет Илья Селезнев.
В новой версии «Гарда Threat Intelligence» реализована технология поиска индикаторов вредоносных фреймворков на основе их активности и используемых ими артефактов, в том числе JARM-отпечатков. Это позволяет поддерживать релевантность базы индикаторов вредоносных фреймворков, например, Cobalt Strike.
«Уникальность фидов «Гарда TI» в том, что они учитывают особенности атак на российские ресурсы. Другие источники, которые включают более широкий контекст, также используются, но акцент при формировании базы фидов сделан именно на отечественной специфике», – подчеркивает Илья Селезнев.
В версию сервиса «Гарда Threat Intelligence 2.1» добавлен новый тип индикатора – значения хэш функций md5 и sha256. Готовые сигнатуры дают возможность обнаруживать неочевидную вредоносную активность.
О компании
Гарда – производитель семейства продуктов для защиты данных и сетевой безопасности. Решения «Гарда» применяют в крупнейших государственных организациях и корпорациях, используют для защиты 50% всего российского интернета от DDoS-атак и безопасности цифровых сервисов и мероприятий федерального масштаба. Продуктовый портфель группы компаний построен на основе технологий собственной разработки, которые не требуют сторонних лицензий, включены в Единый реестр российского ПО и сертифицированы ФСТЭК.