Новости

По результатам тестирования DomainTools Iris получает высокую оценку SC Magazine

Вердикт SC Magazine: это потрясающая платформа за свои деньги. Рекомендуем его как решение, обязательное для всех компаний любого размера.

6 сентября 2018 года

Rainbow Security, ведущий российский дистрибьютор в области информационной безопасности, сообщает о том, что компания DomainTools, лидер в области анализа киберугроз на основе доменных имен и DNS, объявила о результатах тестирования платформы для расследований DomainTools Iris.

Краткие выводы тестирования специалистов SC Lab.

Сильные стороны: большая информационная база данных доменов; уникальная информация, которая может быть получена только из их уникальной истории.

Слабые стороны: поддержка могла бы быть немного сильнее.

Вердикт: удивительное решение для своей цены. Эта платформа является обязательной для приобретения организациями всех размеров. Это самый рекомендуемый продукт в своей группе.

В результате тестирования, специалисты SC Lab описали свои выводы:

«Платформа расследования Iris от DomainTools привносит генеалогию в миссию сбора и корреляции информации об угрозах. Первоначально в центре внимания компании была покупка и продажа доменных имен, что означало создание веб-сайтов и выполнения запросов Whois. За 17 лет предоставления этой услуги, включая предоставления профилей IP и скриншотов сайтов, DomainTools имеет самое большое хранилище данных в мире об общих и национальных доменах верхнего уровня.

Фундаментальная основа платформы Iris – ее способность своевременно собирать и обрабатывать огромные объемы интернет-данных. Надо понимать, что база данных DomainTools включает около 330 миллионов доменов, каждый из которых имеет несколько связанных точек данных, таких как IP-адреса хостинга, сервера имен, данные регистрации/Whois, коды отслеживания, скриншоты, сертификаты SSL и многое другое. Компания продолжает обрабатывать около 250 000 записей в день, в среднем, 5000 из которых – недавно зарегистрированные домены.

Компания DomainTools может быть уверена в собственной оценке риска домена, отображаемой в Iris, так как она просто «заполнена» известными черными списками доменов. На основе классификаторов машинного обучения эти списки обрабатываются, а затем дополняются именами близко связанных доменов, а также и другими, используемыми мошенниками, которые очень похожи на официально зарегистрированные домены.

Черные списки содержат около трех миллионов доменов, причем более 40 миллионов возможных вредоносных доменов обрабатываются посредством анализа ссылок и технологии машинного обучения.

Мы начали поиск в Iris, просмотрев домен, и обнаружили, что находимся в интерфейсе pivot engine. Пивоты-это то, что DomainTools называет "отправными точками" в исследовании. В этом интерфейсе отображается много информации о домене, включая сервер имен, Whois, ответ веб-сайта, дату истечения срока действия, дату создания, статус регистратора и контактную информацию. Все, что выделено синим цветом, указывает на интересный поворот, который является сигналом системы для аналитиков, что есть некоторые уникальные атрибуты, которые ненормальны. На этом этапе следователи будут углубляться в ИС, чтобы оценить риски других IP-адресов, связанных с рассматриваемой областью.

Оценки риска для этих доменов зависят от близости и известного профиля угроз. Близость показывает насколько тесно связан целевой домен с занесенными в черный список. Шкала от 0 до 100 – прогнозируемая оценка, а не оценка на основе наблюдений. Ключевой набор данных Iris, который называется пассивным DNS, используется для наблюдения за трафиком DNS и получением данных о тех поддоменах, которые привязаны к родительскому.

Хотя Iris и является основным пользовательским интерфейсом платформы, опытные аналитики для интеграции могут создавать собственные пакеты API. На самом деле, есть пакет готовых API. Основная цель – расширить все возможности аналитики, обогащая данные DomainTools с помощью процессов, которые часто происходят в SIEM или другой платформе анализа угроз. Для этого у Iris есть определенные интеграционные пакеты с Splunk, IBM QRadar, MISP, ThreatConnect, Recorded Future и Anomali.

Для поддержки, компания предлагает выделенную 16/5 (8 часов для обеих Америк и 8 рабочих часов для региона EMEA) поддержку по электронной почте и телефону, а также предоставляются бесплатные ежемесячные записанные вебинары и дополненные руководства пользователя для улучшения качества исследований и более глубокого изучения особенностей и функциональности платформы. Лицензия DomainTools Enterprise основана на объеме запросов (а не на количестве пользователей).»

Iris Investigation Platform — это отмеченное наградами решение для поиска киберугроз, построенное на крупнейшей в мире базе данных профилей доменов и криминалистической информации на основе DNS.

За более подробной информацией обращайтесь по адресу: pr@rnbo.ru

Возврат к списку

 

Защита банкоматов

Имя* Компания* Email* Телефон

* - Поля, обязательные для заполнения

Компрометация приложений для смартфонов

Имя* Компания* Email* Телефон

* - Поля, обязательные для заполнения

Семинар ATAR

Фамилия* Имя* Должность* Компания* Email* Телефон* Защита от автоматического заполнения Введите символы с картинки*

* - Поля, обязательные для заполнения

Заполните поля

Защита от автоматических сообщений
CAPTCHA
Введите слово на картинке*

Заполните поля

Защита от автоматических сообщений
CAPTCHA
Введите слово на картинке*