Threat Intelligence Portal: we moeten dieper gaan

We hebben een gratis versie gemaakt van ons Threat Intelligence Portal voor gedetailleerde analyses van potentiële dreigingen.

Ik begrijp heel goed dat deze post voor 95% van jullie volledig nutteloos is. Maar voor de resterende 5% heeft het de potentie om jullie werkweek enorm veel eenvoudiger te maken (en tevens veel weekenden). In andere woorden: we hebben geweldig nieuws voor cybersecurity-pro’s – SOC-teams, onafhankelijke onderzoekers en nieuwsgierige tech-fanaten: de tools die onze spechten en GReAT-leden dagelijks gebruiken om het beste onderzoek betreffende cyberdreigingen ter wereld uit te voeren, zijn nu beschikbaar voor jullie allemaal, en ook nog eens gratis, met de lite-versie van ons Threat Intelligence Portal. Het wordt soms afgekort tot TIP, en nadat ik er hier wat over gezegd heb, zult u het onmiddellijk aan uw favorieten toevoegen.

Het Threat Intelligence Portal lost twee belangrijke problemen op voor de overbelaste cybersecurity-expert van vandaag de dag. Ten eerste: “Welke van deze honderden verdachte bestanden moet ik als eerste kiezen?”, en ten tweede: “Oké, mijn antivirus zegt dat het bestand veilig is. Wat nu?”

 

 

In tegenstelling tot de ‘klassiekers’ – [KESB PLACEHOLDER]Endpoint Security[/KESB PLACEHOLDER]–klasse-producten, die enkel een beknopt oordeel met Schoon/Gevaarlijk geven, geeft de analytische tool die is ingebouwd in het Threat Intelligence Portal gedetailleerde informatie over hoe verdacht een bestand is en in welke specifieke opzichten. En niet alleen bestanden. Hashes, IP-adressen en URLs kunnen er voor de zekerheid ook ingegooid worden. Al deze items worden snel geanalyseerd door onze cloud en de resultaten komen op een presenteerblaadje bij u terug: wat er slecht aan ze is (als dat al zo is), hoe zeldzaam een infectie is, op welke bekende dreigingen ze ook maar enigszins lijken, welke tools er zijn gebruikt om het te creëren, enzovoorts. Bovendien worden de uitvoerbare bestanden in onze gepatenteerde cloud sandbox uitgevoerd en zijn de resultaten binnen enkele minuten beschikbaar.

Op dit punt hoor ik de 5% schreeuwen: “Dat is gewoon VirusTotal!”

Ja – en nee.

Aan de ene kant is het doel ervan hetzelfde: het bieden van aanvullende tools aan specialisten voor het analyseren van een concreet incident om zo een weloverwogen beslissing te maken. Aan de andere kant is onze aanpak volledig anders.

VirusTotal werd ontworpen als een simpele multi-scanner – het voegt verschillende antivirus-engines samen en voedt deze met door de gebruiker geüploade bestanden. Daarom wordt de beschuldiging “jullie detecteren bestand X niet” vaak naar vendors geroepen, inclusief naar ons; maar het is nauwkeuriger om te zeggen dat we bestand X niet detecteren met een traditionele bestandsscanner. Zoals later blijkt, detecteren we het wel succesvol met gebruik van andere tools. Maar bij VirusTotal ziet u dat simpelweg niet. Natuurlijk, er zijn aanvullende tools verschenen op VirusTotal, maar de algemene focus blijft liggen op de brede dekking van engines die een zeer conservatieve technologie gebruiken die meer dan 30 jaar geleden werd gecreëerd.

Als experts in diepe analyse van complexe dreigingen, streven we ernaar om die diepte ook beschikbaar te maken voor de hele gemeenschap van specialisten. De enige engine die artefacten analyseert in het Threat Intelligence Portal behoort toe aan het bedrijf dat mijn naam draagt. En dat is toevallig ook de beste van de wereld. Het combineert tientallen geavanceerde analyse-technologieën (zie hier, hier, hier, enzovoorts) en laat u vervolgens zelf naar de gedetailleerde resultaten kijken. In vergelijking met het deel van onze engine dat ook in VirusTotal zit, biedt TIP natuurlijk een erg verschillend detectieniveau.

Bovendien kan het de moeite waard zijn om bestanden ook met VirusTotal te scannen, een second, third en fourth opinion kan nooit kwaad. Maar het is essentieel om te weten hoeveel waarde u aan deze meningen moet hechten. Als we overigens ooit besluiten om het Threat Intelligence Portal uit te breiden met informatie van een partnerschap met andere vendors, zal onze due diligence extra strikt zijn.

Een ander verschil tussen het Threat Intelligence Portal en VirusTotal is…hoe beschrijf ik dit… –de beperkte distributie van informatie. Bestanden die op VirusTotal worden geüpload zijn beschikbaar voor een brede groep abonnees, terwijl er bij ons Threat Intelligence Portal geen sprake is van abonnees met toegang tot de bestanden van andere mensen.

Over die abonnementen:

Er bestaat een betaalde versie van het Threat Intelligence Portal, die veel meer opties biedt – mede vanwege het feit dat het toegang biedt tot de gedetailleerde rapporten over gedetecteerde cyberdreigingen die worden opgesteld door onze top-analisten. Als blijkt dat een geüpload bestand bijvoorbeeld op een bekend stuk financiële malware lijkt, is de nieuwste en meest gedetailleerde informatie over hoe cybercriminelen slachtoffers aanvallen, welke tools ze gebruiken, enzovoorts meteen beschikbaar in de volledige versie van de dienst.

Tips