Get Even More Visitors To Your Blog, Upgrade To A Business Listing >>
Idioma: En

Los mejores recursos en Threat Intelligence

La Inteligencia de Amenazas, también conocida como inteligencia de amenazas cibernéticas (CTI - Cyber Threat Intelligence ), es la organización, análisis y refinamiento de información sobre ataques potenciales o actuales que amenazan a una organización.

Related Articles

El propósito principal de la inteligencia de amenazas cibernéticas es ayudar a las organizaciones a comprender los riesgos de las amenazas externas más comunes y severas, como amenazas de día cero, amenazas persistentes avanzadas ( APT ) o exploits . Aunque los actores de la amenaza también incluyen amenazas internas (o insiders), el énfasis está en los tipos de amenazas que tienen más probabilidades de afectar el ambiente de una organización particular, y por ello, esta lista que os traigo de recursos para hacer frente al Cyber Threat Intelligence contempla desde fuentes , frameworks y herramientas hasta los mejores libros y artículos sobre el tema.

Fuentes para la Threat Intelligence

La mayoría de los recursos enumerados proporcionan un conjunto de listas y / o APIs para obtener información actualizada referente a las amenazas. Para crear inteligencia de amenaza, es necesario una cierta cantidad de análisis, ya bien sea de dominios o temas referentes al negocio.

