Cymon y SimpleIP: herramientas para analizar la información de múltiples fuentes
Cuando se reciben miles de ataques desde Internet, es necesario disponer de información que permita tomar decisiones de una forma ágil y rápida. En un CERT/SOC, es decir en un centro de operaciones de ciberseguridad, es primordial disponer de información sobre una posible amenaza para ejecutar acciones y/o medidas de prevención, protección y defensa.
A priori no se sabe si es lícito o no, para resolver el misterio se puede consultar la información sobre la lista de direcciones IP origen, en alguna de las múltiples fuentes de información o Blacklist. Recientemente ha nacido un proyecto que unifica en solo portal toda la información sobre reputación, actividad maliciosa y comportamiento de las direcciones IP reportados por las múltiples fuentes de información con objeto de generar una base de datos de conocimiento única donde con una sola consulta se pueda conocer si una dirección IP esta considerada "una amenaza" real o sin embargo esta considerada como una amenaza potencial.
En el proyecto Cymon.io, con una consulta en la web, se permite analizar la información de la dirección IP en múltiples fuentes de información, lo que permite ahorrar tiempo en dicho análisis. Este proyecto además cuenta con una API de desarrollo que permite automatizar el proceso.
Principales fuentes de información sobre reputación y actividad de las IP en Internet:
Con esta utilidad se ha unificado en una sola herramienta la consulta de "IP Reputation data & IP Service exposure risk". En esta primera versión 0.1, se puede analizar una sola IP o una lista de IP's, donde se puede consultar por una categoría [botnet, spam, malware, phishing, blacklist] o todas, así como añadir información sobre SHODAN.io o simplemente información sencilla de geolocalización.
Más información y ejemplos se pueden encontrar aquí.
Fuente: Seguridad para todos
A priori no se sabe si es lícito o no, para resolver el misterio se puede consultar la información sobre la lista de direcciones IP origen, en alguna de las múltiples fuentes de información o Blacklist. Recientemente ha nacido un proyecto que unifica en solo portal toda la información sobre reputación, actividad maliciosa y comportamiento de las direcciones IP reportados por las múltiples fuentes de información con objeto de generar una base de datos de conocimiento única donde con una sola consulta se pueda conocer si una dirección IP esta considerada "una amenaza" real o sin embargo esta considerada como una amenaza potencial.
En el proyecto Cymon.io, con una consulta en la web, se permite analizar la información de la dirección IP en múltiples fuentes de información, lo que permite ahorrar tiempo en dicho análisis. Este proyecto además cuenta con una API de desarrollo que permite automatizar el proceso.
- AlienVault.com: Multiple sources including large honeynets that profile adversaries.
- CrowdStrike.com: Advanced threat intel as part of their threat protection platform.
- Cyveilance.com: Unique feeds on threat actors: indications of criminal intent.
- EmergingThreats.net: A variety of feeds.
- FireEye.com: DTI- Dynamic Threat Intelligence service.
- HackSurfer.com (SurfWatch): Insights tailored to your business.
- HexisCyber.com: Feed supports automated actions.
- InternetIdentity.com: Threat feeds from their big data solution ActiveTrust.
- iSightPartners.com: ThreatScape series.
- LookingGlass.com: Maps of infrastructure, connectivity and ownership, plus threat intel.
- MalwareCheck.org: Intelligence on any URL
- MalwareDomains.com: A list of domains known to be associated with malware.
- RedSkyAlliance.com: A vetted team of corporate computer incident responders and security professionals.
- RecordedFuture.com: Organizes information from the Internet.
- SecureWorks.com: Provides feeds and also instruments networks.
- Symantec.com: DeepInsight feeds on a variety of topics including reputation.
- Team-Cymru.com: Threat intelligence plus bogon lists.
- TheCyberThreat: Our Twitter feed. High level but comprehensive and curated.
- ThreatConnect.com: by Cyber Squared. Focused on information sharing.
- ThreatGrid.com: Unified malware analysis. Now part of Cisco.
- ThreatIntelligenceReview.com: Updated reviews of threat intelligence sources.
- ThreatStop.com: Block Botnets by IP reputation.
- ThreatStream.com: Famous team. Multiple sources in interoperable platform.
- ThreatTrack.com: Stream of malicious URLs,IPs and malware/phishing related data.
- Verisigninc.com: iDefense feeds highly regarded by some key institutions.
Comprobar todas y cada una de ellas, puede ser un proceso lento y muy tedioso y para eso se puede utilizar Cymon.
Simple IP Information Tools [SIPI]
sIPi (Simple IP Information Tools) es un pequeña herramienta que en su versión 0.1, permite:- Analizar la reputación de la dirección IP [actividad malware, botnet, spam, dnsrbl, blacklist, etc] consultando las fuente Cymon.io
- Nivel de exposición de las direcciones IP utilizando el motor SHODAN.io
- Información de geolocalización básica de la IP utilizando IPInfo.io
Más información y ejemplos se pueden encontrar aquí.
Fuente: Seguridad para todos
Buen día, excelente, ya voy a probarla.
ResponderBorrar