VirusTotal vs. Jotti: täydellinen vertailu ja todelliset vaihtoehdot

Informatec Digital » Resurssit » VirusTotal vs. Jotti: täydellinen vertailu ja todelliset vaihtoehdot

Kun puhumme analysoi epäilyttävät tiedostot haittaohjelmien varaltaKeskusteluissa nousee aina esiin kaksi nimeä: VirusTotal ja Jotti. Ne ovat kokeneita palveluita, joita käyttävät laajalti sekä kotikäyttäjät että tietoturvateknikot ja analyytikot, jotka tarvitsevat nopean toisen mielipiteen internetistä ladatusta tai sähköpostitse vastaanotetusta tiedostosta.

Vaikka ne ensi silmäyksellä saattavatkin vaikuttaa lähes identtiset työkalutTodellisuudessa virustorjuntaohjelmien, skannaustyyppien, tiedostojen enimmäiskoon, raporttien yksityiskohtaisuustason ja jopa palvelun lähestymistavan (edistyneempi tai yksinkertaisempi) välillä on merkittäviä eroja. Lisäksi ekosysteemi on kasvanut, ja nykyään on monia vaihtoehtoja, joita kannattaa tutkia, jotta vältetään yhden alustan varaan luottaminen.

Miksi verkkoskannerit ovat edelleen hyödyllisiä

Windowsin kaltaisissa järjestelmissä, joissa on Vakituinen virustorjunta asennettuna ja päivitettynä Se ei ole valinnaista, se on välttämättömyys. Itse asiassa Microsoft itse integroi Windows Defenderin järjestelmään, joka tarjoaa perus reaaliaikaisen suojauksen ilman, että meidän tarvitsee tehdä mitään lisätoimia.

Silti monet käyttäjät suhtautuvat edelleen epäluuloisesti Windows Defenderiin ja valitsevat sen. kolmannen osapuolen tietoturvaratkaisut vakiintuneilta tuotemerkeiltä, ​​jotka ovat olleet markkinoilla vuosia. Tämä pääasiallinen virustorjuntaohjelma valvoo yleensä tietokonetta taustalla, mutta emme aina halua asentaa toista ohjelmaa vain tarkistaaksemme tietyn tiedoston.

Arkielämässä on erittäin käytännöllistä pystyä tekemään ns. Yhden tai useamman tiedoston analysointi pyynnöstä suoraan selaimestailman asennusta ja järjestelmäasetuksiin koskematta. Tässä kohtaa tulevat mukaan palvelut, kuten VirusTotal tai Jotti, joiden avulla voit ladata tiedoston ja tarkistaa sen useilla virustorjuntaohjelmilla samanaikaisesti.

Virustorjuntaohjelman ajoitettujen tarkistusten lisäksi on suositeltavaa suorittaa tarkistus säännöllisesti. perusteellisempi tietokoneen tarkistusMutta kun meitä huolestuttaa jokin tietty tiedosto (liite, ladattu suoritettava tiedosto, kyseenalainen asiakirja), nämä verkkoskannerit tarjoavat nopean ja erittäin kätevän toisen mielipiteen.

Mikä on VirusTotal ja miten se toimii?

Vuosien varrella VirusTotalista on tullut maailmanlaajuinen viite tiedosto- ja URL-analyysissä Verkosta. Se kuuluu Googlen ekosysteemiin ja integroituu kaikenlaisiin työnkulkuihin: yksittäisen tiedoston lataajista SOC-tiimeihin, jotka automatisoivat kyselyitä API:n kautta.

VirusTotalin suurin vahvuus on se, että Se yhdistää yli 70 virustorjuntaohjelmaa ja tietoturvatyökalua analysoidakseen lähetetyn kohteen. Eli se ei rajoitu yhteen ratkaisuun, vaan testaa tiedostoa, URL-osoitetta, verkkotunnusta tai IP-osoitetta useilla riippumattomilla tekniikoilla parantaakseen havaitsemismahdollisuuksia.