  • Alexa Top 1 Millón : Probablemente lista blanca del top 1 millón de sitios de Amazon (Alexa).
  • Grupos y operaciones de APT : Una hoja de cálculo que contiene información e inteligencia sobre los grupos, operaciones y tácticas de APT.
  • AutoShun : Un servicio público que ofrece al menos 2000 IPs maliciosas y algunos más recursos.
  • Clasificación BGP : Ranking de los ASN con el contenido más malicioso.
  • Botnet Tracker : Rastreao de varias botnets activas.
  • BruteForceBlocker : BruteForceBlocker es un script perl que monitorea los registros sshd de un servidor e identifica los ataques de fuerza bruta, que luego usa para configurar automáticamente las reglas de bloqueo de firewall y enviar esas IPs al sitio del proyecto
  • C&C Tracker : Feed de direcciones IP C&C conocidas, activas y sin trafico, creado por Bambenek Consulting.
  • Lista de Armada CI : Subconjunto de la lista comercial del CINS Score , centrada en IPs de mala reputación que no están presentes en otras listas de amenazas.
  • Cisco Umbrella : Lista blanca del top 1 millón de sitios identificados por Cisco Umbrella (OpenDNS).
  • Intel Critical Stack : Inteligencia gratuita de amenazas analizadas y agregadas a Critical Stack, lista para su uso en cualquier sistema de producción. Se puede especificar los feed que deseamos seguir
  • C1fApp : Es una aplicación de feed de amenazas, que proporcionan un solo feed, tanto Open Source como privado. Proporciona tableros de estadísticas, API abierta para la búsqueda , útil y ejecutandose desde hace unos años. Las búsquedas son datos históricos.
  • Cymon : Cymon es un agregador de indicadores de múltiples fuentes con historico, por lo que tiene una interfaz única para múltiples amenazas. También proporciona una API para buscar en una base de datos junto con una bonita interfaz web.
  • Dominios de correo electrónico desechables : Una colección de dominios de correo electrónico anónimos o desechables comúnmente utilizados para servicios de spam / abuso.
  • Reglas de Firewall de amenazas emergentes : Una colección de reglas para varios tipos de firewalls, incluyendo iptables, PF y PIX.
  • Amenazas emergentes Reglas IDS : Colección de reglas de Snort y Suricata que se pueden utilizar para alertar o bloquear.
  • ExoneraTor : El servicio ExoneraTor mantiene una base de datos de direcciones IP que forman parte de la red Tor. Responde a la pregunta de si hubo una Hub Tor en una dirección IP dada en una fecha determinada.
  • Exploitalert : Listado de los últimos exploit lanzados.
  • ZeuS Tracker : El tracker de Feodo abuse.ch que sigue el troyano Feodo.
  • Listas FireHOL IP : +400 IPs públicas disponibles en Feeds analizados para documentar su evolución, geolocalización, edad de IPs, política de retención, solapamientos. Centrado en el delito cibernético (ataques, abuso, malware).
  • FraudGuard : FraudGuard es un servicio diseñado para proporcionar una forma fácil de validar el uso recopilando y analizando continuamente el tráfico de Internet en tiempo real.
  • Hail a TAXII.com : Hail a TAXII.com es un repositorio de fuentes de Cyber Threat Intelligence de código abierto en formato STIX. Ofrecen varios feeds, incluyendo algunos que se enumeran aquí ya en un formato diferente, como las reglas de amenazas emergentes y feeds PhishTank.
  • Honeydb : HoneyDB proporciona datos en tiempo real de la actividad del honeypot. Estos datos provienen de honeypots desplegados en Internet utilizando el honeypot Honeypy. HoneyDB proporciona acceso API a la actividad de honeypot recopilada, que también incluye datos agregados de varios feeds de Twitter de honeypots.
  • I-Blocklist : I-Blocklist mantiene varios tipos de listas que contienen direcciones IP pertenecientes a varias categorías. Algunas de estas categorías principales incluyen países, ISPs y organizaciones. Otras listas incluyen ataques web, TOR, spyware y proxies. Muchas son libres de uso y están disponibles en varios formatos.
  • Majestic Million : Lista blanca Top 1 millón de sitios web clasificado por Majestic. Los sitios se ordenan por el número de subredes referentes enlazadas.
  • MalShare.com : El proyecto MalShare es un repositorio público de malware que proporciona a los investigadores acceso gratuito a las muestras.
  • MalwareDomains.com : El proyecto DNS-BH crea y mantiene una lista de dominios que se sabe que se utilizan para propagar malware y spyware. Estos pueden ser utilizados para la detección, así como la prevención (Solicitudes sinkholing en DNS).
  • Metadefender.com : Las fuentes de detección de amenazas de nube de Metadefender contienen nuevas firmas hash de malware, incluyendo MD5, SHA1 y SHA256. Siendo estos nuevos hashes maliciosos detectados por Metadefender Cloud en las últimas 24 horas. Los feeds se actualizan diariamente con malware recientemente detectado y reportado para proporcionar inteligencia de amenazas a tiempo y acción de los mismos.
