Репортаж от Wedoany，Нидерландская компания по кибербезопасности Modat внедрила функцию нативного пассивного DNS (Passive DNS) в своей платформе интернет-разведки Magnify, объединив IP-адреса, отпечатки устройств, сертификаты и пассивный DNS в единый процесс расследования на основе pivot-анализа. Эта функция призвана решить давнюю проблему, с которой сталкиваются команды по киберразведке, охоте за угрозами, управлению экспозицией и борьбе с мошенничеством, — необходимость объединения данных из множества инструментов и точек.

Большинство платформ интернет-разведки строятся вокруг одного основного сигнала, а другие типы данных используются лишь как вспомогательные средства поиска. Уникальность Magnify заключается в том, что каждый сигнал является основным pivot-элементом. После того как пассивный DNS стал нативной функцией платформы, исследователи могут начать с одного домена и обнаружить все IP-адреса, на которых он размещен; начать с TLS-сертификата и найти все домены, которые он защищает; или начать с кластеризованных отпечатков устройств и выявить все хосты, работающие на одном и том же стеке программного обеспечения, — все операции выполняются в рамках одного пути запроса. Такая конструкция создает карту инфраструктуры злоумышленников, которая обновляется по мере изменения интернета, заменяя собой разрозненные списки поиска, которые ранее аналитикам приходилось собирать вручную.

Ключевые функции платформы пассивного DNS включают: анализ инфраструктурных pivot-элементов, позволяющий перемещаться между IP-адресами, доменами, TLS-сертификатами и кластеризованными отпечатками устройств на одном графике, при этом связи сохраняются, а не восстанавливаются между инструментами; корреляцию угроз в реальном времени, автоматически связывающую вновь наблюдаемые домены и IP-адреса с известными индикаторами компрометации (IOC), TTP-тактиками злоумышленников и семействами вредоносного ПО; ретроспективный анализ инфраструктуры, использующий запрашиваемый пассивный DNS вместе с временными шкалами IP-адресов, устройств и сертификатов Magnify, что позволяет аналитикам восстанавливать полный жизненный цикл как легитимной, так и атакующей инфраструктуры; интеграцию через API в первую очередь, обеспечивающую бесшовное взаимодействие с основными SIEM, SOAR и платформами киберразведки через REST API.

Генеральный директор и основатель Modat Суфиан Эль Ядмани заявил, что Magnify с самого начала проектировалась так, чтобы каждый сигнал — IP-адрес, устройство, сертификат, а теперь и пассивный DNS — был pivot-элементом на одном графике. Пассивный DNS — это не дополнительная функция, а четвертая опора, завершающая картину.

Компания Modat, основанная в 2024 году со штаб-квартирой в Гааге (Нидерланды), является единственной европейской компанией в сфере интернет-разведки. Ее флагманская платформа Modat Magnify непрерывно сканирует весь интернет, используя глубокое распознавание отпечатков для профилирования каждого подключенного к сети устройства и предоставляя контекстную разведку по более чем 50 категориям. Компания обслуживает национальные CERT, операторов критической инфраструктуры, компании по безопасности и крупные предприятия. Ее разведданные ежедневно используются командами по безопасности операций, киберразведке, охоте за угрозами и управлению экспозицией на нескольких континентах. Функция пассивного DNS от Modat теперь доступна корпоративным клиентам и партнерам MSSP.

Данный материал скомпилирован платформой Wedoany. При цитировании материалов, созданных с помощью искусственного интеллекта (ИИ), необходимо обязательно указывать источник — «Wedoany». В случае выявления нарушения прав или иных проблем просим своевременно информировать нас. Сайт оперативно внесёт изменения или удалит материал.Электронная почта: news@wedoany.com