Käyttäjälle prosessi on hyvin yksinkertainen: lataa vain tiedosto tai liitä se URL-osoite, verkkotunnus, IP-osoite tai tiivisteOdota muutama sekunti ja tarkista yksityiskohtainen raportti, joka näyttää, mitkä hakukoneet merkitsevät sen haitalliseksi, mitkä pitävät sitä puhtaana ja minkä tyyppisiä uhkia, jos sellaisia ​​on, on havaittu.

Toinen erittäin tehokas ominaisuus on sen valtava historiallinen näytetietokantaVirusTotal tallentaa ja järjestää analysoidut tiedostot, jolloin voit tarkastella vanhoja näytteitä ja nähdä, miten tunnistukset ovat kehittyneet ja mitä lisätietoja on ajan myötä luotu.

Alustalla on myös erittäin aktiivinen yhteisö joka kommentoi, taggaa ja rikastuttaa näytteitä kontekstilla: haittaohjelmaperheillä, tunnetuilla kampanjoilla, niihin liittyvillä indikaattoreilla jne. Tämä yhteistyönäkökulma tuo raportteihin valtavasti lisäarvoa.

Haittapuolena on, että ilmaisversiossa on tiedostokokorajoitukset joka voidaan ladata ja API:n käytössä. Toinen arkaluontoinen asia on yksityisyys: monet käyttäjät eivät tunne oloaan mukavaksi arkaluontoisten tiedostojen lataaminen tietäen, että ne voidaan jakaa yhteisön ja turvallisuusyritysten kanssa.

Mikä on Jotti ja miten se eroaa VirusTotalista?

Jotin haittaohjelmaskannaus on paljon yksinkertaisempi verkkopalvelu, joka on suunniteltu niille, jotka haluavat tarkista tiedosto nopeasti Ilman, että asiat menevät monimutkaisiksi. Konsepti on samanlainen: lataat tiedoston ja useat virustorjuntaohjelmat analysoivat sen rinnakkain.

Palvelun omien tietojen mukaan Jotti sallii Lataa jopa 5 tiedostoa kerrallaUusimman kokoonpanon 250 Mt:n enimmäistiedostokoko (joissakin vanhemmissa vertailuissa mainittiin 20 Mt, mutta nykyinen raja on huomattavasti suurempi), joten se on käytännöllinen keskikokoisille dokumenteille, suoritettaville tiedostoille tai pakkausohjelmille.

Moottorien määrä on huomattavasti pienempi kuin VirusTotalissa: Jotti toimii 15–20 erilaista virustorjuntaohjelmaamikä käytännössä on edelleen hyvä "toinen mielipide", mutta tarjoaa ilmeisesti vähemmän monimuotoisuutta kuin VirusTotalin yli 70 vaihtoehtoa.

Yksi sen eduista on käyttöliittymä: Jotti erottuu edukseen Erittäin siisti ja suora esitysIhanteellinen ei-teknisille käyttäjille, jotka haluavat vain tietää, "haiseeko tiedosto epäilyttävältä" vai ei. Raportti on lyhyempi ja vähemmän ylitsevuotava kuin VirusTotalin.

Palvelu keskittyy kuitenkin yksinomaan ns. analysoi irtotiedostojaSe ei salli URL-osoitteiden, verkkotunnusten tai IP-osoitteiden skannausta, mikä on osa VirusTotalin päivittäistä rutiinia analyytikoille ja järjestelmänvalvojille.

Palvelu itse varoittaa, että vaikka se käyttäisi useita moottoreita, 100% suojaa ei ole olemassaLisäksi kaikki lähetetyt tiedostot jaetaan osallistuvien virustorjuntayritysten kanssa niiden allekirjoitusten ja tunnistusmekanismien parantamiseksi, mikä on otettava huomioon, jos käsittelet erittäin arkaluontoista sisältöä.