  • Minotauro : El Proyecto Minotauro es un proyecto de investigación en curso por el equipo de NovCon Solutions . Se está forjando como un centro para los profesionales de seguridad, investigadores y entusiastas , pudiendo descubrir nuevas amenazas y mitigaciones. Es una combinación de software opensource de terceros, datasets locales, nuevas herramientas de análisis y mucho más.
  • Servicios NormShield : NormShield Services proporciona información de miles de dominios (incluida la información whois) de la que pueden surgir ataques potenciales de phishing. Hay inscripción gratuita para los servicios públicos para el monitoreo continuo.
  • Feeds de OpenPhish : OpenPhish recibe la URL de múltiples flujos y los analiza utilizando sus algoritmos de detección de phishing. Hay ofertas gratuitas y comerciales disponibles.
  • Phishtank : PhishTank entrega una lista de URLs de phishing sospechosas. Sus datos provienen de informes humanos, pero también se alimentan de información externa cuando es posible. Es un servicio gratuito, pero a veces es necesario registrarse para tener una clave de API.
  • Ransomware Tracker : Ransomware Tracker creado por abuse.ch realiza un seguimiento y monitorización del estado de los nombres de dominio, direcciones IP y URL asociadas a Ransomware, como servidores Botnet C&C, sitios de distribución y sitios de pago.
  • Dominios sospechosos SANS ICS : Las listas de amenazas de dominios sospechosos de SANS ICS rastrea dominios sospechosos. Ofrece 3 listas clasificadas como de alta , media o baja sensibilidad, donde la lista de alta sensibilidad tiene menos falsos positivos, mientras que la lista de baja sensibilidad dispone de más falsos positivos. Así como una lista blanca aprobada de dominios.
  • Base de firmas : Una base de datos de firmas utilizadas en otras herramientas creado por Neo23x0.
  • Proyecto Spamhaus : El Proyecto Spamhaus contiene múltiples listas de amenazas asociadas con la actividad de spam y malware.
  • Lista negra de SSL : SSL Blacklist (SSLBL) es un proyecto mantenido por abuse.ch. El objetivo es proporcionar una lista de "malos" certificados SSL identificados por abuse.ch para asociarse con actividades de malware o botnet. SSLBL se basa en las huellas SHA1 de los certificados SSL maliciosos ofreciendo varias listas negras.
  • Top 1 Million Statvoo : Lista blanca deL top 1 millón de sitios web, según la clasificación de Statvoo.
  • Strongarm : Strongarm es un blackhole de DNS que toma medidas sobre los indicadores de compromiso al bloquear el control y los comandos del malware. Strongarm agrega fuentes de indicadores gratuitas, se integra con los feeds comerciales, utiliza los feeds de IOC de Percipient y resuelve DNS y APIs para su uso para proteger la red. Strongarm es gratis para uso personal.
  • Talos Aspis : El proyecto Aspis es una colaboración cerrada entre Talos y los proveedores de alojamiento para identificar y disuadir a los principales actores de las amenazas. Talos comparte su experiencia, recursos y capacidades, incluyendo análisis forense de redes y sistemas, ingeniería inversa e inteligencia de amenazas sin costo para los proveedores.
  • Threatglass : Una herramienta online para compartir, explorar y analizar malware basado en web. Threatglass permite a los usuarios examinar gráficamente las infecciones del sitio web mediante la visualización de capturas de pantalla de las etapas de la infección, así como mediante el análisis de las características de red, las relaciones con el host y las capturas de paquetes.
  • ThreatMiner : ThreatMiner se ha creado para liberar a los analistas de la recopilación de datos y para proporcionarles un portal en el que puedan llevar a cabo sus tareas, desde la lectura de informes hasta el enriquecimiento de datos. El énfasis de ThreatMiner no es sólo sobre los indicadores de compromiso (IoC), sino también proporcionar a los analistas información contextual relacionada con el IoC que están viendo.
  • VirusShare : VirusShare.com es un repositorio de muestras de malware proporcionado a los investigadores de seguridad, la respuesta a incidentes, los analistas forenses y el curioso acceso a muestras de código malicioso. El acceso al sitio se concede únicamente por invitación.
  • Yara-Reglas : Un repositorio de código abierto con diferentes firmas Yara que se compilan, clasifican y mantienen lo más actualizado posible. Si recordáis, ya vimos que son las reglas yara en un post anterior.
  • ZeuS Tracker : ZeuS Tracker de abuse.ch rastrea servidores ZeuS Command & Control (hosts) en todo el mundo y le proporciona un dominio y la añade a una lista de IPs bloqueadas.

