|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
F |
|
|
|
|
|
|
|
t |
|
|||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
r |
||||
P |
|
|
|
|
|
NOW! |
|
o |
P |
|
|
|
|
|
NOW! |
o |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
BUY |
|
|
|
Инструментальные средства киберразведки с открытым исходным кодом 237to |
BUY |
|
|
||||||||||||
|
|
|
|
to |
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||
w Click |
|
|
|
|
|
|
|
|
m |
w Click |
|
|
|
|
|
|
|
m |
||||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
|
o |
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
g |
.c |
|
|
. |
|
|
|
|
g |
.c |
|
|||||||
|
|
p |
|
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
||||
|
|
|
df |
|
|
n |
e |
|
|
|
|
|
df |
|
|
n |
e |
|
||||||
|
|
|
|
-xcha |
|
|
|
|
Таким образом, правильное использование киберразведки окажет прямое |
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
|||||
влияние на всю организацию.
Инструментальные средства киберразведки с открытым исходным кодом
Какупоминалосьранее,Министерствовнутреннейбезопасностисотрудничает сразведывательнымсообществом,чтобыповыситьсвойинтеллект,иэтовзна- чительной степени обычное явление в этой области. Сотрудничество и обмен информацией являются основой разведывательного сообщества. Существует множество инструментов киберразведки с открытым исходным кодом, кото- рыеможноиспользовать.Некоторыеизних–коммерческие(платные),анеко- торые–бесплатные.Вы можете начать,используя фиды или сводкиданных об угрозах.ФидыMetadefenderCloudоткомпанииOPSWATобладаютмножеством опций(отбесплатныхдоплатныхверсий)имогутпоставлятьсявчетырех раз-
личных форматах: JSON, CSV, RSS и Bro.
Для получения дополнительной информации о фидахMetadefender Cloud посетите сайт https://www.metadefender.com/threat-intelligence-feeds.
Еще одним вариантом быстрой проверки является сайт https://fraudguard.io. ВыможетевыполнитьбыструюпроверкуIP-адреса,чтобыполучитьданныеоб угрозе из этого места.В следующем примере в качестветеста использовался IP 220.227.71.226 (результат теста относится к тому дню, когда он был выполнен, т. е. 27.10.2017), и в результате отображаются следующие поля:
{
"isocode": "IN", "country": "India", "state": "Maharashtra", "city": "Mumbai",
"discover_date": "2017-10-27 09:32:45", "threat": "honeypot_tracker", "risk_level": "5"
}
Полный скриншот запроса показан на рис. 12.3.
Хотя это всеголишьпростой пример,существуютидругие возможности,ко- торые будут зависеть от уровня сервиса, который вы используете. Это также зависит от бесплатной и платной версий. Вы можете интегрировать каналы анализа угроз в свою систему Linux,используя канал Intel Critical Stack (https:// intel.criticalstack.com/), который интегрируется с монитором сетевой безопас-
ности Bro (https://www.bro.org/). У компании «Palo Alto Networks» также есть бесплатное решение MineMeld (https://live.paloaltonetworks.com/t5/MineMeld/ ct-p/MineMeld), которое можно использовать для получения сведений об угрозах.
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|
|||
|
|
X |
|
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
|||
P |
|
|
|
|
|
NOW! |
o |
||||
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|
|||
|
|
|
|
to |
238 Киберразведка |
||||||
w Click |
|
||||||||||
|
|
|
|
|
|
m |
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
|
. |
|
|
|
|
|
.c |
|
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
|
df |
|
|
n |
e |
|
|
||
|
|
|
|
-xcha |
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
Рис.12.3
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
||
Посетите эту страницу на GitHub, чтобы получить список бесплатных инструментов,
включая средства киберразведки: https://github.com/hslatman/awesome-threat-intelli- gence.