VirusTotalin ja Jottin yhtäläisyydet

Keskivertokäyttäjän näkökulmasta VirusTotalilla ja Jotilla on useita yhteisiä perusominaisuuksia, jotka selittävät, miksi ne mainitaan usein yhdessä keskusteltaessa verkossa toimivat haittaohjelmien skannerit.

Ensinnäkin, molemmat ovat ilmaisia ​​palveluita, joita voit käyttää selaimestasiPeruskäyttö ei vaadi tilin luomista eikä lisäohjelmistojen asentamista. Käy vain verkkosivustolla, valitse tiedosto ja odota tulosta.

Molemmat perustuvat ajatukseen siitä, että käytä useita virustorjuntaohjelmia samanaikaisesti lisätäkseen uhkien havaitsemisen todennäköisyyttä. Sen sijaan, että ne luottaisivat yhden toimittajan mielipiteeseen, ne tarjoavat eräänlaisen "äänestyksen" useiden hakukoneiden kesken.

He ovat myös yhtä mieltä siitä, että he ovat on-demand-analytiikkatyökalutNe eivät korvaa työpöytätietokoneiden virustorjuntaohjelmistoja. Ne eivät tarjoa reaaliaikaista suojausta, estä latauksia tai valvo prosesseja; ne vain skannaavat sen, minkä lähetät niille manuaalisesti.

Sekä VirusTotal että Jotti ovat tarjonneet tai tarjoavat edelleen työpöytäasiakkaat Tiedostojen lähettämisen helpottamiseksi ilman selaimen avaamista, mikä on hyödyllistä niille, jotka analysoivat tiedostoja usein eivätkä halua toistaa samaa manuaalista prosessia joka kerta.

Keskeiset erot: Missä VirusTotal voittaa ja missä Jotti on vakuuttavampi?

Vaikka konsepti on samanlainen, VirusTotalin ja Jotin vertailussa havaitaan merkittäviä eroja hakukoneissa, analyysivaihtoehdoissa ja yksityiskohtaisuuden tasossa, mikä tekee kumpikin niistä paremmin sopivan tietyntyyppiselle käyttäjälle.

Ensimmäinen suuri ero on siinä, virustorjuntaohjelmien lukumäärä ja valikoimaVertailevat testit ovat osoittaneet, että Jotti käytti noin 19 hakukonetta, kun taas VirusTotal käytti 40, 50 tai enemmän aikakaudesta riippuen, mukaan lukien suosittuja ratkaisuja, kuten McAfee, Symantec tai Trend Micro, joita Jotti ei sisällytä.

Toinen alue, jolla VirusTotalilla on etulyöntiasema, on skannausasetuksetSe ei rajoitu tiedostoihin: sen avulla voit myös analysoida URL-osoitteita, verkkotunnuksia, IP-osoitteita, tiivisteitä ja jopa poimia käyttäytymistietoja, mikä on erittäin hyödyllistä linkkien tarkistamisessa ennen niiden lataamista. vieraile mahdollisesti vaarallisilla verkkosivustoilla.

Yhteyden turvallisuuden kannalta VirusTotal tarjoaa tiedoston lataus SSL-yhteyden kautta salaamaan siirron analyysin aikana. Jotti ei ole monissa vaiheissaan tarjonnut näin näkyviä vaihtoehtoja, mikä saattaa huolestuttaa käyttäjiä, jotka ovat erittäin suojelevia lataamiensa tietojen luottamuksellisuudesta.

Toisaalta Jotti saa pisteitä juuri siksi, että yksinkertaisuus ja selkeysSe ei hukuta sinua kymmenillä välilehdillä, indikaattoreilla tai edistyneillä mittareilla; se keskittyy näyttämään, mitkä hakukoneet merkitsevät tiedoston epäilyttäväksi, eikä juuri muuta, mikä on asia, jota monet arvostavat, jos he haluavat vain nopean vastauksen.

Erilaiset vertailevat analyysit päättelevät yleensä, että jos etsit maksimaalinen kattavuus ja monipuolisuusVirusTotal voittaa ylivoimaisesti. Jotti taas on hyvässä asemassa täydentävänä palveluna, nopeana toisena mielipiteenä VirusTotalin tai paikallisen virustorjuntaohjelman käytön jälkeen.