Formatos para la Threat Intelligence

Formatos estandarizados para compartir Inteligencia de amenazas, en su mayoría indicadores de compromiso.

  • CAPEC : Clasificación de Patrones de Ataque Comunes (CAPEC) es un completo diccionario y taxonomía de clasificación de ataques conocidos que pueden ser utilizados por analistas, desarrolladores, probadores y educadores para avanzar en la comprensión de la comunidad de ciberseguridad y mejorar las defensas.
  • CybOX : El lenguaje Cyber Observable eXpression (CybOX) proporciona una estructura común para representar ciberobservables entre las áreas operativas de seguridad cibernética empresarial para mejorar la consistencia, eficiencia e interoperabilidad de las herramientas y los procesos implementados, así como aumenta la conciencia global de la situación al permitir el potencial para la distribución automatizada detallada, la cartografía, la detección y la heurística del análisis.
  • IODEF (RFC5070) : El Formato de Intercambio "Descripción de Objeto de Incidente" (IODEF) define una representación de datos que proporciona un marco para compartir información intercambiada comúnmente por equipos de respuesta a incidentes de seguridad informática (CSIRT) sobre incidentes de seguridad informática.
  • IDMEF (RFC4765) : El propósito del Formato de Intercambio de Mensajes de Detección de Intrusión (IDMEF) que es experimental , pretende definir los formatos de datos y procedimientos de intercambio para compartir información de interés para sistemas de detección y respuesta de intrusión y sistemas de gestión que puedan necesitar interactuar con ellos.
  • MAEC : Los proyectos de Enumeración y Caracterización de Atributos de Malware (MAEC) están dirigidos a crear y proporcionar un lenguaje estandarizado para compartir información estructurada sobre malware basada en atributos tales como comportamientos y patrones de ataque.
  • STIX 2.0 : El lenguaje de eXpression de información sobre amenazas estructuradas (STIX) es un estandar para representar información de amenaza cibernética. El lenguaje STIX tiene la intención de transmitir toda la gama de información potencial de amenazas cibernéticas y se esfuerza por ser totalmente expresivo, flexible, extensible y automatizable. STIX no sólo permite campos agnósticos de herramientas, sino que también proporciona los llamados mecanismos de prueba que proporcionan medios para incrustar elementos específicos de herramientas, como OpenIOC, Yara y Snort.
  • TAXII La norma Trusted Automated eXchange of Indicator Information (TAXII) define un conjunto de servicios e intercambios de mensajes que, una vez implementados, permiten el intercambio de información sobre amenazas cibernéticas a través de los límites de la organización y los productoss / servicios. TAXII define conceptos, protocolos y intercambios de mensajes para intercambiar información de amenazas cibernéticas para la detección, prevención y mitigación de amenazas cibernéticas.
  • VERIS El vocabulario para la grabación de eventos y la distribución de incidentes (VERIS) es un conjunto de métricas diseñadas para proporcionar un lenguaje común para describir incidentes de seguridad de una manera estructurada y repetible. VERIS es una respuesta a uno de los desafíos más críticos y persistentes en la industria de la seguridad: la falta de información de calidad. Además de proporcionar un formato estructurado, VERIS también recopila datos de la comunidad para informar sobre las infracciones en el informe de investigaciones de violación de datos de Verizon ( DBIR ) y publica una base de datos online.

Frameworks Threat Intelligence y plataformas

Frameworks, plataformas y servicios para recolectar, analizar, crear y compartir Inteligencia de amenazas.

