«Сталкер» обогатит данные о киберугрозах

Фото OliverKepka/pixabay.com (Pixabay License)
Компания «Гарда Технологии» анонсирует запуск нового сервиса для обогащения данных о киберугрозах «Гарда Сталкер». Продукт предназначен для команд SOC и специалистов по расследованию инцидентов информационной безопасности. Доступ к сведениям о признаках и индикаторах вредоносной активности будет предоставляться по подписке. Данные сервиса регулярно обновляются.

«Гарда Сталкер» — гибкий и удобный сервис предоставления сведений о признаках и индикаторах вредоносной активности на основе данных из открытых и собственных источников аналитического центра «Гарда Технологии». Продукт создан для повышения эффективности расследования киберинцидентов и команд ситуационных центров информационной безопасности. Применяется для выявления и предотвращения вредоносной активности, обогащения данных контекстом, оценки степени вредоносности выявленных событий.

Сервис предоставляет пользователям информацию для снижения числа дополнительных ложных срабатываний, рекомендует частоту обновлений по различным категориям угроз. «Гарда Сталкер» категорирует данные по степени критичности угроз и позволяет видеть контекст инцидента в ретроспективе. Информация представляется как в виде распространенных форматов обмена данными, так и в человекочитаемом формате, интегрируется с SIEM, Firewall, IRP (SOAR).

«Поскольку сведения о киберугрозах интегрируются с нашими продуктами «Гарда Монитор» «Периметр», и «Гарда Сталкер», мы заинтересованы в том, чтобы как наши разработчики, так и заказчики получали наиболее качественную и актуальную информацию, — говорит директор по продуктам компании «Гарда Технологии» Павел Кузнецов. — Для этого мы используем и собственную сеть ловушек, и данные нашего аналитического центра. Кроме того, мы обрабатываем и ранжируем данные из открытых источников. Это известные сервисы обмена информацией о киберугрозах, например, даркнет, социальные сети, данные OSINT и специализированные поисковые системы (Shodan, Censys и т.п.)».

«Гарда Сталкер» предоставляет следующие типы данных:


  1. C&C Botnet hosts — данные управляющих центров бот-сетей, ранжированные по категориям и типам ботнетов (mirai, mozi, conficke и т.д.);
  2. Botnet hosts — данные об узлах бот-сетей, которые нельзя классифицировать как командные центры;
  3. Spam — IP-адреса известных SPAM-серверов;
  4. VPN — списки общедоступных VPN-серверов;
  5. Proxy — списки общедоступных proxy-серверов;
  6. TOR — списки входящих и исходящих нод-сети TOR;
  7. DDoS — адреса атакующих машин, участвующих в DDoS-атаках, в том числе в атаках с усилением;
  8. Phishing — DNS и URL-адреса из текста фишинговых писем;
  9. Suspicions hosts — иные IP-адреса узлов, которые попали в списки вредоносных, но не были причислены ни к одной из категорий.

Пользователям в рамках подписки доступна опция фильтрации по необходимым категориям данных.