Есть два типа безопасников. Одни оставляют все идеи про многофакторные аутентификации, бэкапы и шифрование где-то на работе, другие же несут всё это домой и не могут представить свой дом без IPS и беспроводной сети с EAP-TLS. Но даже с точки зрения вторых Threat Intelligence дома – это уже перебор. И они почти наверняка ошибаются.
Cреднестатистический безопасник подписан на сотню специализированных блогов, твиттеров и подкастов. Это такая странная индустрия, где, кроме отдельных ситуаций, если вы перестали интересоваться вопросом на месяц, то, скорее всего, отстали очень надолго. Соответственно и времени уходит на чтение одних только новостей весьма существенно. Притом, что около трети новостей – это информация о том, кого в этот раз взломали. Было бы здорово иметь инструмент для агрегации всех этих новых индикаторов компрометации: кто рассылает спам, какие IP добавить черные списки, у кого утечка данных. В больших компаниях это полноценный threat intelligence с командой инженеров 24/7, но мы можем начать с малого и поставить себе MISP.
MISP расшифровывается как Malware Information Sharing Platform. Т.е. платформа для обмена информацией о различных вредоносных действиях. И выросла она как раз из невозможности вручную обрабатывать сотни документов, выгрузок и писем об атаках и индикаторах компрометации, которые поступают от вендоров, независимых исследователей, а теперь уже и государственных институтов. Проект когда-то разрабатывался одним человеком, а сегодня финансируется Европейским союзом и может интегрироваться с решениями от Symantec, Kaspersky и т.п. Такая вот история успеха.
Начать изучение можно с чтения MISP Book, а я сделаю небольшой обзор самых базовых возможностей. Установка весьма тривиальна и через 10-15 минут вы уже увидите окно входа в систему.
Далее необходимо выбрать источники, с которыми мы будем работать и из которых будем брать информацию. По умолчанию сейчас имеется 63 источника, что довольно много для бесплатного решения.
Кроме этого, всегда можно подключить источники от сторонних производителей, например, от Kaspersky.
В целом есть два сценария использования MISP. Первый – это когда вы просто изучаете источники, читаете про IOC, ищите какие-то конкретные IP или домены и т.п. Второй сценарий – это передача всей этой консолидированной информации на ваши сетевые устройства, такие как IDS, межсетевые экраны или агенты на конечных точках.
Теперь запустим обновление системы и источников и посмотрим ленту событий:
Можно увидеть информацию о вредоносных рассылках, атаках DDoS, фишинге и прочих вещах. Удобно, вы будете видеть события и реального мира информационной безопасности до того, как о них напишут блогеры или СМИ. На каждое событие можно кликнуть и посмотреть все подробности:
Тут и описание, и примеры файлов, которые следует поискать и что угодно для самостоятельного анализа ситуации.
Всё это решение очень неплохо интегрируется MITRE ATT&CK, о которой я писал недавно. Ну и наконец, когда вы освоитесь с MISP, можно попробовать интегрировать его с доступными вам решениями уже в вашей сети и более полно поучаствовать в жизни сообщества.
Simon Says «0» 