  • AbuseHelper : AbuseHelper es un frameworks de código abierto para recibir y redistribuir fuentes de abuso y amenazas.
  • AIS : La capacidad libre de intercambio automatizado de indicadores (AIS) del Departamento de Seguridad Nacional (DHS) permite el intercambio de indicadores de amenazas cibernéticas entre el Gobierno Federal y el sector privado a velocidad máquina. Los indicadores de amenazas tienen información como direcciones IP maliciosas o la dirección del remitente de un correo electrónico de phishing, aun que también pueden ser mucho más complicadas.
  • Barncat : Fidelis Cybersecurity ofrece acceso gratuito a Barncat después de registrarte. La plataforma está destinada a ser utilizada por CERTs, investigadores, gobiernos, ISPs y otras organizaciones grandes. La base de datos contiene varios ajustes de configuración utilizados por los atacantes.
  • Bearded Avenger : La forma más rápida de consumir inteligencia de amenazas. El sucesor de CIF.
  • Red de intercambio de amenazas Blueliv : Permite a los participantes compartir indicadores de amenazas con la comunidad.
  • CRITS : CRITS es una plataforma que ofrece a los analistas los medios para llevar a cabo una investigación conjunta sobre malware y amenazas en seguridad. Se conecta a un repositorio centralizado de datos de inteligencia, pero también se puede utilizar como una instancia privada.
  • CIF : El Framework de Inteligencia Colectiva (CIF) te permite combinar información de amenazas maliciosas conocidas de muchas fuentes y utilizar esa información para IR, detección y mitigación. El código está disponible en GitHub.
  • IntelMQ : IntelMQ es una solución para CERTs para recopilar y procesar los feeds de seguridad, pastebins, tweets usando un protocolo de cola de mensajes. Es una iniciativa impulsada por la comunidad denominada IHAP (Incident Handling Automation Project), diseñada conceptualmente por los CERT europeos durante varios eventos de seguridad informática. Su objetivo principal es dar a los técnicos de incidentes una manera fácil de recopilar y procesar la inteligencia de amenazas mejorando los procesos de manejo de incidentes de los CERT.
  • Interflow : Interflow es una plataforma de intercambio de información sobre seguridad y amenazas creada por Microsoft para profesionales que trabajan en ciberseguridad. Utiliza una arquitectura distribuida que permite compartir información de seguridad y amenazas dentro y entre comunidades para un ecosistema colectivamente más fuerte. Ofrece múltiples opciones de configuración, Interflow permite a los usuarios decidir qué comunidades formar, de qué datos se alimentan para consumir y con quién. Interflow se encuentra actualmente en beta privada.
  • Malstrom : Malstrom pretende ser un repositorio para el seguimiento de amenazas y artefactos forenses, pero también almacena reglas YARA y notas para la investigación.
  • MANTIS : Análisis basado en modelos de fuentes Threat Intelligence (MANTIS) Cyber Threat Intelligence Management Framework soporta la gestión de la inteligencia de amenazas cibernéticas expresada en varios lenguajes estándar, como STIX y CybOX. Pero, no está listo para la producción a gran escala.
  • Megatron : Megatron es una herramienta implementada por CERT-SE que recopila y analiza las direcciones IP incorrectas, puede ser utilizado para calcular estadísticas, convertir y analizar archivos de registro y en el manejo de abusos e incidentes.
  • MineMeld : Un framework de procesamiento extensible de Threat Intelligence creado por las redes de Palo Alto. Puede utilizarse para manipular listas de indicadores y transformarlas y / o agregarlas para el consumo por parte de una infraestructura de ejecución de terceros.
  • MISP : La plataforma de intercambio de información de malware (MISP) es una solución de software de código abierto para recopilar, almacenar, distribuir y compartir indicadores de seguridad cibernética y análisis de malware.
  • OpenIOC : OpenIOC es un framework open source para compartir Threat Intelligence. Está diseñado para intercambiar información de amenazas tanto interna como externamente en un formato digerido a máquina.
  • OpenTAXII : OpenTAXII es una robusta implementación Python de servicios TAXII que ofrece un rico conjunto de características y una API en Pythonic construida sobre una aplicación bien diseñada.
  • OSTrICa : Es un framework orientado a plugins de código abierto para recopilar y visualizar información Threat Intelligence.
  • AlienVault Open Threat Exchange : AlienVault Open Threat Exchange (OTX) proporciona acceso abierto a una comunidad global de investigadores de amenazas y profesionales de la seguridad. Proporciona datos de amenazas generados por la comunidad, permite la investigación colaborativa y automatiza el proceso de actualización de la infraestructura de seguridad con datos de amenazas desde cualquier fuente.
  • Open Threat Partner eXchange : El Open Threat Partner eXchange (OpenTPX) consiste en formatos de código abierto y herramientas para intercambiar información de inteligencia de amenazas legible por máquina y datos de operaciones de seguridad de red. Es un formato basado en JSON que permite compartir datos entre sistemas conectados.
  • PassiveTotal : La plataforma PassiveTotal ofrecida por RiskIQ es una plataforma de análisis de amenazas que proporciona a los analistas el mayor número de datos posible para prevenir ataques antes de que sucedan.
  • Recorded Future : Recorded Future es un producto SaaS premium que unifica automáticamente la inteligencia de amenazas de fuentes abiertas / cerradas y técnicas en una sola solución. Su tecnología utiliza el procesamiento del lenguaje natural (NLP) y el aprendizaje automático para entregar esa inteligencia de amenazas en tiempo real, convirtiendo a Recorded Future en una opción popular para los equipos de seguridad de TI.
  • Scumblr : Scumblr es una aplicación web que permite realizar sincronizaciones periódicas de fuentes de datos (como los repositorios Github y sus URLs) y realizar análisis (como análisis estáticos, verificaciones dinámicas y recopilación de metadatos) sobre los resultados identificados. Scumblr le ayuda a agilizar la seguridad proactiva a través de un marco de automatización inteligente que te ayudará a identificar, rastrear y resolver problemas de seguridad con una mayor rapidez.
  • Soltra Edge : La versión básica de Soltra Edge está disponible de forma gratuita. Apoya un modelo de defensa comunitaria que es altamente interoperable y extensible. Está construido con estándares de la industria soportados fuera de caja, incluyendo STIX y TAXII.
  • STAXX (Anomali) : Anomali STAXX ™ ofrece una manera fácil y gratuita de suscribirse a cualquier feed de STIX / TAXII. Simplemente tenemos que descargar el cliente STAXX, configurar sus fuentes de datos y STAXX se encargará del resto.
  • stoQ stoQ es un framework que permite a los analistas de ciberseguridad organizar y automatizar tareas repetitivas y basadas en datos. Cuenta con complementos para muchos otros sistemas con los que interactuar. Un caso de uso es la extracción de COI a partir de documentos, pero también se puede utilizar para ofuscacion y decodificación de contenido y exploración automatizada con YARA, entre otros.
  • TARDIS : El Sistema de Análisis de Amenazas, Reconocimiento y Datos (TARDIS) es un framework de código abierto para realizar búsquedas históricas usando firmas de ataque.
  • ThreatCrowd : ThreatCrowd es un sistema para encontrar e investigar objetos relacionados con amenazas cibernéticas.
  • ThreatExchange : Facebook creó ThreatExchange para que las organizaciones participantes puedan compartir datos de amenazas utilizando una API conveniente estructurada y fácil de usar que proporciona controles de privacidad para permitir el uso compartido sólo con los grupos deseados. Este proyecto aún está en versión beta, pudiendo encontrar el código en GitHub.
  • XFE (X-Force Exchange) : El X-Force Exchange (XFE) de IBM es un producto SaaS gratuito que se puede utilizar para buscar información de inteligencia de amenazas, recopilar sus hallazgos y compartir sus conocimientos con otros miembros de la comunidad XFE.
  • Yeti : El repositorio de inteligencia de amenazas abierto, distribuido, entre máquinas y analistas. Hecho por y para los técnicos que responden incidentes.