VirusTotal sen jälkeen, kun se on integroitunut Google Threat Intelligenceen

Viime vuosina maisema on muuttunut VirusTotalin ammattikäyttäjille, kun palvelusta on tullut yhä enemmän integroitunut osaksi Googlen uhkatiedustelu (GTI), Googlen yrityksille suunnattu kybertiedustelutuotteiden tuotelinja.

Tämän integraation myötä monet aiemmin saatavilla olleet ominaisuudet vapaat tai keskitason He ovat siirtyneet korkeampiin maksumalleihin, ja useat ammattilaiset ovat kommentoineet erikoistuneilla foorumeilla merkittäviä hinnankorotuksia datan ja raporttien edistyneestä käyttöoikeudesta.

Tämä muutos tapahtuu erityisen herkällä hetkellä, haavoittuvuuksien ja uhkien jatkuva kasvuUhkatietoraporteissa on arvioitu, että paljastettujen CVE-tapausten määrä on kasvanut yli 15 prosenttia aiempiin vuosiin verrattuna, mikä vaatii enemmän dataa, enemmän kontekstia ja enemmän automaatiota.

Monille kyberturvallisuustiimeille, uhkien metsästäjille ja SOC-tiimeille turvautuminen vain yhteisön lataukset ja virustorjuntaohjelmien tunnistukset VirusTotalin sisällä se ei enää riitä, eikä se ole aina kustannustehokasta, jos haluat syventyä asiaan käyttämällä edistyneitä API-rajapintoja.

Kaikki tämä on vauhdittanut etsintää käytännöllisiä ja täydentäviä vaihtoehtoja jotka täyttävät uhkatietojen, indikaattorien korrelaation ja automaation tarpeet olematta 100-prosenttisesti riippuvaisia ​​VirusTotal/GTI-ekosysteemistä.

Tehokkaita vaihtoehtoja VirusTotalille (Jottin lisäksi)

Vaikka Jotti on mielenkiintoinen vaihtoehto satunnaiseen käyttöön, on olemassa laaja valikoima muitakin alustoja, jotka kattavat tiettyjä näkökohtia haittaohjelmien analysointi, näytteiden jakaminen, IP-maine tai haitallisen infrastruktuurin kartoitus ovat kaikki harkitsemisen arvoisia.

Metadefender-pilvi (OPSWAT)

OPSWATin Metadefender Cloud on pilviratkaisu, joka ei ainoastaan ​​tarjoa VirusTotal-tyylinen monimoottorinen analyysimutta lisää ennaltaehkäisyyn keskittyviä lisäkerroksia, kuten desinfioinnin ja tiedostojen puhdistamisen.

Palvelu mahdollistaa skannauksen tiedostot, URL-osoitteet, IP-osoitteet ja tiivisteet Yli 20–30 virustorjuntaohjelman avulla, jotka etsivät sekä tunnettuja uhkia että epäilyttävää toimintaa, ajatuksena on maksimoida havaitseminen yhdistämällä eri tekniikoita.

Sen tähtiominaisuutena on Sisällön aseistariisunta ja jälleenrakennus (CDR)Se ottaa tiedoston, poistaa siitä mahdollisesti vaaralliset osat (makrot, skriptit, upotetun sisällön) ja luo käyttökelpoisen "puhtaan" version, jopa tapauksissa, joissa haittaohjelmaa ei ole vielä nimenomaisesti tunnistettu.

Metadefender Cloud tarjoaa myös tiedostojen haavoittuvuuksien tarkistusEsimerkiksi havaitsemalla vanhentuneita kirjastoja tai komponentteja, joissa on tunnettuja hyökkäysalueita, mikä lisää ylimääräisen suojauskerroksen pelkkään virustorjunta-analyysiin.

