Positive Technologies выпустила обновление платформы для работы с информацией о киберугрозах — PT Fusion версии 1.5. Сотрудники SOC, аналитики киберразведки (threat intelligence, TI) и эксперты по реагированию на инциденты теперь могут загружать потоки данных об угрозах в нужном формате и дополнять ими оповещения систем защиты. Также облачный сервис стал более функциональным за счет интерактивных панелей мониторинга, расширенных возможностей API и полнотекстового поиска по базе угроз.
Обновленная PT Fusion тесно связана с PT Threat Intelligence Feeds. Решение объединяет потоки индикаторов компрометации (IoC), собранные специалистами экспертного центра безопасности PT Expert Security Center (PT ESC) в результате сотен реальных расследований и анализа деятельности хакерских групп. Пользователи платформы могут загружать актуальные наборы IoC в формате, соответствующем их задачам. Например, STIX удобен для простой интеграции с большинством систем защиты, JSON с дополнительным контекстом — для продуктов Positive Technologies, а CSV — для оперативного обнаружения угроз.
«Мы постоянно пополняем PT Fusion данными о киберугрозах и увеличиваем число источников. Теперь все возможности PT Threat Intelligence Feeds доступны непосредственно на платформе. Это означает, что сотрудники SOC и отделов киберразведки получили доступ к информации о вредоносных доменах, IP-адресах, ссылках и хеш-суммах файлов, что позволяет еще оперативнее узнавать о современных угрозах информационной безопасности и эффективнее им противостоять, — подчеркнул Денис Кувшинов, руководитель направления threat intelligence экспертного центра безопасности Positive Technologies. — Для получения свежих данных достаточно одного ежедневного запроса к PT Threat Intelligence Feeds. Платформа поддерживает широкий спектр систем защиты, что позволяет свободно её использовать без адаптации под конкретные решения, даже в изолированных сетевых сегментах».
В новой версии PT Fusion реализован полнотекстовый поиск по библиотеке угроз. Теперь специалисты SOC и киберразведки могут находить данные о хакерских группах, семействах вредоносного ПО и уязвимостях, а также другую информацию, используя запросы на естественном языке. В качестве запроса можно ввести, например, фрагмент отчета об инциденте информационной безопасности или одну из тактик матрицы MITRE ATT&CK. Система предоставит соответствующие результаты по всем объектам в библиотеке угроз. Новая функция сократила время поиска важной информации с нескольких минут до секунд, что упростило процесс обнаружения и анализа угроз.
В PT Fusion появился новый модуль «Статистика угроз», оснащённый интерактивной панелью наблюдения. На информационных панелях представлены самые активные зарегистрированные хакерские объединения, семейства вредоносных программ, отраслевое распределение атак и изменения в фишинговой активности. Также пользователям доступна лента отчётов. Новая панель позволяет аналитикам SOC оперативно получать сводку текущих угроз, а руководителям служб информационной безопасности и риск-менеджерам — иметь чёткую основу для расстановки приоритетов и планирования ресурсов команды.
Функциональность публичного API PT Fusion была расширена. Теперь срабатывания средств защиты могут автоматически дополняться контекстной информацией, а заключение формируется за считанные секунды. Через API можно проверять индикаторы компрометации, в том числе по объёмным спискам, искать похожие файлы по нечётким хешам для обнаружения родственных вредоносных образцов, а также направлять подозрительные программы на автоматический анализ специализированными средствами защиты. Кроме того, пользователи могут просматривать исторические данные PDNS, регистрационные сведения (WHOIS/RDAP) и DNS-записи.
Обновления уже доступны всем пользователям PT Fusion. Пробный доступ к порталу предоставляется бесплатно на 30 дней.