Herramientas Threat Intelligence

Todo tipo de herramientas para analizar, crear y editar Threat Intelligence. Mayormente basado en el COI.

  • ActorTrackr : ActorTrackr es una aplicación web de código abierto para almacenar / buscar / enlazar datos relacionados con actores. Las fuentes principales son de usuarios y varios repositorios públicos. Fuente disponible en GitHub.
  • AIEngine : AIEngine es un motor de inspección de paquetes interactivo / programable en Python / Ruby / Java / Lua con capacidades de aprendizaje sin intervención humana, funcionalidad NIDS (Network Intrusion Detection System), clasificación de dominio DNS, colector de red, forense de redes y muchos otros. Disponible en Bitbucket.
  • Animus Omni CLI : El Animus Omni CLI le ayuda a separar la señal del ruido en los archivos de registro. Las exploraciones no dirigidas están inundando Internet, obstruyendo archivos de registro y haciendo difícil encontrar los acontecimientos legítimos. Esta utilidad aprovecha la API Animus para reducir las entradas con ruido en los archivos de registro.
  • Automater : Automater analiza una dirección URL / Dominio, dirección IP o MashMD5 Hash , herramienta OSINT dirigida a hacer el proceso de análisis más fácil para los analistas de intrusión.
  • Google APT Search Engine : Grupos de APT, Operaciones y Motor de Búsqueda de Malware. Las fuentes utilizadas para esta búsqueda personalizada de Google aparece en GitHub.
  • Bro-intel-generador : Guión para generar archivos Bro de archivos pdf o html.
  • Cabby : Una biblioteca simple de Python para interactuar con los servidores TAXII.
  • Cacador : Cacador es una herramienta escrita en Go para extraer indicadores comunes de compromiso de un bloque de texto.
  • Combine : Combine reúne los recursos de Threat Intelligence de fuentes públicas disponibles.
  • CrowdFMS : CrowdFMS es un framework para automatizar la recopilación y el procesamiento de muestras de VirusTotal, aprovechando el sistema de APIs privada. El framework descarga automáticamente muestras recientes, que desencadenó una alerta en el feed de notificación de algunos usuarios YARA.
  • Cuckoo Sandbox : Cuckoo Sandbox es un sistema dinámico automatizado de análisis de malware. Es el referente open source de análisis de malware más conocida y frecuentemente desplegadado por los investigadores, equipos CERT / SOC y equipos de inteligencia de amenazas en todo el mundo. Para muchas organizaciones, Cuckoo Sandbox proporciona una primera visión de posibles muestras de malware.
  • Fenrir : Bash IOC Scanner.
  • Forager : Script cazador-recolector de inteligencia de amenazas multiproceso.
  • GoatRider : GoatRider es una herramienta sencilla que desplegará dinámicamente Artillery Threat Intelligence Feeds, TOR, AlienVaults OTX y el Top 1 millón de Alexa y haciendo una comparación con un archivo de nombre de host / IP.
  • GOSINT : El framework GOSINT es un proyecto gratuito utilizado para recolectar, procesar y exportar indicadores públicos de alto nivel de compromiso (COI).
  • Harbinger Threat Intelligence : Script de Python que permite consultar múltiples agregadores de amenazas en línea desde una sola interfaz.
  • Hiryu : Una herramienta para organizar la información de una campaña APT para visualizar las relaciones entre las COI.
  • Editor del COI : Un editor gratuito para Indicadores de Compromiso (IOCs).
  • ioc_parser : Herramienta para extraer los indicadores de compromiso de los informes de seguridad en formato PDF.
  • ioc_writer : Proporciona una biblioteca de Python que permite la creación y edición básica de objetos OpenIOC.
  • IOCextractor : IOC (Indicator of Compromise) Extractor es un programa para ayudar a extraer indicadores de compromiso de archivos de texto. El objetivo general es acelerar el proceso de análisis de datos estructurados (indicadores de compromiso) a partir de datos no estructurados o semiestructurados
  • ibmxforceex.checker.py : Cliente Python para IBM X-Force Exchange.
  • libtaxii : Una biblioteca de Python para manejar TAXII Mensajes invocando Servicios TAXII.
  • Loki : Escáner de indicador de compromiso simple y de respuesta a incidentes.
  • LookUp : LookUp es una página centralizada para obtener información sobre diversas amenazas acerca de una dirección IP. Se puede integrar fácilmente en menús contextuales de herramientas como SIEMs y otras herramientas de investigación.
