ニュース

カスペルスキー、法人向けセキュリティインテリジェンスサービス「Kaspersky Threat Intelligence」の最新版を提供

 株式会社カスペルスキーは2月28日、法人向けセキュリティインテリジェンスサービス「Kaspersky Threat Intelligence」の最新版を提供開始した。

 Kaspersky Threat Intelligenceは、最新のサイバー脅威に関する信頼性の高い脅威インテリジェンスと、サイバー攻撃の解析に必要なツールを提供するサービス群。サイバー攻撃の防御に必要な技術・運用面でのインテリジェンス、攻撃の詳細や手法、経営層の意思決定に有用な戦術・戦略的インテリジェンスを提供し、企業がセキュリティレベルを高めるための取り組みを支援する。

 脅威インテリジェンスは、独自のWebクローラーやボットネット監視サービスなどのソースを基に、ヒューリスティックエンジンやマシンラーニングほか専門システムに加え、セキュリティ専門家による人的分析などの多用な検証により、高い精度と検知率を維持している。

 最新版での機能拡張としては、脅威情報をマシンリーダブルな形で提供する「Threat Data Feeds」に、4種の脅威データフィードを追加。金融機関やATM、POSなどの金融インフラを狙う攻撃に関する「Crimeware Feeds」、CASBソリューション向けの「Cloud Access Security Broker(CASB) Data Feed」、脆弱性が存在するオープンソースソフトのバージョンやダウンロード元などを含む「Open Source Software Threats Data Feed」、産業用制御システムに利用されるソフトに存在する脆弱性を検出するための「Industrial OVAL Data Feed for Windows」の4種類を追加した。

 また、Threat Data Feedsの既存脅威データフィードについても、強化を実施した。「Malicious Hashes Data Feed」には、戦術、技術および攻撃手法を分類したMITRE ATT&CKの情報を追加。「Phishing URL Data Feed」には、フィッシング攻撃の詳細を把握するために有用な脅威情報を追加した。

 IPアドレス、URLやオブジェクトの白黒判定と、インシデント対応に有用な関連情報を提供する「Threat Lookup」には、新たな脅威カテゴリと自動収集機能を追加。これまでのIPアドレス、URLやオブジェクトの白黒判定の検索結果に、DDoS、侵入、総当たり攻撃、ネットワークスキャナーなど新たな脅威カテゴリを追加した。これにより、検索したインジケーター(インシデントに関するIPアドレス、URL、ハッシュ値など)が、どのような目的で使用されたかを広範囲にわたって把握できる。

Threat Lookup検索結果画面の例

 また、指定したインジケーターに関連する情報を収集する自動スケジュール機能も追加した。Threat LookupおよびダークWeb、ソーシャルWeb検索によるインジケーターに関する情報の収集を定期間隔で自動的に実施し、関連情報に更新があった場合、Kaspersky Threat Intelligence Portal上およびメールで通知する。

 Kaspersky Threat Intelligence Portal上で、インシデントの全体像と規模を把握できる「リサーチグラフ」機能では、グラフ作成時の関連情報に攻撃グループ名や、「APT Intelligence Reporting」「Crimeware Intelligence Reporting」「ICS Reporting」で提供しているインジケーターに関連するレポート名を追加した。これにより、別のIoC(侵害の痕跡)とのつながりを見つけられ、各レポートで説明されている注目度の高い攻撃に関連するIoCを強調することで、脅威への対応と脅威ハンティングを迅速化できる。

攻撃グループ名「Lazarus」を検索対象にしたリサーチグラフの展開例

 SIEMなどのセキュリティワークフローと脅威データフィードを統合し、ログと脅威データベースを自動的に照合・分析するツール「CyberTrace」では、CERTや脅威インテリジェンスベンダーなどが提供する、メールおよびPDFドキュメントのIoC情報を外部ソースとして登録できるようになった。また、他社の多階層で記載されたJSON形式の脅威データフィードも使用可能になった。

 CyberTraceで検知した脅威状況を可視化する「リサーチグラフ」では、VirusTotalから指定したインジケーターに関する関連情報(URLリダイレクト元と先、ファイルのダウンロード元、ダウンロードされるファイルほか)の検索結果を追加し、脅威状況を分析するための情報を多角的に取得できるようになった。

CyberTrace上のリサーチグラフでVirusTotalの情報を取得

 このほか、オンラインヘルプを日本語化し、SIEMごとの統合方法や設定などをキーワードで検索できるようになった。