「カスペルスキー 脅威情報ルックアップサービス」は、企業や行政機関のセキュリティ担当者が不審な動きや怪しい兆候を見つけた時に、Kaspersky Labのセキュリティインテリジェンスデータベースで直接照合が可能になり、マルウェアのみならずURLやIPアドレスなど入手した攻撃の証拠に関連する情報を検索・調査することができるサービス。このサービスは、国際刑事警察機構(インターポール)でも世界のサイバー犯罪捜査のために利用されているという。
既存の「カスペルスキー 脅威データベース提供サービス」では、世界中のカスペルスキー製品ユーザーから提供されたレピュテーション情報と、Kaspersky Labのリサーチャーの知見をはじめとする最新の脅威インテリジェンスを、マシンリーダブルな形式で提供している。今回「IPレピュテーション」がメニューに加わったことで、URLとマルウェアのハッシュ値に加え、IPアドレスのレピュテーション情報が利用できるようになった。
こうしたインテリジェンスを有効利用することで、これまで見逃されてきた標的型攻撃などの重大な脅威やその兆候がより把握しやすくなり、適切な初動対応をとることで、被害の深刻化を未然に防ぐことや攻撃を停止させることが可能になるという。また、外部に調査依頼していた作業を、自らのSOC/CSIRTで対応することができるため、インシデント対応のスピード向上と、コストの低減も実現できるとしている。
■「カスペルスキー 脅威情報ルックアップサービス」の特徴
サイバー攻撃に使われるマルウェアやウェブサイトのURLなどの断片的な兆候から、Kaspersky Labのセキュリティインテリジェンスデータベースを直接検索できるサービス。例えば、発見した疑わしいファイルのハッシュ値をキーとして入力することで、その脅威判定をはじめ、ホストされていたURL、通信先、ファイル名、潜伏先、次にダウンロードするマルウェアなどの情報を得ることができる。
・使い易い専用ポータルサイト:リアルタイムに更新される数ペタバイトのKaspersky Labのセキュリティインテリジェンス情報へアクセスが可能 ・対応検索キー:オブジェクトのハッシュ値、URL、IPアドレス
・検索キーから得られるインテリジェンス情報:キー情報の脅威判定(ブラック/ホワイト/グレー)、マルウェアの種類、検知日時(Kaspersky Labが悪意の判定を行った日時)、検知の地域分布や検知数の時間推移などの統計情報、マルウェアがホストされていたURL、マルウェアの通信先、オブジェクトの属性、マルウェアが潜伏しているフォルダーのパスなど
・ホワイトリストデータベースと連携:正規のオブジェクト、IPアドレス、URLを調査対象から除外することでインシデント対応の迅速化と効率化が可能
■「カスペルスキー 脅威データベース提供サービス」の特徴
レピュテーションデータベースをはじめとした最新の脅威情報を、マシンリーダブル形式で提供。悪意のあるURL、C&CサーバーのURL、フィッシングサイトのURL、マルウェアハッシュ値、モバイルに対する脅威データに加え、今回新たにIPレピュテーションを提供。各種SIEMに対応したプラグインの利用により、ファイアウォールやプロキシサーバーなどで収集したIPアドレスのログとマッチングができ、サイバー攻撃とその兆候をいち早く発見することが可能になる。
・提供するIPレピュテーション:悪意のあるIPアドレス、TorExitNodeのIPアドレス、SPAMリレーサーバーのIPアドレス ・更新頻度:10分に1回(最短)
・Splunk対応:最新版Splunk Enterprise 6.5に対応 ・対応プラグイン:Splunk、ArcSight、QRadar、Logstorageに加え、RSA Security Analytics、LogRhythmに対応
・ログマッチツール:SIEM以外のログ管理サーバー上でも、カスペルスキー 脅威データベースとマッチングが可能なツールを提供。
