4 may. 2016

Cymon y SimpleIP: herramientas para analizar la información de múltiples fuentes

Cuando se reciben miles de ataques desde Internet, es necesario disponer de información que permita tomar decisiones de una forma ágil y rápida. En un CERT/SOC, es decir en un centro de operaciones de ciberseguridad, es primordial disponer de información sobre una posible amenaza para ejecutar acciones y/o medidas de prevención, protección y defensa.

A priori no se sabe si es lícito o no, para resolver el misterio se puede consultar la información sobre la lista de direcciones IP origen, en alguna de las múltiples fuentes de información o Blacklist. Recientemente ha nacido un proyecto que unifica en solo portal toda la información sobre reputación, actividad maliciosa y comportamiento de las direcciones IP reportados por las múltiples fuentes de información con objeto de generar una base de datos de conocimiento única donde con una sola consulta se pueda conocer si una dirección IP esta considerada "una amenaza" real o sin embargo esta considerada como una amenaza potencial.

En el proyecto Cymon.io, con una consulta en la web, se permite analizar la información de la dirección IP en múltiples fuentes de información, lo que permite ahorrar tiempo en dicho análisis. Este proyecto además cuenta con una API de desarrollo que permite automatizar el proceso.
Principales fuentes de información sobre reputación y actividad de las IP en Internet:
Comprobar todas y cada una de ellas, puede ser un proceso lento y muy tedioso y para eso se puede utilizar Cymon.

Simple IP Information Tools [SIPI]

sIPi (Simple IP Information Tools) es un pequeña herramienta que en su versión 0.1, permite:
  • Analizar la reputación de la dirección IP [actividad malware, botnet, spam, dnsrbl, blacklist, etc] consultando las fuente Cymon.io
  • Nivel de exposición de las direcciones IP utilizando el motor SHODAN.io
  • Información de geolocalización básica de la IP utilizando IPInfo.io
Con esta utilidad se ha unificado en una sola herramienta la consulta de "IP Reputation data & IP Service exposure risk". En esta primera versión 0.1, se puede analizar una sola IP o una lista de IP's, donde se puede consultar por una categoría [botnet, spam, malware, phishing, blacklist] o todas, así como añadir información sobre SHODAN.io o simplemente información sencilla de geolocalización.

Más información y ejemplos se pueden encontrar aquí.

Fuente: Seguridad para todos

1 comentario:

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!