Threat Intelligence Portal: un ulteriore passo in avanti

Abbiamo creato una versione gratuita del nostro Threat Intelligence Portal per un’analisi dettagliata delle potenziali minacce.

Capisco che per il 95% di voi questo post sarà inutile, ma al restante 5% semplificherà notevolmente la settimana di lavoro (e anche molti fine settimana). In parole povere, abbiamo delle grandi novità per i professionisti della cybersicurezza, i team SOC, ricercatori indipendenti e addetti ai lavori : gli strumenti che utilizzano quotidianamente i nostri  “woodpecker” e i nostri ragazzi del GReAT per continuare ad offrire la migliore ricerca al mondo riguardante le minacce informatiche, sono adesso disponibili a tutti voi e gratis grazie alla versione lite del nostro Threat Intelligence Portal. A volte viene abbreviato con TIP, e dopo tutto quello che vi sto dicendo, è obbligatorio metterlo tra i preferiti.

: La versione gratuita del Threat Intelligence Portal

Il Threat Intelligence Portal risolve due problemi principali degli esperti di cybersecurity. Il primo è: “Quale tra le centinaia di file sospetti dovrei scegliere per primo?” e poi: “Il mio antivirus dice che è tutto a posto, cosa devo fare ora?”.

Lanzamos una versión gratuita del Kaspersky Threat Intelligence Portal

A differenza dei “classici” prodotti Endpoint Security il cui verdetto può essere solo positivo o negativo, gli strumenti di analisi integrati nel Threat Intelligence Portal forniscono informazioni dettagliate sugli aspetti specifici che rendono un file sospetto e in che misura. E non parliamo solo di file, ma  anche di hash, indirizzi IP e URL. Tutti questi elementi vengono rapidamente analizzati dal nostro cloud e i risultati di ogni singolo elemento vengono restituiti su un piatto d’argento: cosa c’è dannoso in essi (se c’è), quanto è rara un’infezione, quali sono le minacce note a cui assomigliano (anche remotamente), quali strumenti sono stati utilizzati per crearlo e così via. Per di più, i file eseguibili vengono attivati nella nostra sandbox su cloud brevettata e i risultati sono disponibili in un paio di minuti.

A questo punto sento il 5% che dice a gran voce: Ma è VirusTotal!

Sì e no.

Da un lato, l’obiettivo è lo stesso: fornire agli specialisti strumenti aggiuntivi per analizzare un incidente in concreto e prendere una decisione consapevole. Dall’altro, il nostro approccio è completamente diverso.

VirusTotal è stato concepito come un semplice multiscanner, aggrega vari motori antivirus e li alimenta con i file caricati dall’utente. Per questo motivo, ai vendor viene spesso rivolta  la critica che non è stato rilevato il file X e anche a noi è successo; ma è più preciso dire che non rileviamo X con un’analisi tradizionale di file. Come si vedrà in seguito, lo rileviamo utilizzando altri strumenti. Ma su VirusTotal semplicemente non lo vedrete. Certo, su VirusTotal sono stati creati strumenti aggiuntivi, ma rimane comunque il fatto che questi strumenti utilizzano una tecnologia molto conservativa creata oltre 30 anni fa.

In qualità di esperti nell’analisi approfondita delle minacce complesse, ci sforziamo di mettere questa profondità a disposizione dell’intera comunità di specialisti. L’unico motore che analizza gli artefatti nel Threat Intelligence Portal appartiene all’azienda che porta il mio nome. E si dà il caso che sia il migliore del mondo. Esso combina decine di tecnologie di analisi avanzate (vedete qui, qui, qui, e così via) e permette di consultare i risultati dettagliati. Naturalmente, rispetto alla parte del nostro motore che risiede su VirusTotal, TIP fornisce un livello di rilevamento molto diverso.

In aggiunta a ciò, potrebbe essere utile anche la scansione dei file con VirusTotal, una seconda, terza e quarta opinione non è mai una cosa negativa ma è fondamentale sapere come valutare correttamente queste opinioni. Tra l’altro, se mai decidessimo di espandere il Threat Intelligence Portal con informazioni provenienti da una partnership con altri vendor, saremo estremamente rigorosi.

Un’altra differenza tra il Threat Intelligence Portal e VirusTotal è… come dire…  la limitata distribuzione delle informazioni. I file caricati su VirusTotal sono disponibili per una vasta gamma di iscritti, mentre con il nostro portale di Threat Intelligence non ci sono iscritti con accesso ai file di altre persone.

A proposito di abbonamenti:

Esiste una versione a pagamento del Threat Intelligence Portal che è molto più completa, in parte grazie ai report dettagliati sulle minacce informatiche rilevate, report elaborati dai nostri migliori analisti. Se si scopre che un file caricato assomiglia, ad esempio, a un noto malware finanziario, nella versione completa del servizio saranno disponibili informazioni aggiornate e dettagliate sul modo in cui i creatori di questo malware attaccano le vittime, quali strumenti usano e così via.

Consigli