Аналитические отчеты об APT-Угрозах - Threat Intelligence Portal Касперского

Аналитические отчеты об APT-Угрозах — это специализированный сервис платформы Kaspersky Threat Intelligence Portal, разработанный АО "Лаборатория Касперского", предоставляющий детальные аналитические данные о целевых кибератаках, проводимых APT-группировками (Advanced Persistent Threat).

История разработки и статус:

• Компания разработчик - АО "Лаборатория Касперского"
• ИНН - 7713140469
• Разработчик отчетов - Центр глобальных исследований и анализа угроз (GReAT)
• Разработка - служебная разработка штатными сотрудниками в соответствии с трудовыми договорами
• Система разработки - полностью автоматизирована, не требует бумажной документации
• Регуляция - не требует сертификата системы сертификации средств защиты информации (не предназначено для аттестованных контуров)
• Тип ПО - средства антивирусной защиты и аналитики угроз
• Модель доступа - часть платформы Threat Intelligence Portal (доступ при приобретении одного из решений платформы)

Основное назначение:

• Информирование о APT-угрозах - сведения об актуальных рисках
• Анализ целевых атак - детальное разбор кибератак
• Предоставление IOCs - индикаторы компрометации для защиты
• Техническая информация - данные для специалистов ИБ и разработчиков
• Стратегическая информация - данные для руководителей ИБ

Охват исследований:

• Количество отслеживаемых группировок - более 200 APT-групп
• Географический охват - 85 стран мира
• Частота обновления - постоянный мониторинг в реальном времени
• Команда экспертов - сотни аналитиков и исследователей безопасности
• Ежедневное выявление - 411 тысяч вредоносных файлов в день

Содержание аналитических отчетов:

• Описание вредоносной кампании - информация об атаке
  - Название кампании
  - Временной период активности
  - Цели и задачи атаки
  - Общая оценка угрозы
• Жизненный цикл атаки - этапы проведения
  - Начальный компромисс (Initial Access)
  - Установка (Installation)
  - Выполнение команд (Command & Control)
  - Кража данных (Data Exfiltration)
  - Закрытие доступа
• Затронутые отрасли - сектора экономики
  - Финансовый сектор
  - Энергетика
  - Телекоммуникации
  - Государственные учреждения
  - Другие критически важные инфраструктуры
• Затронутые регионы - географические данные
  - Страны и регионы мира
  - Плотность атак по регионам
  - Приоритетные цели
• Вероятная киберпреступная группировка - атрибуция
  - Названия групп (например, APT28, APT29 и т.д.)
  - Известные синонимы
  - Мотивация (кибершпионаж, финансовая выгода, политические цели)
  - История группы
• Тактика и техники (TTP) - методы атак
  - MITRE ATT&CK фреймворк
  - Используемые техники (фишинг, водяные знаки, эксплуатация уязвимостей)
  - Инструменты и методы
  - Процедуры выполнения
• Подробный технический анализ - детали для специалистов
  - Анализ вредоносного кода (malware analysis)
  - Реверс-инжиниринг
  - Анализ поведения (behavioral analysis)
  - Сетевые артефакты
• Выводы и рекомендации - рекомендации по защите
  - Меры по противодействию
  - Методы обнаружения
  - Стратегия защиты
  - Уроки и выводы

Индикаторы компрометации (IOCs):

• Общее количество IOCs - более 12,000 индикаторов
• Типы IOCs:
  - Хеши файлов (MD5, SHA-1, SHA-256)
  - IP-адреса (серверы C&C, серверы кампаний)
  - Доменные имена (C&C домены)
  - URL-адреса (вредоносные ссылки)
  - Email-адреса
  - Регулярные выражения
• YARA-правила:
  - Более 700 YARA-правил
  - Для обнаружения вредоноса
  - Для поиска в памяти
  - Для анализа файлов
• Применение IOCs:
  - Использование в SIEM системах
  - Использование в IDS/IPS
  - Использование в антивирусах
  - Использование в фаерволах
  - Автоматизация правил

Платформа Kaspersky Threat Intelligence Portal:

• Назначение - единая точка доступа к сервисам аналитики угроз
• Компоненты платформы:
  - Аналитические отчеты об APT-угрозах (APT Intelligence Reporting)
  - Аналитические отчеты об угрозах в финансовой индустрии (Financial Threat Intelligence Reporting)
  - Аналитические отчеты об индустриальных угрозах (Industrial Threat Intelligence Reporting)
  - Аналитические отчеты об угрозах для конкретной организации (Digital Footprint Intelligence)
  - Потоки данных об угрозах (Threat Data Feeds)
  - Ландшафт киберугроз (Threat Landscape)
• Интерфейс доступа - веб-портал и API
• Технология Threat Landscape - новая функция для определения актуальных угроз
  - Фильтрация по географии и отрасли
  - Фильтрация по платформам (ОС)
  - Анализ по методологии MITRE ATT&CK
  - Данные в реальном времени

Источники данных:

• Собственные системы анализа:
  - Kaspersky Sandbox (анализ в песочнице)
  - Kaspersky Threat Attribution Engine (атрибуция угроз)
  - Системы обнаружения вредоноса
• Глобальная сетка датчиков:
  - Сенсоры мировой сети Касперского
  - Наблюдения из 85 стран
  - Данные от партнеров
• Экспертный анализ:
  - Ручной анализ команды GReAT
  - Анализ кода специалистами
  - Проверка на надежность
• Машинное обучение:
  - Автоматические системы анализа
  - Обработка больших объемов данных
  - Выявление паттернов и связей

Применение отчетов:

• Для специалистов ИБ и сотрудников SOC:
  - Знание о наиболее опасных угрозах
  - Информация для приоритизации инцидентов
  - Выявление активных угроз в сетях
  - Быстрое реагирование на инциденты
• Для разработчиков систем защиты:
  - IOC и YARA-правила для обнаружения
  - Информация о новых малваре
  - Данные о тактике атакующих
  - Рекомендации по защите
• Для руководителей ИБ и директоров:
  - Стратегические данные об угрозах
  - Оценка рисков для организации
  - Информация для бюджетирования ИБ
  - Обоснование инвестиций в защиту
• Для органов власти и спецслужб:
  - Информация об атакующих группировках
  - Данные об уровне угроз
  - Помощь в расследованиях
  - Координация защиты

Преимущества отчетов:

• Актуальность информации - мониторинг в реальном времени
• Надежность данных - проверка экспертами
• Полнота информации - от стратегических до тактических данных
• Универсальность IOCs - применимы в большинство систем защиты
• Глобальный охват - информация о мировых угрозах
• Профессиональная команда - сотни экспертов GReAT
• Интеграция с платформой - синергия с другими сервисами

Альтернативные названия:

• Аналитические отчеты об APT-Угрозах
• Аналитические отчеты об APT-Угрозах. Основные результаты расследований и IOCs
• APT Intelligence Reporting
• APT Threat Intelligence Reports
• Аналитические отчеты Kaspersky об APT