Cuando se reciben miles de ataques desde Internet, es necesario disponer de información que permita tomar decisiones de una forma ágil y rápida. En un CERT/SOC, es decir en un centro de operaciones de ciberseguridad, es primordial disponer de información sobre una posible amenaza para ejecutar acciones y/o medidas de prevención, protección y defensa.
Introducción
Por ejemplo, se detecta un tcp_scan en el IPS / Cortafuegos:
 |
| FortiAnalyzer - Event Manager - IPS |
A priori no se sabe si es lÃcito o no, para resolver el misterio se puede consultar la información sobre la lista de direcciones IP origen, en alguna de las múltiples fuentes de información / blacklist (véase las principales fuentes de información sobre reputación y actividad de las IP en Internet):
The Top Cyber Threat Intelligence Feeds
- AlienVault.com: Multiple sources including large honeynets that profile adversaries.
- CrowdStrike.com: Advanced threat intel as part of their threat protection platform.
- Cyveilance.com: Unique feeds on threat actors: indications of criminal intent.
- EmergingThreats.net: A variety of feeds.
- FireEye.com: DTI- Dynamic Threat Intelligence service.
- HackSurfer.com (SurfWatch): Insights tailored to your business.
- HexisCyber.com: Feed supports automated actions.
- InternetIdentity.com: Threat feeds from their big data solution ActiveTrust.
- iSightPartners.com: ThreatScape series.
- LookingGlass.com: Maps of infrastructure, connectivity and ownership, plus threat intel.
- MalwareCheck.org: Intelligence on any URL
- MalwareDomains.com: A list of domains known to be associated with malware.
- RedSkyAlliance.com: A vetted team of corporate computer incident responders and security professionals.
- RecordedFuture.com: Organizes information from the Internet.
- SecureWorks.com: Provides feeds and also instruments networks.
- Symantec.com: DeepInsight feeds on a variety of topics including reputation.
- Team-Cymru.com: Threat intelligence plus bogon lists.
- TheCyberThreat: Our Twitter feed. High level but comprehensive and curated.
- ThreatConnect.com: by Cyber Squared. Focused on information sharing.
- ThreatGrid.com: Unified malware analysis. Now part of Cisco.
- ThreatIntelligenceReview.com: Updated reviews of threat intelligence sources.
- ThreatStop.com: Block Botnets by IP reputation.
- ThreatStream.com: Famous team. Multiple sources in interoperable platform.
- ThreatTrack.com: Stream of malicious URLs,IPs and malware/phishing related data.
- Verisigninc.com: iDefense feeds highly regarded by some key institutions.
Comprobar todas y cada una de ellas, puede ser un proceso lento y muy tedioso. Recientemente ha nacido un proyecto que unifica en solo portal toda la información sobre reputación, actividad maliciosa y comportamiento de las direcciones IP reportados por las múltiples fuentes de información con objeto de generar una base de datos de conocimiento única donde con una sola consulta se pueda conocer si una dirección IP esta considerada "una amenaza" real o sin embargo esta considerada como una amenza potencial.
Estoy hablando del proyecto http://cymon.io
Una consulta en la web, permite analizar la información de la dirección IP en múltiples fuentes de información, lo que permite ahorrar tiempo en dicho análisis. Este proyecto además cuenta con una API de desarrollo que permite automatizar el proceso.
Como ya se anunciaba en nuestro anterior artÃculo, el departamento MSOC (Monitoring & CyberSOC) de www.svtcloud.com ha desarrollado una herramienta [sIPi] que aprovecha esta API de consulta, para automatizar el proceso de obtención de información relacionada con una lista de direcciones IP. Se puede consultar 1000 direcciones IP/dÃa, de forma totalmente gratuita.
[!] Simple IP Information Tools [SIPI]
sIPi (Simple IP Information Tools), asà os como se ha bautizado a esta pequeña herramienta que en su versión 0.1, permite:
- Analizar la reputación de la dirección IP [actividad malware, botnet, spam, dnsrbl, blacklist, etc] consultando las fuente Cymon.io
- Nivel de exposición de las direcciones IP utilizando el motor SHODAN.io
- Información de geolocalización básica de la IP utilizando IPInfo.io
Con esta utilidad se ha unificado en una sola herramienta la consulta de "IP Reputation data & IP Service exposure risk".
En esta primera versión 0.1, se puede analizar una sola IP o una lista de IP's, donde se puede consultar por una categorÃa [botnet, spam, malware, phishing, blacklist] o todas, asà como añadir información sobre SHODAN.io o simplemente información sencilla de geolocalización.
Más información y ejemplos se pueden encontrar aquÃ:
// GET it NOW //
https://github.com/ST2Labs/SIPI
#ST2Labs
#SVTCloudSecurity
IP Reputation Data & IP Risk Level Exposure
// GET it NOW //
https://github.com/ST2Labs/SIPI
#ST2Labs
#SVTCloudSecurity
This tool is aimed for Incident Response Team and anyone what's want to know the behaviour of the "suspicious" IP Address. The tools do search looking for reputation info from a set of open threat intelligence sources. Information about this IP like malware activity, malicious activity, blacklist, spam and botnet activity.
IP Reputation Data & IP Risk Level Exposure
![[cymon-analyzer] | Modulo de Análisis Reputación IP en Cymon.io para Cortex Engine | theHive-project](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj_dCBGUDphoQrCN8UbdoRiK4e909Xr2WDs6Fxoj7u2lM0oefIEXJ_QEvrDBL9_0vF7VYsYffzyizisfE6hVyFa4GWEBXvpo16hPpdV6GQT8aXfitrJFFWajhB0YIIuKzFD-Ug6LcNiWkDi/s250-c/TheHive+Project+-+Head.png)
![[Tool] Converter 0.11 is out - Pentesting](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiwQi0JfzgMTDo7V3xViguYSVKNZKj7Vu4cbnQg-ghfUHVKA5JlylGojd7MJqCIAMZ8Blrzt56ysrq_RF6DfbwBLEiCmbMm4ar988Og7lP4Bpo_TvI7-_ZsYo1HZEsQj6-i3bSU9gVvPN6F/s250-c/Converter_Tools_ST2Labs.png)
0 comentarios:
Publicar un comentario