Tehdit İstihbaratı Portalı: Daha derine inmeliyiz

Potansiyel tehditlerin detaylı analiz edilebilmesi için Tehdit İstihbarat Portalımızın ücretsiz bir versiyonunu yaptık.

Bu yazıyı okuyanların %95’i için yazının içeriğinin hiçbir işe yaramayacağını çok iyi biliyorum. Ancak kalan %5’in çalışma günlerini (ve pek çok hafta sonunu) büyük ölçüde kolaylaştırma potansiyeline sahiptir. Başka bir deyişle, siber güvenlik uzmanları için harika haberlerimiz var – Güvenlik İşlemleri Merkezi (SOC) ekipleri, bağımsız araştırmacılar ve meraklı teknisyenler: ağaçkakanlarımız ve GReAT elemanlarımızın her gün dünyadaki en iyi siber tehdit araştırmalarını yürütmek için kullandıkları araçlar şimdi Tehdit İstihbarat Portalımızın lite sürümü ile herkese açık ve ücretsiz. Bazen kısaca TİP olarak adlandırılır ve ben konu hakkında birkaç kelime söyledikten sonra, anında yer imlerinizin arasına ekleyeceksiniz!

Tehdit İstihbarat Portalı, günümüzün çok çalışan siber güvenlik uzmanları için iki temel sorunu çözmektedir. İlki: ‘Bu yüzlerce şüpheli dosyadan hangisini önce seçmeliyim?’; ikincisi: ‘Tamam, antivirüs programım dosyanın temiz olduğunu söylüyor – sırada ne var?’

Kaspersky Tehdit İstihbarat Portalı'nın ücretsiz bir sürümü

Net bir şekilde Temiz/Tehlikeli kararı veren “Klasik” ürünlerden farklı olarak – Endpoint SecurityTehdit İstihbarat Portalı‘na yerleştirilmiş analitik araçlar, bir dosyanın ne kadar ve hangi yönleriyle şüpheli olduğu konusunda ayrıntılı bilgi verir. Sadece dosyaların da değil. Karmalar, IP adresleri ve URL’ler de kontrol edilebilir. Bütün hepsi bulutumuz tarafından hızlı bir şekilde analiz edilir ve her birinin sonuçları gümüş bir tepside geri gönderilir: Kötü olan tarafları (eğer varsa), bulaşmanın ne kadar nadir görüldüğü, uzaktan bile olsa hangi bilindik tehditlere benzediği, hangi araçlar tarafından yaratıldığı, ve benzerleri. Bunun da ötesinde, yürütülebilir dosyalar patentli bulut korumalı alanımızda çalıştırılır ve sonuçlar birkaç dakika içinde sunulur.

Şu an %5’in çığlık attığını duyabiliyorum: “VirusTotal bu!”

Evet… ve hayır.

Bir yandan amaç aynı – uzmanlara somut bir olayı analiz etmeleri ve bilinçli bir karar vermeleri için ek araçlar sunmak. Diğer taraftan, yaklaşımımız tamamen farklı.

VirusTotal basit bir çoklu tarayıcı olarak tasarlanmıştır – çeşitli antivirüs motorlarını toplar ve bunları kullanıcı tarafından yüklenen dosyalar ile besler. Bu nedenle biz de dahil olmak üzere tüm satıcılara, “X dosyasını algılamıyorsunuz” suçlaması yöneltilir; ancak X’i geleneksel bir dosya tarayıcısıyla tespit etmediğimizi söylemek daha doğrudur. Daha sonra ise, diğer araçları kullanarak başarıyla tespit edebildiğimiz ortaya çıkıyor. Ama VirusTotal’da bunu görmezsiniz. VirusTotal’da ek araçlar ortaya çıktı elbette, ancak genel odak noktası, 30 yıldan daha uzun bir süre önce yaratılmış çok eski bir teknolojiyi kullanan motorların geniş kapsama alanı olmaya devam ediyor.

Karmaşık tehditlerin derinlemesine analizinde uzman olarak, bu derinliği tüm uzman topluluğunun kullanımına sunmak için çalışıyoruz. Tehdit İstihbarat Portalı’ndaki eserleri analiz eden tek motor, soyadımı taşıyan şirkete ait. Ve bu konuda dünyadaki en iyi şirketiz. Düzinelerce gelişmiş analiz teknolojisini birleştirir (buraya, buraya, buraya ve buna bakın) ve daha sonra ayrıntılı sonuçlara göz atmanızı sağlar. VirusTotal’da bulunan motorumuzla karşılaştırıldığında, TİP çok farklı bir algılama seviyesi veriyor elbette.

Buna ek olarak, VirusTotal ile de dosyaları taramak faydalı olabilir – ikinci, üçüncü ve dördüncü görüş hiçbir zaman kötü bir şey değildir. Ancak bu görüşlerin nasıl uygun şekilde tartılacağını bilmek çok önemlidir ve sorununu da göz önünde bulundurmak gerekir. Tehdit İstihbarat Portalı’nı başka tedarikçilerle ortaklıklardan gelen bilgilerle genişletmeye karar verirsek, durum tespiti çok daha katı olacaktır.

Tehdit İstihbarat Portalı ve VirusTotal arasındaki diğer bir fark da… nasıl tanımlasam… bilginin sınırlı dağılımı. VirusTotal’a yüklenen dosyalar çok çeşitli abonelere açıktır, Tehdit İstihbarat Portalı ile başkalarının dosyalarına erişen hiçbir abone yoktur.

Abonelikler konusunda:

Tehdit İstihbarat Portalı’nın çok daha zengin olan ücretli bir sürümü var – kısmen, tespit edilen siber tehditlere ilişkin en iyi analistlerimiz tarafından yazılmış ayrıntılı raporlara erişim sağlaması nedeniyle. Ve yüklenen bir dosyanın, örneğin, bilinen bir finansal kötü amaçlı yazılım parçasına benzediği ortaya çıkarsa, kötü niyetli siber geliştiricilerin mağdurlara nasıl saldırdıkları, hangi araçları kullandıkları vb. hakkında en taze ve en ayrıntılı bilgiler hizmetin tam sürümünde mevcuttur.

İpuçları