カスペルスキーは2月7日、サイバーセキュリティ対策を強化するためのサービス群である「カスペルスキー セキュリティインテリジェンスサービス」において法人向けに「カスペルスキー 脅威情報ルックアップサービス」を加えるとともに、既存の「カスペルスキー 脅威データベース提供サービス」では「IPレピュテーション」メニューを追加し、提供開始した。
新サービスは、企業や行政機関のセキュリティ担当者が不審な動きや怪しい兆候を発見した際に、Kaspersky Labのセキュリティ・インテリジェンス・データベースに直接照合が可能になり、マルウェアに加えてURLやIPアドレスなど、入手した攻撃の証拠に関連する情報を検索・調査できるというもの。
同サービスは、「対応検索キー」「検索キーから得られるインテリジェンス情報」「ホワイトリストデータベースと連携」などの特徴を備える。対応検索キーは、オブジェクトのハッシュ値/URL/IPアドレス。
|
カスペルスキー 脅威情報ルックアップサービスの利用イメージ |
検索キーから得られるインテリジェンス情報は、キー情報の脅威判定(ブラック/ホワイト/グレー)、マルウェアの種類、検知日時(Kaspersky Labが悪意の判定を行った日時)、検知の地域分布や検知数の時間推移などの統計情報、マルウェアをホストしていたURL、マルウェアの通信先、オブジェクトの属性、マルウェアが潜伏しているフォルダのパスなどとなる。
ホワイトリスト・データベースとの連携では、正規のオブジェクト/IPアドレス/URLを調査対象から除外することで、インシデント対応の迅速化と効率化が可能としている。同製品は「KTL100」(1日あたりの検索回数は100回)、「KTL200」(同200回)、「KTL500」(同500回)のパッケージメニューで提供し、価格はオープン。
一方、脅威データベース提供サービスでは、世界中のユーザーが提供したレピュテーション情報と、Kaspersky Labのリサーチャーの知見をはじめとする最新の脅威インテリジェンスを、マシンリーダブルな形式で提供している。今回、IPレピュテーションをメニューに加えたことで、URLとマルウェアのハッシュ値に加え、IPアドレスのレピュテーション情報の利用が可能になった。
同メニューを有効利用することで、従来は見逃していた標的型攻撃などの重大な脅威やその兆候をより把握しやすくなり、適切な初動対応を採ることで、被害の深刻化の未然防止や攻撃停止が可能になるという。また、外部に調査依頼していた作業を自らのSOC/CSIRTで対応できるため、インシデント対応のスピード向上とコストの低減も実現できるとしている。
|
カスペルスキー 脅威データベース提供サービスとSIEMの連携イメージ |
同サービスで提供するIPレピュテーションは、悪意のあるIPアドレス、TorExitNodeのIPアドレス、スパムリレーサーバのIPアドレスで、更新頻度は最短で10分に1回。Splunk Enterprise 6.5に対応し、プラグインはSplunk/ArcSight/QRadar/Logstorageに加え、RSA Security Analytics及びLogRhythmに対応する。
さらに、ログマッチツールとして、SIEM(Security Information and Event Management)以外のログ管理サーバ上でも同サービスとマッチングが可能なツールを提供する。価格はオープン。なお、IPレピュテーションにはアノニマイザー/ポート・スキャナ/C&Cサーバ/ボットネットP2Pの各データベースを2017年内に追加を予定している。