API:n ja integraatioiden ansiosta se on hyvä vaihtoehto organisaatiot, jotka haluavat automatisoida puhtaanapidon saapuvista tiedostoista (sähköpostit, asiakasportaalit, sisäiset siirrot) ennen kuin ne päätyvät loppukäyttäjälle.

Jotti's Malware Scan yksinkertaisena vaihtoehtona

Suoran vertailun lisäksi VirusTotalin kanssa Jotti on edelleen erinomainen voimavara nopeat ja ilmaiset skannaukset kotitalousympäristöissä tai pienissä yrityksissä, jotka eivät vaadi suuria käyttöönottoja.

Sen tärkein vetovoima on sen käyttö useita virustorjuntaohjelmia käynnissä rinnakkainTämä parantaa havaitsemisastetta verrattuna sokeaan yhden työpöytäohjelmiston käyttöön luottamiseen ja voi paljastaa uhkia, jotka yksi hakukone ei huomaisi.

Sen kokorajoitus (tällä hetkellä jopa 250 Mt tiedostoa kohden ja mahdollisuus lähettää 5 kerrallaTämä tekee siitä käytännöllisen useimmissa yleisissä tapauksissa, asennusohjelmista pakattuihin tiedostoihin tai hieman painaviin dokumentteihin.

Käyttöliittymä on hyvin minimalistinen, ja siinä on tavallinen paneeli ilman lisäasetuksia Se saattaa olla hämmentävää. Se on ihanteellinen niille, jotka haluavat ladata tiedoston, nähdä luettelon hakukoneista ja päättää nopeasti, luottavatko he tiedostoon vai eivät.

Analyytikoille tai edistyneille käyttäjille Jotti toimii hyvin toinen tai kolmas vahvistuslähde VirusTotalin jälkeen, erityisesti prosesseissa, joissa haluat vertailla tuloksia eri verkkopalveluiden välillä.

VirSCAN.org

VirSCAN.org on toinen klassikko useita virustorjuntaohjelmia verkossaSen avulla voit ladata tiedostoja ja tarkistaa ne useilla eri valmistajien moottoreilla, mikä antaa poikkileikkauskuvan mahdollisista tartunnoista.

Hän on pitkään onnistunut 20 Mt tiedostokohtainen rajoitusTämä on jonkin verran varovaisempi kuin Jottin nykyiset luvut, mutta riittävä useimmille analyysiskenaarioissa yleisesti käytetyille suoritettaville tiedostoille ja Office-dokumenteille.

Heidän lähestymistapansa on samanlainen: mene ylös, odota tulosta ja tarkista, mitkä moottorit havaitsevat mitäSe keskittyy vähemmän ultrakäytettävyyteen ja enemmän toimivan ja ilmaisen palvelun tarjoamiseen, josta on hyötyä toisen mielipiteen saamiseksi.

Intezer Analyse

Intezer Analyze antaa perinteiselle lähestymistavalle uuden näkökulman ja keskittyy siihen, mitä he kutsuvat "Geneettisen koodin analyysi"Sen sijaan, että se luottaisi pelkästään virustorjuntatarkistuksiin, se pilkkoo tiedoston osiin ja vertaa koodinpätkiä valtaviin haittaohjelmien ja laillisten ohjelmistojen tietokantoihin.

Tällä tavoin se pystyy havaita koodin uudelleenkäyttö eri haittaohjelmaperheissä, nähdä yhtäläisyyksiä aiempiin näytteisiin ja ryhmitellä näytteitä sukulinjojen mukaan, mikä on erittäin hyödyllistä tutkijoille ja tiedusteluryhmille.

Intezerin raportit tarjoavat konteksti koodin todennäköisestä alkuperästämitkä osat ovat uusia, mitkä on otettu muista troijalaisista tai työkaluista ja miten otos sopii tunnettuihin kampanjoihin, mikä helpottaa attribuutiotyötä.