  • Machinae : Machinae es una herramienta para recolectar inteligencia de sitios públicos / feeds sobre varias piezas de datos relacionadas con la seguridad: direcciones IP, nombres de dominio, direcciones URL, direcciones de correo electrónico, hashes de archivos y huellas dactilares SSL.
  • MISP Workbench : Herramientas para exportar datos de la base de datos MISP MySQL y usarlos fuera de esta plataforma.
  • MISP-Taxii-Server : Un conjunto de archivos de configuración para usar con la implementación de OpenTaxII de EclecticIQ, junto con una respuesta para cuando los datos se envían a la bandeja de entrada del TAXII Server.
  • nyx : El objetivo de este proyecto es facilitar la distribución de los artefactos de Inteligencia de amenazas a los sistemas defensivos y aumentar el valor derivado de las herramientas de código abierto y comerciales.
  • openioc a stix : Generador STIX XML desde OpenIOC XML.
  • OSTIP : Una plataforma de datos de amenazas homebrew.
  • poortego : Proyecto open source en ruby para manejar el almacenamiento y enlaces de inteligencia de código abierto (similar a Maltego, pero libre y no vinculado a una base de datos específica / propietaria).
  • PyIOCe : PyIOCe es un editor del COI escrito en Python.
  • QRadio : QRadio es una herramienta / framework diseñado para consolidar las fuentes de inteligencia de amenazas cibernéticas. El objetivo del proyecto es establecer un marco modular robusto para la extracción de datos de inteligencia procedentes de fuentes seleccionadas.
  • rastrea2r : Recolección y caza de indicadores de compromiso (IOC) con gusto y estilo!
  • Redline : Una herramienta de investigación del anfitrión que se puede utilizar para, entre otros, el análisis de indicadores de compromisos.
  • RITA : Real Intelligence Threat Analytics (RITA) tiene como objetivo ayudar en la búsqueda de indicadores de compromiso en redes empresariales de diferentes tamaños.
  • stix-viz : Herramienta de visualización STIX.
  • Servidor de prueba TAXII : Permite probar su entorno TAXII conectándose a los servicios suministrados y realizando las diferentes funciones tal como están escritas en las especificaciones TAXII.
  • ThreatAggregrator : ThreatAggregrator agrega amenazas de seguridad de una serie de fuentes en línea, y salidas a varios formatos, incluyendo CEF, Snort y reglas IPTables.
  • threatcrowd_api : Biblioteca de Python para la API de ThreatCrowd.
  • threatcmd : Interfaz gráfico con ThreatCrowd.
  • Threatelligence : Threatelligence es un simple colector de la inteligencia de amenazas cyberneticas, usando Elasticsearch, Kibana y Python para recoger automáticamente la inteligencia de las fuentes. Actualiza automáticamente los feeds e intenta mejorar los datos de los cuadros de mandos.
  • ThreatPinch Lookup : Una extensión para Chrome que crea ventanas emergentes en cada página para IPv4, MD5, SHA2 y CVE. Puede utilizarse para búsquedas durante investigaciones de amenazas.
  • ThreatScanner : ThreatScanner de Fidelis Cybersecurity ejecuta un script para buscar reglas IOC o YARA en una sola máquina y genera automáticamente un informe que proporciona detalles de los objetos sospechosos.
  • ThreatTracker : Una secuencia de comandos Python diseñada para supervisar y generar alertas sobre determinados conjuntos de IOC indexados por un conjunto de motores de búsqueda personalizados de Google.
  • Threat_intel : Varias APIs para Threat Intelligence integradas en un único paquete. Se incluyen: OpenDNS Investigate, VirusTotal y ShadowServer.
  • Threat-Intelligence-Hunter : TIH es una herramienta de inteligencia que te ayuda a buscar IOCs a través de múltiples fuentes de seguridad abiertas y algunas API conocidas. La idea detrás de la herramienta es facilitar la búsqueda y el almacenamiento de IOCs con frecuencia agregados para crear una propia base de datos local de indicadores.
  • tiq-test : La herramienta de prueba del Quociente de Inteligencia de Amenazas (TIQ) proporciona visualización y análisis estadístico de las alimentaciones TI.
  • YETI : YETI es una implementación de prueba de concepto de TAXII que soporta los servicios Inbox, Poll y Discovery definidos por la especificación de servicios TAXII.
  • sqhunter : Localizador de amenazas basado en osquery, Salt Open y Cymon API. Puedes consultar los sockets de la red abierta y comprobarlos contra fuentes de inteligencia de amenaza

