卡巴斯基威胁情报门户：我们需要更深入。

Jirehlov1234

译自：https://eugene.kaspersky.com/2019/10/24/open-tip/



卡巴斯基威胁情报门户：我们需要更深入。
2019年10月24日
作者：尤金·卡巴斯基

我非常清楚，对于95％的读者来说，这篇帖子毫无用处。但是对于那剩余的5％，它有可能极大地简化您的日常工作。换言之，对于网络安全专家——SOC团队，独立研究员和刨根问底的技术专家，我们有一些好消息：我们的woodpeckers和GReAT专家用以维持世界上最好的网络威胁研究所运转而每天使用的工具威胁情报门户（Threat Intelligence Portal）如今向所有人开放，并且其精简版是免费的。我们有时将其简称为“TIP”。看了我这里简单的介绍之后，务必立即把它添加到书签！

当今的网络安全专家神经紧绷，而卡巴斯基威胁情报门户则为其解决了两大问题。第一：“我应该在上百的可疑文件中首先选择的哪个？”；第二：“好吧，我的杀毒软件说文件是安全的——然后呢？”


经典的终端类产品往往返回简明的黑白与否的检出，与之不同的是，威胁情报门户内置的分析工具可提供有关文件的可疑程度以及相关特定方面的详细信息。另外，除了文件，哈希、IP地址和URL也可以放入其中进行分析。我们的云计算系统将迅速对所有这些对象进行分析，并将每一个对象的分析结果返回给您：有害之处（如果有的话），感染的罕见程度，甚至是可能为远房亲戚的已知威胁，使用了哪些工具来制作等等。最重要的是，可执行文件将在我们拥有专利的云沙箱中运行，并能在几分钟之内给出结果。



此时，我可以听到那5％读者的尖叫声：“这不就是VirusTotal嘛！”

是的，但又不是。

在一方面，我们的目的是相同的——为专家提供额外的工具来分析具体事件并做出明智的决定。而另一方面，我们的方法却迥然不同。

VirusTotal最初被构想成一个简单的多引擎扫描器——它整合了多家杀软的引擎，由用户上传的文件来运作服务。因此，包括我们在内的所有供应商都很反感像“你怎么没有检测出某文件”的指责。但是准确地说，我们是在传统的文件扫描上没有检出该文件。而之后的事实是，我们通过其他途径成功检出了。但在VirusTotal上，您根本看不到。当然，在VirusTotal上已经出现了其他工具，但总体上，仍将重点放在采用了30年前非常保守的技术的引擎上。

作为对复杂威胁进行深入分析的专家，我们努力使整个专家社区都可以好好利用这一深度。在威胁情报门户中唯一一个分析artifacts的引擎就属于用我的名字命名的公司。而它碰巧是世界数一数二的。这个引擎结合了数十种高级分析技术（请参见此处，此处，此处，此处，等等），然后您将查看到详细的结果。当然，与我们在VirusTotal上的那部分引擎相比，TIP提供了的检测级别是非常不同的。

此外，使用VirusTotal扫描文件还是有一定价值的，第二，第三甚至第四个参考永远不是一件坏事。但是晓得如何正确权衡这些观点至关重要。顺便说一句，如果我们决定使用来自其他合作厂商的信息来扩展威胁情报门户，我们的审查将分外严格。

威胁情报门户和VirusTotal之间的另一个区别是……怎么说呢……受限的信息分配。上传到VirusTotal的文件可供许多订阅者使用，而使用我们的威胁情报门户，没有订阅者可以访问其他人的文件。

说到订阅……

威胁情报门户有一个付费版本，功能更丰富——部分原因是，它提供了访问我们的顶级分析师撰写的有关检测到的网络威胁的详细报告。而且，如果事实证明上传的文件与已知的金融恶意软件相类似，则有关其开发者如何攻击受害者，其使用的工具等最新最详细的信息，等等，尽在威胁情报门户的完整版本。



我不予置评。

麻衣神相

Kaspersky Threat Intelligence Portal

https://opentip.kaspersky.com/

klub

我可以理解卡巴开始卖技术了吗？

Wesly.Zhang

这里面有个沙盒吧。

a8855942

还是不太懂。