Lisäksi se integroituu hyvin mm. Lähetysten ja korrelaatioiden automatisointiin tarkoitetut API-rajapinnatSiksi se on tehokas vaihtoehto yritys- ja tutkimusympäristöille, jotka haluavat ylittää tyypillisen "tartunnan saanut/ei tartunnan saanut" -jaon.

AlienVault (taso sininen)

AlienVault, joka tunnetaan nyt Level Blue -brändistä, ei ole vain haittaohjelmien analysointityökalu, vaan myös yhtenäinen tietoturva-alusta joka yhdistää useita ominaisuuksia yhteen tuotteeseen.

Heidän ehdotuksensa pyörii sen ympärillä, että Yhtenäinen tietoturvan hallinta (USM)Yhdistää SIEM:n, resurssien tunnistuksen, haavoittuvuuksien skannauksen ja IDS:n sekä haittaohjelmien tunnistuksen ja tapahtumien korrelaation.

Yksi AlienVaultin tärkeimmistä ominaisuuksista on sen yhteistyöhön perustuva uhkatiedustelu, jota yhteisö ja kaupalliset lähteet syöttävät ja jota päivitetään jatkuvasti epäilyttävän toiminnan ja meneillään olevien kampanjoiden tunnistamiseksi.

API-rajapintansa ja muiden ratkaisujen kanssa integroitavuuden ansiosta se on houkutteleva vaihtoehto organisaatiot, jotka haluavat nähdä haittaohjelmat vain yhtenä palapelin palana kokonaisvaltaisen turvallisuuskehyksen sisällä, ei erillään jostakin erillisestä.

MalwareBazar

MalwareBazar, jota pyörittävät abuse.ch ja Spamhaus, on yhteistyöalusta haittaohjelmanäytteiden jakamiseen ja lataamiseenSe on suunnattu erityisesti tutkijoille, tietoturvavalmistajille ja tiimeille, jotka tarvitsevat uutta materiaalia analyyseihinsä.

Yksi sen eduista muihin alustoihin verrattuna on se, että Se poistaa monia markkinoille pääsyn esteitä.Ei ole monimutkaisia ​​rekisteröintivaatimuksia tai liian tiukkoja latausrajoituksia, mikä tekee päivittäisestä tutkimustyöstä sujuvampaa.

Alusta keskittyy oikeisiin näytteisiin välttäen vaarattomat tiedostot, mainosohjelmat tai mahdollisesti ei-toivotut ohjelmat maksimoidakseen jaetun tiedon arvon. Tämä auttaa niitä, jotka analysoivat haittaohjelmaperheitä, bottiverkkoja tai tiettyjä kampanjoita.

MalwareBazar tarjoaa API:n, joka mahdollistaa automatisoi näytteiden lataamisen ja integroinnin analyysivirroissa, hiekkalaatikossa tai tiedustelutietojen rikastamisessa sekä integraatioissa SIEM:n ja muiden ratkaisujen kanssa.

Metsästys.io

Hunt.io on suunnattu enemmän uhkien metsästys ja tiedustelu haitallisesta infrastruktuurista tiedostojen itsensä analysoinnin sijaan. Se keskittyy verkkotunnuksiin, IP-osoitteisiin ja tiivisteisiin sekä niiden keskinäisiin suhteisiin.

Yksi sen tähtiominaisuuksista on sen C2-infrastruktuurin syöttö, joka tunnistaa ja validoi ennakoivasti komento- ja ohjauspalvelimet ennen kuin niitä hyödynnetään massiivisesti laajojen internet-skannausten ansiosta.

Alusta suorittaa a altistuneiden palvelujen jatkuva seuranta, varmenteita, HTTP-otsikoita ja muita ulkoisesti näkyviä elementtejä haitallisten toimijoiden käyttömallien havaitsemiseksi.

Ominaisuuksien, kuten IOC Hunterin, avulla se mahdollistaa alkaen tietystä indikaattorista (verkkotunnus, IP, tiiviste) ja tutkia siihen liittyvää infrastruktuuria: paljastuneita hakemistoja, jaettuja varmenteita, epäilyttäviä otsikoita jne.