Investigación, Estándares y Libros de Threat Intelligence

  • APT & Cyber Criminal Campaign Collection : Amplia colección de campañas (históricas). Las entradas provienen de varias fuentes.
  • APTnotes : Una gran colección de fuentes sobre amenazas persistentes avanzadas (APTs). Estos informes suelen incluir conocimientos estratégicos y tácticos o asesoramiento.
  • ATT & CK : Tácticas Adversarias, Técnicas y Conocimiento Común (ATT & CK ™) es un modelo y marco para describir las acciones que un adversario puede tomar mientras opera dentro de una red empresarial. ATT & CK es una referencia común en constante crecimiento para las técnicas posteriores al acceso que permite conocer mejor las acciones que se pueden ver durante una intrusión en la red. MITRE está trabajando activamente en la integración con constructores relacionados, como CAPEC, STIX y MAEC.
  • Construyendo Estrategias de Búsqueda de Amenazas con el Modelo Diamante : Blogpost de Sergio Caltagirone sobre cómo desarrollar estrategias inteligentes de búsqueda de amenazas mediante el uso del Modelo Diamante.
  • Repositorio Cyber ​​Analytics de MITRE : El repositorio de Cyber ​​Analytics (CAR) es una base de conocimientos de analítica desarrollada por MITRE basada en el modelo de amenazas Adversary Tactics, Techniques y Common Knowledge (ATT & CK ™).
  • Guía definitiva para la inteligencia de amenazas cibernéticas : Describe los elementos de la inteligencia de la amenaza cibernética y discute cómo es recolectada, analizada y utilizada por una variedad de consumidores humanos y tecnológicos. Además examina cómo la inteligencia puede mejorar la seguridad cibernética en los niveles táctico, operacionales y estratégico, y cómo se puede ayudar a detener los ataques, mejorar la defensas y hablar de forma más productiva sobre temas de ciberseguridad con la administración ejecutiva en el estilo típico de Dummies .
  • El nivel de madurez de detección (DML) : El modelo DML es un modelo de madurez de capacidad para referenciar la madurez en la detección de ataques cibernéticos. Está diseñado para organizaciones que realizan detección y respuesta impulsadas por intel y que ponen énfasis en tener un programa de detección maduro. La madurez de una organización no se mide por su capacidad de obtener meramente la inteligencia relevante, sino más bien su capacidad de aplicar esa inteligencia de manera efectiva a las funciones de detección y respuesta.
  • El Modelo Diamante del Análisis de Intrusión : Este artículo presenta el modelo diamante, un framework cognitivo y un instrumento analítico para apoyar y mejorar el análisis de intrusión. Apoyar el aumento de la mensurabilidad, la testabilidad y la repetibilidad en el análisis de intrusiones con el fin de lograr mayor efectividad, eficiencia y precisión en la derrota de los adversarios es una de sus principales contribuciones.
  • F3EAD : F3EAD es una metodología militar para combinar operaciones e inteligencia.
  • Guía para el intercambio de información sobre amenazas cibernéticas del NIST : La Guía para el Intercambio de Información sobre amenazas cibernéticas (NIST Special Publication 800-150) ayuda a las organizaciones a establecer capacidades de respuesta a incidentes de seguridad informática que aprovechan el conocimiento, la experiencia y las habilidades colectivas de sus socios compartiendo inteligencia de amenazas y coordinación continua. La guía proporciona pautas para el manejo coordinado de incidentes, incluyendo producción y consumo de datos, participación en comunidades de intercambio de información y protección de datos relacionados con incidentes.
  • Inteligencia Preparación del Campo de Batalla / Espacio de Batalla : Esta publicación discute la preparación de inteligencia del espacio de batalla (IPB) como un componente crítico del proceso de toma de decisiones y planificación militar y cómo IPB apoya la toma de decisiones, así como la integración de procesos y actividades continuas.
  • Defensa de la red informática impulsada por la inteligencia de información para el análisis de las campañas adversas y las cadenas de intrusión : La cadena de destrucción de intrusos, tal como se presenta en este documento, proporciona una aproximación estructurada al análisis de intrusiones, extracción de indicadores y realización de acciones defensivas.
  • Publicación Inteligencia Conjunta 2-0: Esta publicación del ejército estadounidense forma el núcleo de la doctrina conjunta de inteligencia y establece las bases para integrar completamente las operaciones, los planes y la inteligencia en un equipo cohesivo. Los conceptos presentados son aplicables a (Cyber) Threat Intelligence también.
  • Documento de investigación de Microsoft : Un framework para el intercambio de información sobre seguridad cibernética y reducción del riesgo. Un documento de alto nivel de Microsoft.
  • Borrador MISP Core Format : Este documento describe el formato básico de MISP utilizado para intercambiar información de indicadores y amenazas entre las instancias MISP (Malware Information y threat Sharing Platform).
  • El proyecto de investigación NECOMA : (Nippon-European Cyberdefense-Oriented Multilayer threat analysis) está dirigido a mejorar la recolección y análisis de datos sobre amenazas para desarrollar y demostrar nuevos mecanismos cibernéticos. Como parte del proyecto se han publicado varias publicaciones y proyectos de software.
  • Pyramid of Pain : La Pirámide del Dolor es una forma gráfica de expresar la dificultad de obtener diferentes niveles de indicadores y la cantidad de recursos que los adversarios tienen que gastar cuando son localizados por los defensores.
  • Técnicas Analíticas Estructuradas Para El Análisis De Inteligencia : Este libro contiene métodos que representan las mejores prácticas actuales en inteligencia, aplicación de la ley, seguridad nacional y análisis de negocios.
  • Inteligencia de amenazas: recopilación, análisis, evaluación : Este informe de MWR InfoSecurity describe claramente varios tipos diferentes de inteligencia de amenazas, incluyendo variaciones estratégicas, tácticas y operacionales. También se analizan los procesos de obtención de requisitos, recolección, análisis, producción y evaluación de inteligencia de amenazas. También se incluyen algunas ganancias rápidas y un modelo de madurez para cada uno de los tipos de inteligencia de amenazas definidos por MWR InfoSecurity.
  • Plataformas de intercambio de inteligencia sobre amenazas: un estudio exploratorio de proveedores de software e investigaciones : Un estudio sistemático de 22 Plataformas que Comparten Inteligencia de Amenazas (TISP, por sus siglas en inglés) dio a conocer ocho hallazgos clave sobre el estado actual del uso de inteligencia de amenazas, su definición y los TISPs.
  • Protocolo semáforo : El Protocolo semáforo (TLP) es un conjunto de designaciones utilizadas para garantizar que la información sensible se comparte con el público correcto. Emplea cuatro colores para indicar diferentes grados de sensibilidad y las consideraciones de compartición correspondientes a ser aplicadas por el receptor (es).
  • ¿Quién está usando la inteligencia de Cyberthreat y cómo? : Un documento técnico del Instituto SANS que describe el uso de la Inteligencia de Amenazas incluyendo una encuesta que realizó.
  • Proyecto WOMBAT : El proyecto WOMBAT tiene como objetivo proporcionar nuevos medios para comprender las amenazas existentes y emergentes que apuntan a la economía de Internet y los ciudadanos. Para alcanzar este objetivo, la propuesta incluye tres paquetes de trabajo clave: (i) recolección en tiempo real de un conjunto diverso de datos en bruto relacionados con la seguridad; (ii) enriquecimiento de este aporte mediante diversas técnicas de análisis; (iii) comprensión de los fenómenos bajo escrutinio.


This post first appeared on Ciber Seguridad, please read the originial post: here

Share the post

Los mejores recursos en Threat Intelligence

×

Subscribe to Ciber Seguridad

Get updates delivered right to your inbox!

Thank you for your subscription

×