2 ноября, 2020
OpenTIP, сезон-2: заходите чаще!
Год назад я уже обращался к самым продвинутым 5% аудитории, спецам по кибербезопасности, чтобы порадовать их новым инструментом нашей разработки, Open Threat Intelligence Portal (далее OpenTIP).
Инструменты анализа сложных угроз и просто подозрительных файлов, которыми пользуются в том числе знаменитые «кибер-ниндзя» из GReAT, стали доступны всем желающим. И желающие пришли! Они проверяют тонны файлов ежемесячно.
За год жизнь этих 5% стала гораздо сложнее, потому что зловредный био-вирус выгнал мир на «удалёнку», и обеспечивать безопасность корпоративных сетей стало стократ хлопотней. Время, которого и раньше не хватало, стало драгоценным ресурсом. Поэтому самый частый запрос, который мы слышим от наших искушенных пользователей, прост и прямолинеен: «дайте доступ по API и увеличьте лимиты»!
Сказано – сделано!
В новой версии OpenTIP появилась регистрация пользователей. Постоянным посетителям её категорически советую, потому что после регистрации бóльший кусочек платного Threat Intelligence Portal покажется из сумрака.
Во-первых, отсылать артефакты на проверку можно будет по API – интегрируйте OpenTIP в свои процессы анализа как считаете быстрей и удобней. Кроме неограниченного количества файлов, проверять можно и прочие подозрительные артефакты, такие как URL, IP и хэши.
Во-вторых, когда речь идёт об исполняемом файле, кроме вердиктов о том, что именно в нём кажется подозрительным, OpenTIP теперь выдаёт больше первичного сырья для анализа. Сюда относятся данные о структуре PE-файлов, а также извлечённые из них текстовые строки. В рамках квоты можно воспользоваться нашей крутейшей облачной «песочницей», которая вообще-то является платным самостоятельным продуктом. Ну и наконец, в настройках появится кнопка «Private submission», которая позволит проверять артефакты, вообще никак не сообщая миру о том, что они были загружены на OpenTIP. Мы и раньше не позволяли никому «подписываться» на чужие файлы, но теперь в публичную историю можно не отправлять никакие проверенные на портале индикаторы.
Впрочем, даже без регистрации улучшения Open Threat Intelligence Portal будут заметны невооруженным глазом.
Более удобный веб-интерфейс сэкономит вам время и приятно порадует глаз :), а результаты анализа будут гораздо информативнее.
Ко второй версии мы подключили дополнительные технологии поведенческого анализа. Напомню, что портал выдает не просто вердикт «заражен/чист», как в традиционной endpoint-защите, а детальный разбор подозрительных свойств, на основании которых живой белковый аналитик принимает решения о том, копаться ли в вопросе дальше. Для подозрительных URL будет также доступна категоризация по опасным свойствам.
Ну а для тех, кому нужно еще больше функций, у Threat Intelligence Portal есть и платная версия, и она куда богаче. В том числе за счёт детальных отчётов наших аналитиков о найденных киберугрозах.
В общем, хватить читать описания – проще один раз сходить и попробовать! Просто закинуть на OpenTIP подозрительный файл самостоятельно. Для тех, кто не подписан на сервисы Threat Intelligence, портал будет незаменим (нет-нет, я помню про Virustotal, но об этом – в прошлом посте). Но максимальную пользу из OpenTIP извлекут те, кто будут пользоваться им не от случая к случаю, а встроят его в повседневный процесс анализа кибер-гадости.