Втех случаях, когда группа реагирования на компьютерные инциденты не уверена в том,является конкретный файл вредоносным или нет,вы также мо- жете отправить его на анализ на сайте https://malwr.com.Здесь предоставляют- ся достаточно подробные сведения об индикаторах компрометации и приме- рах, которые можно использовать для обнаружения новых угроз.
Как вы убедились, существует множество бесплатных ресурсов, но есть и платныеинициативы с открытым исходнымкодом,такие какAlienVaultUSM Anywhere (https://www.alienvault.com/products/usm-anywhere). Честно говоря, AlienVault USMAnywhere–это не просто источник информации об угрозах.Он может выполнять оценку уязвимостей,проверять сетевой трафик и искать из- вестные угрозы, нарушения политики и подозрительные действия.
Вначальной конфигурации AlienVault USM Anywhere можно настроить об- мен информацией об угрозах. Обратите внимание, что для этого нужны учет- ная запись, а также действующий ключ, как показано на рис. 12.4.
После того как вы закончите настройку,USM будет постоянно следить за ва- шей средой и, когда что-то случится, подниметтревогу. Можно увидеть статус тревогии,чтонаиболееважно,то,какиестратегияиметодбылииспользованы
в ходе этой атаки, как показано на рис. 12.5.
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
||
Инструментальные средства киберразведки с открытым исходным кодом
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
239to |
BUY |
|
|
|||||||
|
|
|
|
|
||||||
|
|
|
|
|
m |
|||||
w Click |
|
|
|
|
|
|
||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
Рис.12.4
Рис.12.5
Вы можете поискать и найти более подробную информацию о проблеме.На рис.12.6показанпримероповещения.ВцеляхконфиденциальностиIP-адреса скрыты.
|
|
|
|
hang |
e |
|
|
|
|
||
|
|
|
C |
|
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|
|||
|
- |
|
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
||||
|
|
|
|
|
|
|
|||||
|
|
|
|
|
BUY |
|
|
||||
|
|
|
|
to |
240 |
||||||
w Click |
|
||||||||||
|
|
|
|
|
|
|
m |
||||
w |
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
|||
Киберразведка
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
||
Рис.12.6
В этом списке вы найдете очень важную информацию – источник атаки, место назначения атаки, семейство вредоносных программ и описание, что дает вам множество деталей,касающихся атаки. Если вам нужно передать эту информацию команде о реагировании на компьютерные инциденты, чтобы были приняты соответствующие меры, вы также можете щелкнуть кнопкой мыши на вкладке Recommendations (Рекомендации), чтобы увидеть, что делатьдальше.Хотя это общая рекомендация,вы всегда можете использоватьее, чтобы повысить качество ответа.
Вы также можете в любой момент получить доступ к OTX-платформе на сайте https://otx.alienvault.com/pulse, где у вас будет информация о последних угрозах, как показано на рис. 12.7.
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
||
Инструментальные средства киберразведки с открытым исходным кодом
|
|
|
|
hang |
e |
|
|
|
|
||
|
|
|
C |
|
E |
|
|
||||
|
|
X |
|
|
|
|
|
|
|||
|
- |
|
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
|
||||
241to |
BUY |
|
|
||||||||
|
|
|
|
|
|||||||
|
|
|
|
|
m |
||||||
w Click |
|
|
|
|
|
|
|
||||
w |
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
|
g |
|
|
|
|
|
|
df |
- |
|
|
n |
e |
|
||
|
|
|
|
x cha |
|
|
|
|
|||
Рис.12.7
Эта информационная панель предоставляет большое количество информа- ции и,хотя предыдущий пример показывает записи из AlienVault,сообщество также вносит свой вклад. На момент написания этих строк произошло мас- совое распространение вируса BadRabbit, и, попытавшись использовать функ- цию поиска на этой панели для получения дополнительной информации о ви- русе, я получил кучу просмотров.
На рис.12.8 пример важных данных,которые могут быть полезны для улуч- шения вашей системы защиты.
Рис.12.8