在我还小的时候,母亲在我们家开了一家日托和学前班。每个人都爱她,孩子和父母都一样,一切都进行得很顺利,直到有人决定不想分享。
从前院的某个角落,你会听到“不,那是我的,你不能拥有它”,每个已经意识到肯德里克太太热衷于分享的孩子都会四散而去,以确保他们不会在她对那个吝啬的孩子施加的任何正义中受到附带伤害。
我觉得创造者和开发者MISP在相似的价值观下成长,因为他们清楚地相信分享是一种关怀,尤其是在防御网络攻击时,他们已经将这种信念融入了他们的开源项目的结构中。
如果您还没有意识到MISP,我建议您认真考虑一下。
这是一个开源、社区维护、免费实现的威胁情报平台,可帮助您吸收、分析和共享泄露指标(ioc)。
共享当然是平台的一个核心特性,但值得庆幸的是,项目维护者并没有对它如此教条,以至于您被迫使用这些特性。这无疑为项目的成功做出了贡献——它在大企业、国家CERT团队、小型个人威胁情报商店以及介于两者之间的所有领域中得到了广泛采用。
如果你想要一个例子,看看这个网络研讨会去年,我主持了一次会议,了解美国金融服务公司Jack Henry and Associates如何在其网络安全实践中利用MISP,包括一种共享机制的新颖使用,以连接其安全组织的不乐动体育官网下载同部分。
MISP现在是一个非常成熟的、功能丰富的、积极维护的项目,对于许多组织来说,它是商业威胁情报平台的一个可行的替代方案。
MISP也有一个健康的集成生态系统和一个可靠的插件架构,这使得它很容易扩展它的功能,确实,DomainTools利用我们之前在我们的企业API端点上构建的MISP模块来发挥巨大的影响。
下一步很清楚——我们想把虹膜研究平台的丰富数据集引入MISP,并找到将两种经验结合在一起的方法。我们的虹膜调查API中的功能正是为此目的而构建的,今天,我们兴奋地宣布一组强大的DomainTools虹膜MISP模块的可用性。
新的Iris-aware MISP模块几乎包含了我们所知道的关于域的所有信息。我们在MISP悬停和工具提示中显示了该数据的子集,用于快速分析和分类,包括域年龄、IP国家、ISP等,加上完整的列表作为按需丰富属性,可以轻松添加到您的事件中。
我喜欢MISP的一个原因是相关引擎,我们的数据非常适合利用它。您可能无法在您正在调查的钓鱼域名的威胁情报提要中找到匹配项,但可以使用虹膜数据来丰富它,并且您将有更好的机会在已发布的提要或同行共享的MISP事件中找到它的主机IP、SSL散列或whois联系详细信息。
MISP的DomainTools模块不仅包括我们的预测域风险评分,还包括评分的组件,这些组件揭示了影响评分的特定机器学习分类器。
分析一个域名只是第一步——你真正需要知道的是由参与者控制的所有其他域名,以及描述专用基础设施的IOCs,精品店注册商和他们正在使用的SSL证书。
通过在DomainTools Iris中对数十个字段进行旋转,您可以发现这一点,当然,我们在MISP模块中启用了尽可能多的这些旋转,但您如何知道从这里开始呢?
答案就是我们所说的引导枢轴——虹膜中大多数字段的连接计数,显示一个给定属性共享了多少个域,比如IP、电子邮件地址或SSL散列。这是Iris中最受欢迎的特性之一,因为我们希望这些计数在MISP中可见,所以我们将它们添加到API返回的每个属性的注释字段中。
导向性Pivot计数通常在你Pivot之前就能提供有意义的分析——如果你发现一个IP地址,比如说,指向它的域名少于50个,你就可能发现这个参与者正在使用专用的网络主机。
这在调查中非常有效,我们决定在MISP中用“Guided Pivot”标记任何带有少量共享连接的属性,以使这些属性更容易找到。
一旦掌握了一个有用的支点,就可以利用这些模块引入共享域列表,进一步增加发现与其他MISP事件的相关性的机会。我们的模块可以基于注册人名称、注册人电子邮件、注册商、IP地址、命名服务器或SSL证书散列。
但如果你需要转向其他领域呢?
也许您正在构建一个“数字指纹”,需要复杂的布尔逻辑来描述一组主机、身份、SSL证书和跟踪代码,以分析特定的攻击者?如何挖掘历史whois数据,或与pDNS相关的目击?你迷路了吗?调查历史有帮助吗?图形可视化怎么样?你会想要使用Iris UI——它是为那些类型的调查而设计的,你会惊讶于你可以用它发现什么。
在Iris中只需几分钟,您就会有一个漂亮、整洁的恶意域名列表,应该将其编入目录,与同事共享,并将其推入警报和检测逻辑。MISP可以为你处理所有这些,如果你能把域放到里面——CSV是1980年的,STIX是STIX,所以我们建立了一个MISP模块,就是为了这个目的。
它使用起来很简单-你从Iris的高级搜索窗格中抓取搜索导出blob,在MISP中启动DomainTools Iris Import模块,粘贴博客,然后bam,所有这些域现在都是你的MISP事件的属性。
您可以想象,我们对这些功能感到非常兴奋,我们迫不及待地想让您尝试一下。因为使用MISP没有成本,所以没有理由犹豫。更好的是,虹膜调查API是免费提供给所有DomainTools虹膜客户,所以如果你已经在使用虹膜,你没有理由不尝试MISP。