در این بخش چند پروژه اوپن سورس برای اشتراک گذاری و مصرف اطلاعات تحلیل تهدید[۱] تشریح شده است. البته این موارد تمام پروژه های اوپن سورس موجود نیست و تنها موارد شناخته شده و پرکاربرد در این حوزه معرفی شده است.

  • Collective Intelligence Framework CIF

پروژه متن بازی که به زبان پرل نوشته شده و برای دریافت آدرس های IP، نام دامنه و بعضا رشته های هش از فیدهای مختلف طراحی شده است. این بستر نشانه ها یا اصطلاحاً Indocator ها را در پایگاه داده PostgreSQL ذخیره می کند و یک API و حتی افزونه ای برای مرورگر (برای فایرفاکس و کروم) ارایه می کند. CIF بستر مناسبی برای دریافت نشانه های تهدید و تبدیل آن به خروجی های مختلف نظیر خروجی های قابل درک توسط ابزار Bro یا خروجی قابل درک توسط ابزار Snort و فراهم آورده است. به بیان دیگر می توان گفت CIF قابل تجمیع شدن با ابزارهای مختلف است.

در شکل زیر معماری CIF از نظر نحوه دریافت اطلاعات و به اشتراک گذاری آن مشاهده می شود.

\\vmware-host\Shared Folders\Desktop\cif_overview.png

شکل ۱ – معماری CIF ، نحوه مصرف و اشتراک گذاری اطلاعات تحلیلی تهدید

  • Collaborative Research into Threats CRITs

شرکت معتبر MITRE روی یک کتابخانه Threat Intelligence کار و آن را به صورت رایگان با نام CRITs عرضه کردند. CRITs می تواند نشانه های تهدید نظیر آدرس IP، نام دامنه، آدرس ایمیل و اطلاعاتی مشابه را دریافت و آنها را با سایر بخش ها به اشتراک گذارد. خروجی CRITs می تواند در قالب هایی نظیر CSV، STIX و JSON ارایه شود. دیگر ویژگی جالب بستر CRITs قابلیت تنظیم میزان اثر و میزان صحت و اطمینان برای نشانه های دریافتی است. ویژگی مذکور با ترکیب یک REST API می تواند در ایجاد لیستی پویا از نشانه های تهدید و استفاده از آن برای به روز رسانی دستگاه های امنیتی (نظیر Firewall، IDS، IPS و …) مفید باشد.

  • Mantis

این پروژه در سال ۲۰۱۳ توسط شرکت  زیمنس به صورت اوپن سورس عرضه شد. از ویژگی های شاخص این پروژه قابلیت دریافت و پردازش اکثر قالب های اشتراک گذاری اطلاعات تهدید نظیر OpenIOC، STIX، IODEF است.

  • MISP

سازمان ناتو پروژه MISP را با هدف کمک به رهگیری و تحلیل بدافزارهای نادر راه اندازی کرد. این پروژه قابلیت تجمیع در محصولات ArcSight، Snort و موارد مشابه را دارد. اشتراک گذاری و دریافت اطلاعات از پروژه مذکور تنها توسط برخی از سازمان های خصوصی قابل انجام شد و به طور عموم در دسترس نیست.


[۱] Threat Intelligence

 


دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *