PT Threat Intelligence Feeds y PT Threat Analyzer — Solución integral para la gestión de amenazas

Positive Technologies ofrece una solución integrada para la gestión de la información sobre amenazas que se compone de dos componentes clave: PT Threat Intelligence Feeds y PT Threat Analyzer. Esta combinación facilita la detección, el análisis y la neutralización de ciberamenazas.

PT Threat Intelligence Feeds

PT Threat Intelligence Feeds son flujos de datos que contienen indicadores de compromiso (dominios maliciosos, direcciones IP, enlaces y sumas hash de archivos) que permiten a los equipos SOC estar al tanto de las amenazas actuales en seguridad de la información.

• Datos únicos sobre amenazas reales: Telemetría anonimizada de cientos de instalaciones de productos de Positive Technologies que configura el conocimiento sobre los eventos actuales en el mundo de la seguridad.
• Reputación y evaluación del daño potencial: Para cada indicador de compromiso se calculan puntuaciones de «Reputación» y «Daño potencial», lo que ayuda a priorizar y centrarse en evitar las amenazas más peligrosas.
• Datos contextuales ampliados: El enriquecimiento de indicadores con información adicional proporciona a los analistas SOC la información necesaria para decidir las respuestas ante las amenazas.
• Integración con productos de distintos proveedores: PT Threat Intelligence Feeds admite varios formatos y una amplia lista de herramientas de protección cuya cobertura sigue creciendo.

Más información: PT Threat Intelligence Feeds

PT Threat Analyzer

PT Threat Analyzer es una plataforma de software para acumular y utilizar conocimientos sobre amenazas de seguridad de la información. Recopila datos de fuentes externas e internas, los normaliza, los enriquece con contexto y los entrega a los productos de Positive Technologies.

• Acumulación de conocimientos: Obtiene información sobre amenazas de diversas fuentes, incluidas sandboxes, analizadores de código, proveedores comerciales y de código abierto, servidores WHOIS y DNS.
• Análisis de amenazas: Permite filtrar datos de amenazas por distintos parámetros, proporcionando a los analistas información detallada sobre indicadores de compromiso.
• Enriquecimiento de datos: Añade contexto adicional a los datos que permite conocer más sobre la amenaza potencial.
• Distribución de la información: La entrega instantánea de datos relevantes a las herramientas de protección ayuda a hacer frente a amenazas reales.

Más información: PT Threat Analyzer

Sinergia de componentes

El uso conjunto de PT Threat Intelligence Feeds y PT Threat Analyzer ofrece:

• Gestión centralizada de datos de amenazas: PT Threat Analyzer agrega y procesa datos de PT Threat Intelligence Feeds, creando una base de conocimientos única para el servicio de seguridad de la información.
• Detección y respuesta aceleradas: Los indicadores de compromiso actualizados de PT Threat Intelligence Feeds permiten a PT Threat Analyzer identificar y neutralizar rápidamente las amenazas.
• Enriquecimiento de datos para sistemas externos: PT Threat Analyzer entrega datos procesados a otros productos de Positive Technologies, como MaxPatrol SIEM y PT Network Attack Discovery, mejorando su eficacia.

La integración de estos componentes crea una solución potente para la gestión proactiva de ciberamenazas, ofreciendo protección fiable para los sistemas de información de la organización.

R‑Vision TIP — Plataforma de análisis de información sobre amenazas

R‑Vision Threat Intelligence Platform (TIP) es una plataforma diseñada para automatizar la recopilación, normalización y enriquecimiento de indicadores de compromiso (IoC), así como para su envío a las defensas internas y su búsqueda en la infraestructura de la organización mediante sensores.

Ventajas clave de R‑Vision TIP:

• Recopilación centralizada de datos: La plataforma agrega información sobre amenazas de diversas fuentes, incluidas Group-IB Threat Intelligence, Kaspersky Threat Intelligence, RST Cloud Threat Feed, BI.ZONE ThreatVision, AT&T Cybersecurity, ASOI FinCERT, MITRE ATT&CK y su propio R-Vision Threat Feed.
• Procesamiento y enriquecimiento: Los indicadores se normalizan, se consolidan duplicados, se asignan calificaciones y se establecen políticas de caducidad. La plataforma admite el enriquecimiento con más de 20 servicios como VirusTotal, Whois, RiskIQ, Ipgeolocation.io, Hybrid Analysis, OPSWAT Metadefender, Shodan y MaxMind.
• Análisis de relaciones: R‑Vision TIP recopila información sobre indicadores y datos relacionados, incluidos malware, vulnerabilidades (CVE, CPE, CWE), informes, actores de amenazas, técnicas y tácticas de MITRE ATT&CK, así como otros indicadores, lo que ayuda a formar una imagen completa de la amenaza.
• Integración con defensas: Los datos procesados se envían automáticamente a defensas internas, como UserGate, Cisco, PaloAlto Networks, Check Point, McAfee e Ideco UTM, para el bloqueo inmediato de amenazas.
• Monitorización de indicadores: La plataforma facilita búsquedas retrospectivas y proactivas de indicadores relevantes en eventos SIEM y envía alertas al detectarlos. Son compatibles integraciones con sistemas como QRadar, ArcSight, MaxPatrol SIEM, Apache Kafka y Smart Monitor.
• Automatización de escenarios: R‑Vision TIP permite crear y automatizar flujos de trabajo con indicadores, incluido el enriquecimiento de datos, la monitorización en eventos SIEM, las alertas y la exportación de indicadores a herramientas de protección.
• Generación de boletines: La plataforma ofrece un creador de boletines para elaborar materiales informativos sobre amenazas y vulnerabilidades, que se pueden distribuir a interesados y exportar a sistemas externos mediante API.

R‑Vision TIP está certificada por FSTEC de Rusia con nivel de confianza 4 y también admite nuevos feeds de FinCERT «Feed-Antifraude». R‑Vision TIP ayuda a las organizaciones a gestionar eficazmente los datos de inteligencia de ciberseguridad, identificar y bloquear amenazas a tiempo y automatizar procesos de seguridad de la información.

Más información: R-Vision TIP

Kaspersky Threat Intelligence — Conjunto de servicios de información sobre amenazas

Kaspersky Threat Intelligence es un conjunto de servicios que proporcionan contexto detallado y relevante durante todo el ciclo de gestión de incidentes y que permiten una comprensión exhaustiva de las ciberamenazas. Cuenta con el respaldo de analistas de primer nivel.

Componentes clave de Kaspersky Threat Intelligence:

• Kaspersky Threat Data Feeds: Indicadores de amenazas enriquecidos con inteligencia adicional. 
• Kaspersky CyberTrace: Plataforma que correlaciona datos procedentes de SIEM con indicadores de amenaza. 
• Kaspersky Threat Lookup: Búsqueda de datos detallados sobre indicadores de amenaza y sus relaciones con base en el portal Kaspersky Threat Intelligence.
• Kaspersky Threat Analysis: Conjunto de tecnologías de sandbox en la nube, atribución y detección de similitudes entre objetos para el análisis de amenazas. 
• Kaspersky Digital Footprint Intelligence: Monitoreo de amenazas potenciales contra la organización mediante el análisis del darknet y fuentes abiertas.
• Kaspersky APT Intelligence Reporting: Informes detallados sobre amenazas ligadas a grupos APT. 
• Kaspersky Crimeware Intelligence Reporting: Informes detallados sobre amenazas relacionadas con grupos motivados financieramente.
• Kaspersky ICS Threat Intelligence Reporting: Informes detallados sobre amenazas dirigidas a empresas industriales.
• Kaspersky Threat Infrastructure Tracking: Seguimiento de infraestructuras de grupos cibernéticos para minimizar el impacto.
• Kaspersky Takedown Service: Bloqueo gestionado de dominios maliciosos y de phishing.
• Kaspersky Ask the Analyst: Comunicación directa con expertos y acceso a conocimientos y recursos del Laboratorio Kaspersky.

Ventajas de Kaspersky Threat Intelligence:

• Punto de acceso único — Kaspersky Threat Intelligence Portal: Reúne la experiencia y todo el conocimiento del Laboratorio Kaspersky sobre ciberamenazas en un solo lugar.
• Trabajo interconectado de servicios: Los servicios se enriquecen y complementan entre sí, ofreciendo un enfoque integral de seguridad.
• Cobertura de datos tácticos, operativos y estratégicos: Monitoreo de amenazas relevantes para cada organización usando tecnologías propias de procesamiento y normalización de datos.
• Investigación de muestras de malware y atribución: Posibilidad de recibir alertas sobre nuevos datos añadidos al portal.
• Enfoque proactivo basado en inteligencia de amenazas: Análisis global que proporciona una visión completa del panorama actual de amenazas.
• Acceso a una base de conocimientos integral sobre amenazas y sus relaciones por parte de expertos mundiales: Integración de datos legibles por máquina de Kaspersky Threat Data Feeds en SIEM u otros sistemas de seguridad.
• Detección proactiva de puntos débiles en la organización que podrían ser explotados por atacantes: Experiencia exitosa en la detección temprana de nuevas amenazas.

El conjunto de servicios Kaspersky Threat Intelligence ofrece contexto detallado durante todo el ciclo de gestión de incidentes y garantiza una comprensión integral de las ciberamenazas, con el respaldo de analistas internacionales.

Más información: Kaspersky Threat Intelligence

F.A.C.C.T. Threat Intelligence — Análisis proactivo de ciberamenazas

F.A.C.C.T. Threat Intelligence es una solución diseñada para el análisis proactivo de ciberamenazas y la prevención de ataques mediante una comprensión profunda de las técnicas y herramientas empleadas por los atacantes.

Capacidades clave de F.A.C.C.T. Threat Intelligence:

• Análisis gráfico: Interfaz intuitiva para investigar amenazas, permitiendo rastrear conexiones entre atacantes, su infraestructura y sus herramientas, además de obtener información detallada con un solo clic.
• Análisis de datos del dark web: Acceso a una de las bases de datos más extensas del dark web entre empresas de ciberseguridad. Posibilidad de detectar actividades ilegales en la red y rastrear menciones de su organización en el underground con alertas configurables.
• Atribución de amenazas: Rápida elaboración de perfiles de comportamiento de atacantes, sus métodos e infraestructura, con información presentada en formato de matriz MITRE ATT&CK.
• Panorama de amenazas: Seguimiento personalizado de la actividad de atacantes en formato de matriz «Panorama de amenazas», que permite obtener toda la información necesaria sobre quienes atacan a su empresa, socios o sector.
• Detección de filtraciones de datos: Identificación de credenciales comprometidas, incluidas cuentas personales de VIP, tarjetas bancarias y bases de datos filtradas, antes de que los atacantes las utilicen.
• Protección contra phishing: Detección automática y cierre de sitios maliciosos para proteger la marca y los clientes. El centro de respuesta a incidentes de F.A.C.C.T. bloquea rápidamente sitios de phishing para minimizar el daño.
• Análisis de exploits: Detonación de archivos sospechosos mediante Unified Risk Platform o remisión al equipo de ingeniería inversa para investigación. Visualización de los resultados de análisis profundos de vulnerabilidades explotadas por ciertos actores y atacantes para priorizar la corrección de debilidades.

Ventajas de F.A.C.C.T. Threat Intelligence:

• Integración con sistemas de seguridad existentes: Integración lista para usar con SIEM, SOAR y herramientas TIP populares, así como transferencia de datos mediante API y formatos STIX/TAXII.
• Informes personalizados sobre amenazas: Elaboración de informes a petición y con periodicidad mensual o trimestral para la alta dirección.
• Protección proactiva: Identificación y remediación de vulnerabilidades antes de que sean explotadas por atacantes, gracias a información detallada sobre tácticas, técnicas y procedimientos.
• Automatización de flujos de trabajo: Mejora de la eficiencia del equipo mediante el enriquecimiento de sistemas SIEM, SOAR y EDR y plataformas de gestión de vulnerabilidades con integraciones API listas y soporte TAXII y STIX.
• Priorización de la corrección de vulnerabilidades: Automatización de alertas al detectar vulnerabilidades o su explotación por atacantes que afectan al sector de la empresa.
• Reducción del tiempo de respuesta: Eliminación rápida de atacantes en la red gracias a datos sobre los métodos utilizados por los atacantes, presentados en formato de matriz MITRE ATT&CK.

F.A.C.C.T. Threat Intelligence proporciona información única sobre atacantes dirigidos a su empresa y optimiza los mecanismos de defensa, previniendo eficazmente ataques, fraudes en línea y otras ciberamenazas para proteger negocios en todo el mundo.

Más información: F.A.C.C.T. Threat Intelligence

BI.ZONE Threat Intelligence — Plataforma de ciberinteligencia

BI.ZONE Threat Intelligence es un portal de ciberinteligencia orientado al panorama de amenazas en Rusia. Ofrece datos exhaustivos sobre ataques reales y los clústeres de actividad que los llevan a cabo, además de flujos diarios de indicadores de compromiso.

Capacidades clave de BI.ZONE Threat Intelligence:

• Construcción del panorama de ciberamenazas: Utilice datos relevantes para su empresa teniendo en cuenta su sector y geografía.
• Contextualización de disparos de herramientas de protección: Establezca relaciones entre indicadores de compromiso detectados y amenazas conocidas, así como los métodos y herramientas utilizadas por los atacantes.
• Obtención de información de recursos ocultos: Manténgase informado sobre nuevos ataques, herramientas de atacantes y vulnerabilidades explotadas.
• Eliminación de vulnerabilidades explotables: Descubra puntos débiles en su infraestructura que los atacantes usan en ataques reales.
• Mejora de escenarios de ejercicios cibernéticos: Realice emulaciones de ataques en formato red team y purple team basadas en información de incidentes reales.
• Búsqueda proactiva de ciberamenazas: Construya hipótesis para threat hunting usando datos detallados sobre tácticas, técnicas y procedimientos de atacantes.

Datos en el portal:

• Nivel estratégico: Información resumida de alto nivel sobre amenazas dirigida a directivos.
• Nivel táctico: Información técnica sobre métodos de atacantes para profesionales de ciberseguridad.
• Nivel operativo: Información técnica sobre ataques concretos o campañas de un clúster de actividad determinado.
• Nivel técnico: Flujos de indicadores de compromiso.

BI.ZONE Threat Intelligence obtiene información única gracias a sus propios equipos de ciberinteligencia y respuesta a incidentes, sensores en organizaciones protegidas y muchas otras fuentes.

Más información: BI.ZONE Threat Intelligence

Garda Threat Intelligence — Plataforma de ciberinteligencia

Garda Threat Intelligence es una plataforma destinada a recopilar, analizar, enriquecer, ordenar y actualizar datos sobre ciberamenazas. El servicio opera con fuentes internas y externas, procesando información sobre indicadores de compromiso, tácticas, técnicas y procedimientos (TTP).

Capacidades clave de Garda Threat Intelligence:

• Escalabilidad: La plataforma procesa hasta 60 000 nuevos indicadores de compromiso al día, garantizando la actualidad de los datos.
• Diversidad de tipos de datos: Admite ocho tipos de datos, incluidos Botnet host, Spam, VPN, Proxy, TOR, DDoS, Phishing y Suspicious hosts.
• Flexibilidad de formatos: Provisión de feeds en cuatro formatos: JSON, TXT, CSV y SIG, lo que facilita la integración con distintos sistemas de seguridad.
• Integración con sistemas de seguridad: El servicio se integra con NTA, NDR, NGFW, EDR, WAF, SIEM, IPS/IDS, SOAR/IRP, antiDDoS, firewalls y sandboxes, mejorando la eficacia de la protección.
• Enriquecimiento de datos: Su propia base Geo IP permite configurar políticas de seguridad de firewalls y realizar investigaciones de incidentes de seguridad de la información.

Ventajas de usar Garda Threat Intelligence:

• Prevención de ataques: El servicio ayuda a prevenir ataques contra activos protegidos, proporcionando datos actualizados sobre amenazas.
• Reducción de la carga de trabajo: La integración con sistemas de seguridad disminuye la carga sobre el personal de los centros de monitoreo de seguridad.
• Actualidad de los datos: El procesamiento diario de grandes volúmenes de datos asegura la actualización oportuna de la información sobre amenazas.
• Flexibilidad de suscripción: El servicio se ofrece mediante suscripción desde 12 meses en adelante, permitiendo adaptarlo a las necesidades de la organización.

Garda Threat Intelligence proporciona datos estructurados sobre ciberamenazas basados en el análisis de múltiples fuentes, lo que permite a las empresas anticipar el uso de nuevas técnicas y tácticas por parte de atacantes y tomar medidas defensivas acordes con la naturaleza de la amenaza y el nivel de riesgo.

Más información: Garda Threat Intelligence