~ 新たに四種の脅威データフィードの追加や既存機能の強化により、迅速で高精度のインシデントレスポンスを支援 ~
情報セキュリティソリューションを提供する株式会社カスペルスキー(本社:東京都千代田区、代表取締役社長:小林岳夫)は、法人向けセキュリティインテリジェンスサービス「Kaspersky Threat Intelligence※1(カスペルスキースレットインテリジェンス)」の最新版を本日から提供開始します。法人を対象とし、パートナー経由で販売※2します。
Kaspersky Threat Intelligenceは、最新のサイバー脅威に関する信頼性の高い脅威インテリジェンスおよびサイバー攻撃の解析に必要なツールを提供するサービス群です。サイバー攻撃の防御に必要な技術・運用面でのインテリジェンス、攻撃の詳細や手法、そして経営層の意思決定に有用な戦術・戦略的インテリジェンスを提供し、企業がセキュリティレベルを高めるための取り組みを多方面から支援します。
当社の脅威インテリジェンスは、独自のWebクローラーやボットネット監視サービスなどのソースを基に、ヒューリスティックエンジンやマシンラーニングほか専門システムに加え、セキュリティ専門家による人的分析などの多用な検証により、高い精度と検知率を維持しています。
Kaspersky Threat Intelligenceの利用により、根本原因の分析や既存セキュリティシステムと統合したプロセスの自動化が可能になり、より迅速で精度の高いインシデントレスポンスの実現に役立ちます。
各脅威インテリジェンスサービスは、単一のインターフェース「Kaspersky Threat
Intelligence Portal(カスペルスキースレットインテリジェンスポータル)※3」から利用することができます。
図1:Kaspersky Threat Intelligenceポートフォリオ
■新たな機能拡張
1.「Threat Data
Feeds※1」に四種の脅威データフィードを追加
・「Crimeware Feeds」:既存のレポートサービス「Crimeware Intelligence
Reporting」で提供している、金融機関やATM、POSなどの金融インフラを狙う攻撃に関するIoCおよび攻撃グループ、影響を受ける国などの関連情報を抽出した脅威データフィードです。
・「Cloud Access Security Broker (CASB) Data Feed」:従業員のクラウドサービス(ファイル共有、ソーシャルメディアなど)の利用を可視化し制御するソリューション(CASB)向けのデータフィードです。トラフィックのURLと脅威フィードを照合することで、従業員が利用しているクラウドサービスを分類し把握することが可能です。
・「Open Source Software Threats Data Feed」:脆弱(ぜいじゃく)性が存在するオープンソースソフトウェアのバージョンおよびダウンロード元、受ける可能性のある攻撃手法などを含む脅威データフィードです。企業が使用するオープンソースソフトウェアに存在する、潜在的なセキュリティリスクを特定するコンポーネント分析を支援します。
・「Industrial OVAL Data Feed for Windows」:産業用制御システムに利用されるソフトウェアに存在する脆弱性を検出するための脅威データフィードです。米国立標準技術研究所(NIST)のセキュリティ設定共通手順SCAP(Security Content
Automation Protocol)に定義されている、セキュリティ言語仕様「OVAL」形式で提供されるため、SCAPに対応する脆弱性スキャナーで利用可能です。
2.「Threat Data
Feeds」の既存脅威データフィードを強化
・「Malicious Hashes Data Feed」:新たに戦術、技術および攻撃手法を分類したMITRE ATT&CKの情報を追加しました。
・「Phishing URL Data Feed」:フィッシング攻撃で利用されるフィッシングキット(サイバー犯罪者がフィッシングサイトを設置するために利用するファイルをまとめたアーカイブ)、窃取されるデータタイプ、ターゲット組織および攻撃タイプなど、フィッシング攻撃の詳細を把握するために有用な脅威情報を追加しました。
3.「Threat Lookup※1」に新たな脅威カテゴリと自動収集機能を追加
これまでのIPアドレス、URLやオブジェクトの白黒判定の検索結果に、DDoS、侵入、総当たり攻撃、ネットワークスキャナーなど新たな脅威カテゴリを追加しました。これにより、検索したインジケーター(インシデントに関するIPアドレス、URL、ハッシュ値など)がどのような目的で使用されたかを広範囲にわたって把握することができます。
図2:Threat Lookup検索結果画面の例
