Гарда TI (Threat Intelligence)

Продукт
Разработчики: Гарда Технологии
Дата последнего релиза: 2024/12/11
Отрасли: Информационная безопасность
Технологии: Threat intelligence (TI) - Киберразведка

Содержание

Гарда TI – сервис обогащения данных о киберугрозах. Его пользователи получают регулярно обновляемые сведения о признаках и индикаторах вредоносной активности на основе данных из открытых и собственных источников аналитического центра группы компаний «Гарда».

Продукт зарегистрирован в Реестре российского программного обеспечения, что подтверждает соответствие требованиям российского законодательства, предоставляет возможность беспрепятственного использования в организациях, относящихся к КИИ и органах государственной власти.

2024

«Гарда Threat Intelligence (Гарда TI)» с поддержкой стандарта STIX

Обновленная версия сервиса «Гарда Threat Intelligence (Гарда TI)» автоматизирует анализ киберугроз, стандартизирует его, помогает аналитикам глубже понимать угрозы, быстрее определять их источники и реагировать на наиболее критичные. Это достигается благодаря поддержке международного стандарта выгрузки данных STIX (Structured Threat Information eXpression) для описания и обмена информацией о киберугрозах. Теперь заказчикам доступны не только индикаторы компрометации (IOC), но и контекст: тактики и техники (TTP), информация об APT-группировках. Такие данные легко интегрируются со всеми совместимыми со STIX системами безопасности (SIEM, SOAR и TIP). Об этом Гарда Технологии сообщили 11 декабря 2024 года.

Расширение интеграционных возможностей продукта позволяет заказчикам без усилий проводить анализ и сравнение данных из различных источников, обеспечивает удобство работы с системой и снижает затраты на интеграцию. В «Гарда TI» добавлены коннекторы к средствам сетевой защиты, включая UserGate NGFW, Континент 4 (Код Безопасности), и другим популярным российским и зарубежным решениям. Пользователи могут настраивать выгрузку данных под конкретные нужды: выбирать типы потоков данных об угрозах (TI-фидов), например, DDoS или botnet, и определять их срок актуальности. В «Гарда TI» также стало проще получать данные о киберугрозах благодаря использованию on-premise контейнера. Контейнер автоматизирует выгрузку фидов и делает продукт частью экосистемы заказчика, упрощая взаимодействие с решениями других вендоров.

«
Использование международного стандарта STIX и улучшение интеграции с другими продуктами делают работу с сервисом «Гарда TI» проще и удобнее, что помогает заказчикам быстрее выявлять киберугрозы, приоритизировать события ИБ и реагировать на них, ‒ подчеркнул Илья Селезнев, руководитель продукта «Гарда Threat Intelligence».
»

В будущем планируется добавить поддержку новых классов решений, что сделает продукт еще более универсальным инструментом для борьбы с киберугрозами.

«Гарда TI 2.2» с индикаторами брутфорс и майнинг

Обновленная версия «Гарда Threat intelligence» усилит превентивные меры противодействия киберугрозам, повысит скорость реагирования на них, поможет заказчикам обнаруживать скрытые атаки и усиливать контроль эксплуатационных расходов. Об этом компания сообщила 9 октября 2024 года.

«Гарда TI 2.2» поможет заказчикам прогнозировать и предотвращать потенциальные атаки – база фидов пополнилась новыми индикаторами: брутфорс (brute force) и майнинг (mining). Первые содержат данные об известных злонамеренных IP-адресах, связанных с брутфорс-атаками, помогают выявлять попытки несанкционированного доступа к системам через перебор паролей быстро блокировать неблагонадежные источники. Вторые облегчают обнаружение скрытых атак, когда злоумышленники используют вычислительные мощности предприятия.

Обновления в части индикаторов компрометации положительно сказались на сокращении числа ложноположительных срабатываний систем защиты информации. Время жизни индикатора теперь измеряется в днях, так база фидов всегда остается актуальной.

