Publicação
Sistema automático para recolha de OSINT e integração com plataforma de Threat Intel
| Resumo: | As novas ameaças surgem permanentemente, atormentando a nova era tecnológica. A cada uma delas, estão inerentes características específicas, bastante variadas entre si, tal como formas distintas de comportamento. Cada comportamento e característica de uma ameaça possuí indicadores associados a ele e são chamados de Indicators of Compromise (IOCs) que podem ser IPs, domínios, hashes, entre outras. Os IOCs são considerados artefactos forenses e são utilizados como sinal de que um sistema foi comprometido ou infetado por um determinado software malicioso. Assim, é necessário que haja exatidão na recolha de informação para encontrar diferentes IOCs. Deste modo, é importante a existência de standards e de plataformas autónomas para a partilha e recolha de informação de cyber segurança de forma a ajudar as organizações a tornarem-se cada vez mais resilientes a novas ameaças. As plataformas autónomas atualmente existentes para a recolha e análise de indicadores são sistemas ainda muito independentes entre si, o que dificulta a automatização do processo na integração com as plataformas de Security Information and Event Management (SIEM) para a correlação de eventos. A existência de um sistema de Threat Intel capaz de recolher vários indicadores de diferentes fontes abertas (Open Source Intelligence ou OSINT) e de análises manuais internas dos analistas, é uma mais valia que facilita esta integração com diferentes infraestruturas/redes. Este projeto teve como base fundamental a plataforma Malware Intelligence Sharing Platform (MISP). O MISP funcionará como uma base de dados de indicadores, de forma a que a mesma seja consultada para a procura de IOCs, facilitando não só a prevenção, como também a fase de análise de um malware. Para além disso, na recolha de informação será usada informação real recolhida por inúmeras vias, entre elas: SIEM; Feeds OpenSource; e ferramentas internas à LAYER8, não esquecendo também as análises manuais que são de facto uma mais valia. Por último, na fase da análise de IOCs e com vista a automatizar este processo, será realizada uma combinação de vários sistemas de análise, na qual os mesmos serão ligados à plataforma MISP. Em suma, este projeto será assim um laboratório de análise de ameaças, recolha e partilha de IOCs, dando a estes um nível de confiança adequado para serem usados posteriormente. |
|---|---|
| Autores principais: | Dionísio, Diogo António Cardoso |
| Assunto: | Threat Intel MISP Cortex SIEM SOC IOC Trabalhos de projecto de mestrado - 2019 |
| Ano: | 2019 |
| País: | Portugal |
| Tipo de documento: | dissertação de mestrado |
| Tipo de acesso: | acesso aberto |
| Instituição associada: | Universidade de Lisboa |
| Idioma: | português |
| Origem: | Repositório da Universidade de Lisboa |
| Resumo: | As novas ameaças surgem permanentemente, atormentando a nova era tecnológica. A cada uma delas, estão inerentes características específicas, bastante variadas entre si, tal como formas distintas de comportamento. Cada comportamento e característica de uma ameaça possuí indicadores associados a ele e são chamados de Indicators of Compromise (IOCs) que podem ser IPs, domínios, hashes, entre outras. Os IOCs são considerados artefactos forenses e são utilizados como sinal de que um sistema foi comprometido ou infetado por um determinado software malicioso. Assim, é necessário que haja exatidão na recolha de informação para encontrar diferentes IOCs. Deste modo, é importante a existência de standards e de plataformas autónomas para a partilha e recolha de informação de cyber segurança de forma a ajudar as organizações a tornarem-se cada vez mais resilientes a novas ameaças. As plataformas autónomas atualmente existentes para a recolha e análise de indicadores são sistemas ainda muito independentes entre si, o que dificulta a automatização do processo na integração com as plataformas de Security Information and Event Management (SIEM) para a correlação de eventos. A existência de um sistema de Threat Intel capaz de recolher vários indicadores de diferentes fontes abertas (Open Source Intelligence ou OSINT) e de análises manuais internas dos analistas, é uma mais valia que facilita esta integração com diferentes infraestruturas/redes. Este projeto teve como base fundamental a plataforma Malware Intelligence Sharing Platform (MISP). O MISP funcionará como uma base de dados de indicadores, de forma a que a mesma seja consultada para a procura de IOCs, facilitando não só a prevenção, como também a fase de análise de um malware. Para além disso, na recolha de informação será usada informação real recolhida por inúmeras vias, entre elas: SIEM; Feeds OpenSource; e ferramentas internas à LAYER8, não esquecendo também as análises manuais que são de facto uma mais valia. Por último, na fase da análise de IOCs e com vista a automatizar este processo, será realizada uma combinação de vários sistemas de análise, na qual os mesmos serão ligados à plataforma MISP. Em suma, este projeto será assim um laboratório de análise de ameaças, recolha e partilha de IOCs, dando a estes um nível de confiança adequado para serem usados posteriormente. |
|---|