カスペルスキーは1月20日、脅威インテリジェンスのサービス群「Kaspersky Threat Intelligence」を拡充し、APT(高度サイバー攻撃)、産業制御システム(ICS)、および個別顧客に特化した脅威情報を提供する新サービスとして、「Kaspersky APT C&C Tracking」「Kaspersky ICS Threat Intelligence Reporting」「Kaspersky Digital Footprint Intelligence」を、法人を対象に同日からパートナー経由で提供開始することを発表した。
-
「Kaspersky Threat Intelligence」が提供するサービス
「Kaspersky APT C&C Tracking」では、APTで使用されているアクティブなC&Cサーバー(指令サーバー)のIPアドレス情報を提供する。そのデータは、API連携やJSON/CSV形式で書き出して、SIEMなどのセキュリティソリューションで活用できるため、危険な通信をしている疑いがあるエンドポイントの特定や通信のブロックが可能になるという。
また、各IPアドレスには、発見日、IPアドレスの登録に関するWHOIS情報やタグ情報(関連するAPTグループ、配信されるマルウェア、ツールのいずれか)といったコンテキスト情報が含まれ、インシデントレスポンスなど必要なアクションにつながる情報が提供されるということだ。
「Kaspersky ICS Threat Intelligence Reporting」では、産業制御システムを標的としたAPTや業界別のサイバー脅威に関するレポートや、SCADA、PLC、リモート管理ツールなどICS関連システムの脆弱性情報を提供する。レポートや情報は、テキストのほか、業界、標的となった組織がある国やAPTグループといった検索用タグを使用して検索することが可能。IoC(脅威存在痕跡)も提供され、サイバー攻撃の検知強化に利用できるという。
-
Kaspersky APT C&C Trackingの画面例
「Kaspersky Digital Footprint Intelligence」では、TTPsを熟知したリサーチャーにより、個別組織に対する潜在的攻撃ポイントを洗い出したレポートを提供する。ネットワーク情報やブランド名などのキーワードからセキュリティリスクを調査し、外部から悪用可能な脆弱性や不用意な設定がないかネットワーク境界を検査するという。また、ダークウェブを含むインターネット上に対象組織へのサイバー攻撃の予兆がないかや、アカウントなどの漏洩情報などについても報告するということだ。