«
Время жизни индикатора зависит, например, от того, к какой категории индикатор относится (botnet, phising, spam и др.), а также от его типа (hash, domen, url и др.), — пояснил Алексей Семенычев, руководитель отдела аналитики угроз информационной безопасности группы компаний «Гарда». — Если во время жизни индикатора по нему фиксируется вредоносная активность, то его срок продлевается с момента детектирования этой активности.
»

Скорость реагирования на угрозы при использовании «Гарда TI 2.2» сокращается за счет своевременного получения данных о них, все данные теперь собираются в расширенные отчеты

Разработчики усовершенствовали в том числе интерфейс – индикаторы обозначены разными цветами в зависимости от уровня критичности, что облегчает восприятие и помогает ориентироваться в многообразии угроз.

Интеграция с Security Vision TIP

Группа компаний «Гарда» и компания Security Vision 2 октября 2024 года сообщили об интеграции платформы Security Vision TIP и сервиса данных о киберугрозах «Гарда Threat Intelligence». Объединенный сервис предоставит заказчикам доступ к специализированным потокам данных об угрозах и возможность быстрой интеграции фидов в системы управления средствами защиты.

Самостоятельное обогащение всего арсенала средств защиты информации данными о киберугрозах требует времени и ресурсов. TI-платформы позволяют автоматизировать процесс за счет аккумуляции данных из нескольких сервисов различных вендоров, предоставляя заказчикам информацию в едином интерфейсе.

«
Сервис «Гарда Threat Intelligence» передает заказчикам данные о новых кибератаках и помогает создавать многоуровневую защиту, что снижает нагрузку на сотрудников мониторинговых центров ИБ, — сказал Илья Селезнев, руководитель продукта «Гарда TI». — Каждый день центр компетенций группы компаний «Гарда» обрабатывает около 100 000 и фиксирует до 60 000 новых индикаторов компрометации (IoC), большая часть из которых уникальна. Интеграция с Security Vision TIP расширит объем данных об угрозах для клиентов сервиса, а значит, повысит эффективность предотвращения кибератак.
»

«
Интеграция с сервисом «Гарда TI» расширяет выбор поставщиков данных, с которыми могут работать клиенты, предлагая доступ к уникальным специализированным фидам, — отметил Роман Овчинников, директор департамента внедрения Security Vision. — Так, заказчики могут выбрать наиболее подходящие решения для своих бизнес-задач, формируя безопасную информационную среду».
»

Гарда Threat Intelligence 2.1 с актуальной базой GeoIP

Группа компаний «Гарда» обновила сервис обогащения данных о киберугрозах. «Гарда Threat Intelligence 2.1» позволяет заказчикам определять принадлежность IP-адреса к определенному городу, региону или стране, помогает обнаружить угрозы и быстро принять решение о блокировке потенциального вредоноса.

Обновленная версия сервиса обогащения данных о киберугрозах «Гарда Threat Intelligence» (Гарда TI) дополнена актуальной базой GeoIP, которая ежемесячно обновляется производителем. Технология применяется в случаях, когда необходимо формировать правила на основе географической принадлежности IP-адресов: при настройке шлюзов безопасности и файерволов, для защиты веб-сервисов. Интерфейс обновленной версии сервиса позволяет выгружать IP-адреса в форматах .csv и .mmdb.

Обновления «Гарда TI» позволяют заказчикам принимать участие в развитии сервиса, сообщая производителю об актуальных для них угрозах. Информация об обнаруженной клиентом угрозе поступает в аналитический центр группы компаний и после верификации попадает в общую базу фидов.

«
Совместное участие заказчиков и вендора в обнаружении и анализе угроз дает возможность быстрее выявлять паттерны и характеристики атак и способствует более быстрому и точному реагированию на угрозы. Заказчик получает более эффективный инструмент, продукт – развивается. Обогащение сервиса новыми данными усиливает его и позволяет другим клиентам группы компаний повышать эффективность систем информационной безопасности, – сказал Илья Селезнев, руководитель продукта «Гарда Threat Intelligence».
»

«Гарда TI 2.1» обеспечивает заказчиков готовыми сигнатурами за счет доступности правил YARA и Suricata.

«
Эти правила регулярно обновляются и учитывают актуальность фидов. Кроме того, эксперты нашего аналитического центра готовы помочь в создании индивидуальных правил для интеграции в средства защиты информации заказчика, – дополнил Илья Селезнев.
»

В данной версии «Гарда Threat Intelligence» реализована технология поиска индикаторов вредоносных фреймворков на основе их активности и используемых ими артефактов, в том числе JARM-отпечатков. Это позволяет поддерживать релевантность базы индикаторов вредоносных фреймворков, например, Cobalt Strike.