OPSWAT MetaDefender Cloud metsästystyökaluna

Monimoottorisena skannerina toimimisen lisäksi MetaDefender Cloud on hyvässä asemassa mm. uhkien metsästystyökalu integroimalla tietoja useilta tietoturvapalveluntarjoajilta, käyttäjäpalautteesta ja korrelaatiokyvyistä.

Alusta hyödyntää enemmän kuin 20 virustorjuntaohjelmaa ja muita analyysikerroksia väärien negatiivisten tulosten vähentämiseksi, vasteaikojen parantamiseksi ja hälytysten priorisoinnin helpottamiseksi yritysympäristöissä.

Sen yhteistyöhön perustuva lähestymistapa, jossa käyttäjät voivat Tiedostojen, IP-osoitteiden tai verkkotunnusten merkitseminen ja kommentointiSe mahdollistaa tunnistusalgoritmien jatkuvan hienosäädön ja pitää järjestelmän ajan tasalla uusimpien uhkien kanssa.

CAPE-hiekkalaatikko

CAPE Sandbox (CAPEv2) on aiempien projektien, kuten Cuckoo Sandboxin, kehitysaskel, ja siitä on tullut Erittäin tehokas työkalu dynaamiseen haittaohjelmien analysointiin, ihanteellinen laboratorioille ja pelastusryhmille.

Sen suurin vahvuus on yhdistämisessä staattinen ja dynaaminen analyysi sisäisten konfiguraatioiden purkamiseen, piilotettujen hyötykuormien purkamiseen ja väistötekniikoiden löytämiseen, jotka jäävät usein huomaamatta puhtaasti staattisissa analyyseissä.

CAPEv2 pystyy valvomaan API-kutsujen, verkkoliikenteen, tiedostojärjestelmän muutosten ja muistinluomalla erittäin yksityiskohtaisia ​​raportteja haittaohjelman käyttäytymisestä suorituksen aikana.

Se sisältää myös puhdistusjärjestelmän, jota ohjaa YARA-säännöt ja muut mekanismitjoka auttaa kohtaamaan näytteitä hiekkalaatikon vastaisilla tekniikoilla tai edistyneemmillä naamiointiyrityksillä.

VäärinkäyttöIPDB

AbuseIPDB on yhteistyöhön perustuva tietokanta, joka sisältää IP-osoitteen maine joka kerää käyttäjien, yritysten ja automatisoitujen palveluiden ympäri maailmaa lähettämiä raportteja haitallisesta toiminnasta.

Kuka tahansa henkilö tai järjestelmä voi Ilmoita hyökkäyksiä suorittavista IP-osoitteistaraa'an voiman hyökkäykset, roskaposti, loukkaavat skannaukset tai muu epäilyttävä toiminta, mikä osaltaan parantaa tietokannan laatua.

Tämä yhteisöpohjainen lähestymistapa varmistaa, että tietokanta pysyy erittäin ajan tasalla todellisesta haitallisesta toiminnasta, laboratoriossa luotujen yksinkertaisten staattisten listojen lisäksi, ja tekee siitä arvokkaan saapuvan liikenteen estämisessä tai suodattamisessa.

Sen API-rajapinta helpottaa tämän mainetiedon integrointia palomuurit, SIEM, WAF tai omat skriptitjotta esto- tai hälytyspäätöksiä voidaan tukea kunkin IP-osoitteen historiaa koskevalla rikastetulla tiedolla.

Kaiken edellä mainitun perusteella VirusTotal ja Jotti ovat edelleen kaksi erittäin hyödyllistä työkalua tiedostojen analysointiin, mutta ne sopivat paljon laajempaan kokonaisuuteen, jossa monimoottoriset skannerit, näytteenjakoalustat, edistyneet hiekkalaatikot ja haitallisen infrastruktuurin tiedustelu täydentävät toisiaan ja tarjoavat paljon rikkaamman ja toimintakykyisemmän kuvan nykyisistä uhkista.