Security Vision расширила функциональность модуля TIP

Security Vision расширила функциональность модуля TIP

Security Vision расширила функциональность модуля TIP

Security Vision сообщает о выходе нового релиза актуальной на сегодняшний день версии модуля Threat Intelligence Platform (TIP). На основании данных об угрозах продукт генерирует в реальном времени обнаружения подозрительной активности в инфраструктуре Заказчика, проводит обогащение индикаторов и инцидентов, интегрируется с инфраструктурой Заказчика и средствами защиты, обеспечивает ситуационную осведомленность.

Теперь пользователям доступно множество новых преимуществ, среди которых:

Широкий стек интеграций (50+ коннекторов):

  • Встроенная интеграция с коммерческими поставщиками фидов (Kaspersky, Group IB, BI.Zone, RST Cloud)
  • Встроенная интеграция бесплатными поставщиками фидов (Alien Vault, Feodo Tracker, DigitalSide)
  • Автоматическое обогащение индикаторов из внешних сервисов (VirusTotal, Shodan, KasperskyOpenTIP и других)
  • Встроенная интеграция с основными SIEM-системами, системами NGFW, прокси-серверами, почтовыми серверами, системами очередей событий, а также настроен универсальный прием потока данных по стандартным форматам (Syslog, CEF, LEEF, EBLEM, Event log)
  • Возможность оперативно доработать дополнительный коннектор.

Работа с индикаторами:

  • Поддерживается постоянная загрузка широкого спектра данных об угрозах: индикаторы компрометации, индикаторы атаки (ключи реестра, процессы, JARM) и стратегические атрибуции угрозы (вредоносное ПО, злоумышленники, угрозы)
  • Глубоко проработаны связи между разными уровнями индикаторов (например, индикатор компрометации => угроза => злоумышленник), что позволяет быстро выстроить полную картину потенциальной угрозы
  • Реализована система агрегации и дедупликации для поддержания актуальности и единообразия базы индикаторов
  • Предоставляется возможность просмотра исходного формата индикатора
  • Базы уязвимостей и бюллетеней предоставляют дополнительный контекст для анализа индикаторов.

Обнаружения:

  • Реализовано несколько механизмов выявления подозрительной активности в инфраструктуре. В первую очередь, собственный движок обнаружений, который позволяет автоматически выполнять поиск индикаторов компрометации в потоке сырых событий от средств защиты и из инфраструктуры. Ретропоиск дает возможность сопоставлять новые индикаторы компрометации с событиями, которые были ранее и хранятся в системе. Также реализован эвристический движок Domain Generation Algorithm (Алгоритм генерации доменов), который позволяет эффективно выявлять подозрительные доменные имена в инфраструктуре с помощью моделей машинного обучения
  • Широкий спектр действий над индикаторами компрометации дает возможность оперативно отреагировать на созданное обнаружение
  • Есть возможность создавать белые списки индикаторов для уменьшения количества ложных срабатываний

Анализ:

  • Внедрена система скоринга, которая позволяет оценить критичность индикатора (если таковую не предоставил поставщик) на основе собственной модели расчета
  • Применяется классификация индикаторов с помощью базы знаний техник MITRE ATT&CK и справочника OWASP, что позволяет выстроить цепочку взаимосвязей между потенциальными угрозами
  • Граф, как дополнительный инструмент анализа, позволяет визуально отследить выстроенные связи между сущностями и быстро перейти на карточку нужного объекта
  • Преднастроенные дашборды и отчеты помогают визуально оценить общую картину за необходимый период. В том числе реализована возможность выгрузить отчет по основным объектам напрямую с карточки объекта.

Подробнее о Security Vision TIP можно почитать по этой ссылке.

Патч для Windows Defender может забить ваш диск до краёв

Microsoft выпустила патч для 0-day уязвимости RoguePlanet, она же CVE-2026-50656, в движке безопасности встроенного антивируса Defender. Но история, похоже, не закончилась: исследователь NightmareEclipse, который ранее раскрыл баг, утверждает, что новый патч может привести к забиванию диска огромными файлами.

RoguePlanet стала известна в июне, когда NightmareEclipse опубликовал детали уязвимости и эксплойт.

По его словам, баг позволял удалённому атакующему получить административный контроль над Windows 10 и Windows 11 даже при отключённой защите в реальном времени.

В среду Microsoft сообщила, что закрыла проблему обновлением Microsoft Malware Protection Engine — компонента, который использует Defender. Обновление должно установиться автоматически, без действий пользователя. Вместе с ним компания добавила дополнительные защитные меры.

И вот тут, по версии исследователя, началось веселье. NightmareEclipse заявил, что патчи могут вызывать поведение, при котором Defender записывает на диск огромные объёмы данных и в итоге съедает всё свободное место. Проблема якобы связана с mpengine.dll и функциями SpyNet, которые пытаются локально кешировать файл Zone.Identifier — служебные метаданные Windows о происхождении файла.

Обычно Defender ограничивает размер файлов, которые записывает при проверке и карантине. Но, как утверждает исследователь, для Zone.Identifier есть исключение: Defender может сохранять этот поток данных локально независимо от его размера.

По словам NightmareEclipse, атаку можно организовать через специально подготовленный SMB-сервер. Он должен отдавать вредоносный файл и огромный альтернативный поток данных Zone.Identifier, а затем удерживать соединение. В результате Defender может зависнуть на обработке и держать файлы, занимающие всё свободное место на диске.

Компьютер от этого не обязательно упадёт сразу, но Windows с полностью забитым диском начинает вести себя как уставший сервер: приложения и службы могут сбоить хаотично.

Microsoft на момент публикации не подтвердила описанное поведение. При этом конфликт между компанией и NightmareEclipse тянется уже несколько месяцев: исследователь обвинял Microsoft в отсутствии поощрения за найденные дыры, а корпорация критиковала его за раскрытие уязвимостей до исправлений.

RSS: Новости на портале Anti-Malware.ru