«
Особенность фидов «Гарда TI» в том, что они учитывают особенности атак на российские ресурсы. Другие источники, которые включают более широкий контекст, также используются, но акцент при формировании базы фидов сделан именно на отечественной специфике, – подчеркнул Илья Селезнев.
»

В версию сервиса «Гарда Threat Intelligence 2.1» добавлен новый тип индикатора – значения хэш функций md5 и sha256.

Готовые сигнатуры дают возможность обнаруживать неочевидную вредоносную активность.

2023: Добавление данных о хакерских группировках, методах и тактиках атак

Компания «Гарда», обновила сервис данных о киберугрозах – Гарда TI (Threat Intelligence). Сервис обогащен данными о хакерских группировках, методах и тактиках атак, новыми типами индикаторов вредоносной активности и связями между ними, повышено удобство интерфейса. Об этом разработчик сообщил 30 ноября 2023 года.

В данной версии Гарда TI данные аналитики о хакерских группировках, методах и тактиках атак предоставляют заказчикам более полную информацию об индикаторах компрометации для повышения эффективности противодействия угрозам. Обновились и связи между индикаторами, благодаря чему пользователь может сократить время реакции на вредоносную активность и самостоятельно проводить анализ угроз.

Кроме прочего, в базе доступны следующие типы индикаторов: JA3/JA3S отпечатки. Использование таких отпечатков позволяет точнее анализировать паттерны поведения злоумышленников и идентифицировать необычные или вредоносные активности в сети. Это помогает в обнаружении кибератак, инсайдерских активностей, вредоносного программного обеспечения, детектировании угроз в шифрованном трафике и ранее неизвестных 0-day угроз.

Производитель обновил web-интерфейс Гарда TI: усовершенствована строка запросов, доступен графический конструктор фильтров. В онлайн-режиме можно проверять конкретные индикаторы (IP/URL-адреса).

«
Гарда TI просто использовать. Для выгрузки данных не нужны наложенные средства – все можно сделать через командную строку, – говорит Илья Селезнев, руководитель продукта компании «Гарда Технологии» (входит в группу компаний «Гарда»). – Сервис доступен по подписке периодом на месяц или несколько и на год. С учетом регистрации в Реестре российского ПО, покупка Гарда TI не облагается НДС.
»



СМ. ТАКЖЕ (2)


Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

  F.A.C.C.T. (ранее Group-IB в России) (2)
  R-Vision (Р-Вижн) (1)
  ИнфоТеКС (Infotecs) (1)
  КСБ-Софт (1)
  Национальный координационный центр по компьютерным инцидентам (НКЦКИ) (1)
  Другие (1)

Данные не найдены

  КСБ-Софт (1)
  Другие (0)

  R-Vision (Р-Вижн) (1)
  Другие (0)

Данные не найдены

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  F.A.C.C.T. (ранее Group-IB в России) (1, 2)
  ИнфоТеКС (Infotecs) (1, 2)
  R-Vision (Р-Вижн) (1, 1)
  Лаборатория Касперского (Kaspersky) (1, 0)
  Dell SecureWorks (1, 0)
  Другие (6, 0)

Данные не найдены

  ИнфоТеКС (Infotecs) (1, 1)
  Другие (0, 0)

  R-Vision (Р-Вижн) (1, 1)
  Другие (0, 0)

Данные не найдены

Распределение базовых систем по количеству проектов, включая партнерские решения (проекты, партнерские проекты)

За всю историю
2021 год
2022 год
2023 год
Текущий год

  ViPNet TIAS (Threat Intelligence Analytics System) - 2 (2, 0)
  F.A.C.C.T. Threat Intelligence - 2 (2, 0)
  R-Vision Threat Intelligence Platform (TIP) - 1 (1, 0)
  McAfee Threat Intelligence Exchange - 0 (0, 0)
  Sber X-TI (Threat Intelligence) - 0 (0, 0)
  Другие 0
Данные не найдены

  ViPNet TIAS (Threat Intelligence Analytics System) - 1 (1, 0)
  Другие 0

  R-Vision Threat Intelligence Platform (TIP) - 1 (1, 0)
  Другие 0
Данные не найдены