また、指定したインジケーターに関連する情報を収集する自動スケジュール機能も追加しました。Threat LookupおよびダークWeb、ソーシャルWeb検索によるインジケーターに関する情報の収集を定期間隔で自動的に実施し、関連情報に更新があった場合、Kaspersky Threat Intelligence Portal上およびメールで通知します。
4.「リサーチグラフ」機能の拡張
Kaspersky Threat Intelligence Portal上でインシデントの全体像と規模を把握できる「リサーチグラフ」機能のグラフ作成時の関連情報に、新たに攻撃グループ名、「APT Intelligence Reporting※1」「Crimeware Intelligence Reporting※1」「ICS Reporting※1」で提供しているインジケーターに関連するレポート名を追加しました。これにより、別のIoCとのつながりを見つけることができます。各レポートで説明されている注目度の高い攻撃に関連するIoCを強調することで、脅威への対応と脅威ハンティングを迅速化することが可能です。
図3:攻撃グループ名「Lazarus」を検索対象にしたリサーチグラフの展開例
5.「CyberTrace※1」の新バージョン4.2をリリース
CyberTraceはThreat
Intelligence Portalを通して提供するサービスではなく、アプリケーションです。社内ネットワーク上にインストールし、SIEMシステムなどの既存セキュリティコントロールと統合することで、Threat
Data Feedsとログの自動照合を行うことができます。新バージョンでは、CERTや脅威インテリジェンスベンダーなどが提供するEメールおよびPDFドキュメントのIoC情報を外部ソースとして登録することが可能になりました。また、他社の多階層で記載されたJSON形式の脅威データフィードも使用可能になりました。
CyberTraceで検知した脅威状況を可視化する「リサーチグラフ」では、VirusTotalから指定したインジケーターに関する関連情報(URLリダイレクト元と先、ファイルのダウンロード元、ダウンロードされるファイルほか)の検索結果を追加し、脅威状況を分析するための情報を多角的に取得できるようになりました。
図4:CyberTrace上のリサーチグラフでVirusTotalの情報を取得
そのほか、オンラインヘルプを日本語化し、SIEMごとの統合方法や設定などをキーワードで検索できるようになりました。
■ ライセンス体系
コア、ユニバーサル、コンプリートの3種類を提供しています。詳細についてはこちらで確認いただけます。
・Kaspersky Threat Intelligenceの詳細についてはこちらでご覧いただけます。
※1 Kaspersky Threat Intelligence のサービスは次のとおりです。
・APT
Intelligence Reporting/Crimeware Intelligence Reporting/ICS Reporting: 当社リサーチャーが調査したAPT・標的型攻撃および金融機関や産業組織を標的とした最新のサイバー攻撃に関する非公開レポートを提供するサービスです。
・Threat Data
Feeds: 世界中のユーザーが提供したレピュテーション情報と、当社リサーチャーの知見をはじめとする最新の脅威インテリジェンスを、マシンリーダブルな形式で提供します。
・CyberTrace: SIEMなどのセキュリティワークフローと脅威データフィードを統合し、ログと脅威データべ―スを自動的に照合・分析するツールです。
・Threat Lookup: IPアドレス、URLやオブジェクトの白黒判定とインシデント対応に有用な関連情報を提供します。
・Digital
Footprint Intelligence: 当社リサーチャーが顧客企業に対する攻撃状況を分析し、悪用される可能性のある弱点や、計画されている攻撃の証拠、漏えいした認証情報やクレジットカード情報などをレポートおよびポータル上で提供します。
・Cloud Sandbox: 不審なオブジェクトをクラウド上のサンドボックスで分析します。
※2 Kaspersky
Threat Intelligenceの価格など詳細はお問い合わせください。
※3 Kaspersky Threat Intelligence Portal&社が持つ各種の脅威インテリジェンスサービスを、単一のインターフェースから利用できるクラウドサービスです。CyberTrace、Ask the Analyst、Takedown Serviceは、Kaspersky Threat
Intelligence Portalの使用なしに提供しています。
本プレスリリースは、2023年2月28日現在の情報を基に作成しています。今後、価格の変更、仕様の変更、バージョンアップなどにより、内容の全部もしくは一部に変更が生じる可能性があります。記載されている製品名などの固有名詞は、各社の商標または登録商標です。