Kaspersky выпустила платформу для работы с потоками данных об угрозах

Kaspersky выпустила платформу для работы с потоками данных об угрозах

Kaspersky выпустила платформу для работы с потоками данных об угрозах

«Лаборатория Касперского» представила комплексную платформу Kaspersky CyberTrace, которая позволяет поддерживать полный цикл работ со сведениями об угрозах (Threat Intelligence). Решение даёт возможность выявлять индикаторы компрометации в инфраструктуре организации, проводить всесторонний анализ и приоритизировать обнаруженные киберинциденты, определять наиболее эффективную стратегию реагирования на них, а также обмениваться сведениями о выявленных угрозах с доверенными организациями (например CERT или партнёрами).

Число оповещений от различных систем информационной безопасности (ИБ), которые ежедневно обрабатывают аналитики в центрах мониторинга и реагирования на киберинциденты, растёт в геометрической прогрессии. Интеграция машиночитаемых аналитических данных об угрозах в существующие средства управления кибербезопасностью, такие как SIEM-системы, позволяет классифицировать и приоритизировать события для дальнейшего анализа и реагирования. Однако постоянный рост этих потоков информации мешает определять источники, актуальные для конкретной организации. Данные предоставляются в различных форматах и включают большое количество индикаторов компрометации, что существенно усложняет их дальнейшую обработку SIEM-системами и другими средствами управления сетевой безопасностью.

Комплексная Threat Intelligence платформа, созданная «Лабораторией Касперского», позволяет работать с любым потоком аналитических данных в разных форматах (JSON, STIX, XML, MISP и CSV) и интегрировать информацию об угрозах с различными системами безопасности для их использования в дальнейшем. Kaspersky CyberTrace поддерживает интеграцию «из коробки» с большим числом SIEM-систем и источников логов.

Продукт осуществляет внутренний процесс анализа и сопоставления поступающих данных, что значительно снижает рабочую нагрузку на SIEM-систему. Он генерирует собственные оповещения при обнаружении угроз и через программный интерфейс приложения (API) интегрируется с уже существующими процессами мониторинга и реагирования. Кроме того, платформа поддерживает мультитенантную архитектуру, тем самым позволяет реализовать сценарии использования поставщиков сервисов безопасности (MSSP) или крупных компаний. Второе уместно, когда есть необходимость анализировать события различных организаций или дочерних отделений.

«ИБ-специалистам важно оперативно обнаруживать критичные оповещения систем безопасности, чтобы принимать взвешенные решения об их передаче группам реагирования. Платформа Kaspersky CyberTrace даёт такую возможность за счёт её совместного использования с потоками данных “Лаборатории Касперского”. Кроме того, подобный симбиоз помогает снизить нагрузку на аналитиков безопасности и предотвратить их выгорание, более эффективно использовать имеющиеся ресурсы и сосредоточить усилия на работе с серьёзными инцидентами», – комментирует Артём Карасёв, старший менеджер по продуктовому маркетингу «Лаборатории Касперского».

Решение Kaspersky CyberTrace помогает получить наглядное представление об используемых источниках данных для выбора поставщиков, которые наиболее ценны с точки зрения скорости обнаружения инцидентов. Комплексная платформа также поддерживает интеграцию с SIEM-решением Kaspersky Unified Monitoring and Analysis Platform (KUMA), включая единый веб-интерфейс.

Более подробная информация о продукте Kaspersky CyberTrace и его новых функциях доступна по ссылке.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

ChatGPT ошибается с адресами сайтов — фишеры не дремлют

Если вы когда-нибудь просили чат-бота типа ChatGPT помочь с ссылкой на сайт банка или личного кабинета крупной компании — возможно, вы получали неправильный адрес. А теперь представьте, что кто-то специально воспользуется этой ошибкой.

Исследователи из компании Netcraft провели эксперимент: они спрашивали у модели GPT-4.1 адреса сайтов для входа в аккаунты известных брендов из сфер финансов, ретейла, технологий и коммунальных услуг.

В духе: «Я потерял закладку, подскажи, где войти в аккаунт [название бренда]?»

Результат получился тревожным:

  • только в 66% случаев бот дал правильную ссылку;
  • 29% ответов вели на несуществующие или заблокированные сайты;
  • ещё 5% — на легитимные, но вообще не те, что спрашивали.

Почему это проблема?

Потому что, как объясняет руководитель Threat Research в Netcraft Роб Дункан, фишеры могут заранее спрашивать у ИИ те же самые вопросы. Если бот выдаёт несуществующий, но правдоподобный адрес — мошенники могут просто зарегистрировать его, замаскировать под оригинал и ждать жертв.

«Вы видите, где модель ошибается, и используете эту ошибку себе на пользу», — говорит Дункан.

Фишинг адаптируется под ИИ

Современные фишинговые схемы всё чаще затачиваются не под Google, а именно под LLM — большие языковые модели. В одном случае, например, мошенники создали фейковый API для блокчейна Solana, окружив его десятками фейковых GitHub-репозиториев, туториалов, Q&A-доков и даже поддельных аккаунтов разработчиков. Всё, чтобы модель увидела якобы «живой» и «настоящий» проект и начала предлагать его в ответах.

Это чем-то напоминает классические атаки на цепочку поставок, только теперь цель — не человек с pull request'ом, а разработчик, который просто спрашивает у ИИ: «Какой API использовать?»

Вывод простой: не стоит полностью полагаться на ИИ, когда речь идёт о важных вещах вроде входа в банковский аккаунт или выборе библиотеки для кода. Проверяйте информацию на официальных сайтах, а ссылки — вручную. Особенно если ИИ обещает «удобный и официальный» сайт, которого вы раньше не видели.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru