مهم‌ترین ابزارهای هوش تهدیدات و امنیت Endpoint برای کارشناسان امنیت

امروزه ابزارهای هوش تهدیدات یا Threat Intelligence و همچنین ابزارهای بررسی امنیت Endpoint، بیش از پیش توسط کارشناسان امور امنیتی برای آزمایش آسیب‌پذیری‌ها در شبکه‌های سازمان‌ها و همچنین برنامه‌های کاربردی استفاده می‌گردد. در این بخش، فهرست جامعی از ابزار هوش تهدیدات و امنیت Endpoint ارائه شده است که انجام عملیات تست نفوذ را در تمام محیط‌های شرکتی و سازمانی پوشش می‌دهد.

تست نفوذ در سطح Endpoint

استفاده از Anti– Virus  و  Anti– Malware

• Linux Malware Detect: یک اسکنر بدافزار برای لینوکس است که حول تهدیداتی طراحی شده که محیط‌های دارای Hostهای اشتراکی با آن‌ها روبه‌رو هستند.

ابزارهای CDR یا Content Disarm & Reconstruct

• DocBleach: یک نرم‌افزار Open Source قطع کننده دسترسی و بازسازی (Content Disarm & Reconstruct) است که اسناد Office، PDF و RTF را پاکسازی می‌کند.

مدیریت پیکربندی

• Rudder: راهکاری با کاربری آسان، مبتنی بر وب و Role، برای خودکار‌سازی و تطبیق‌پذیری زیرساخت IT است. کارایی آن شامل موارد زیر می‌باشد:

– خودکارسازی Taskهای متداول مدیریت سیستم (شامل راه‌اندازی و اعمال تنظیمات مورد نیاز)

– اِعمال پیکربندی در یک بازه‌ی زمانی (اصولا یک بار پیکربندی در هر ساختاری مناسب است، اما بهتر است که در طول زمان از صحت عملکرد تنظیمات معتبر بودن آنها اطمینان حاصل کرد و همچنین به اصلاح کردن آن به طور پرداخت)

– شناسایی تمام Nodeهای مدیریت‌شده

– رابط کاربری تحت وب جهت پیکربندی و مدیریت Nodeها

– گزارش‌ سازگاری از طریق پیکربندی و یا Node.

احراز هویت

• Google–Authenticator: پروژه‌ی Google Authenticator شامل پیاده‌سازی‌هایی از مولد‌های رمزعبور یک‌بار‌مصرف (One-time Passcode Generators) برای چندین پلتفرم موبایل و همچنین یک ماژول احراز هویت قابل نصب (Pluggable Authentication Module) یا به اختصار PAM می‌باشد. رمز‌های عبور یک‌بار‌مصرف با استفاده از استاندارد‌های مشخصی ایجاد شده‌اند، که توسط Initiative for Open Authentication یا OATH توسعه داده ‌شده‌اند. این پیاده‌سازی‌ها از الگوریتم رمزعبور یک‌بار‌مصرف مبتنی بر HMAC یا به طور دقیق‌تر HOTP و همچنین الگوریتم رمزعبور یک‌بار‌مصرف مبتنی بر زمان (TOTP)، پشتیبانی می‌نمایند.

ابزارهای بررسی امنیت در Mobile / Android / iOS

• SecMobi Wiki: مجموعه‌ای از منابع امنیت موبایل است که شامل مقالات، بلاگ‌ها، کتاب‌ها، گروه‌ها، پروژه‌ها، ابزار و کنفرانس‌ها می‌باشد.
• OWASP Mobile Security Testing Guide: یک کتابچه‌ی راهنمای جامع برای تست امنیت برنامه‌های کاربردی موبایل و مهندسی معکوس می‌باشد.
• OSX Security Awesome: مجموعه‌ای است از منابع امنیتی OSX و iOS.

بررسی Forensics

• GRR: در واقع GRR یک کلاینت یا Agent مختص به پایتون است که روی سیستم مورد نظر نصب می شود و سرور پایتون قابلیت برقراری ارتباط با کلاینت و مدیریت آنرا به عهده دارد. به عبارتی دیگر GRR Rapid Response یک Framework واکنش به حوادث می‌باشد که روی وقایع لحظه‌ای از راه دور متمرکز است.
• Volatility: یک Framework تجزیه‌و‌تحلیل و استخراج حافظه مبتنی بر Python است.
• MIG: پلتفرمی است برای انجام بررسی‌های دقیق روی Endpoint‌های Remote. این پلتفرم به فرد مربوطه توانایی به دست آوردن اطلاعاتِ تعداد زیادی سیستم را به صورت موازی می‌دهد و در نتیجه بررسی حوادث و عملیات‌های امنیتی روزانه را تسریع می‌نماید.

ابزار تهدیدات هوشمند

• ch: در بخش‌های ZeuS Tracker ،SpyEye Tracker ،Palevo Tracker وFeodo Tracker  کلیه سرور‌های یا Hostهای Command&Control را در تمام جهان ردیابی کرده و برای کاربر یک دامین و یک IP– Blocklist فراهم می‌نماید.
• Emerging Threats – Open Source: ابزار تهدیدات هوشمند برای تهدیدات درحال شیوع از ده سال پیش به عنوان مجموعه‌ای Open Source، برای جمع‌آوری Ruleهای Suricata و SNORT، Ruleهای فایروال و مجموعه Ruleهای دیگر IDS شروع به کار نمود. این مجموعه‌ی Open Source هنوز هم با بیش از 200.000 کاربر فعال که به طور روزانه مجموعه Ruleها را دانلود می‌کنند، نقشی فعال در امنیت اینترنت بازی می‌کند. Ruleهای ETOpen برای هر کاربر یا سازمانی قابل‌دسترسی است، به شرطی که از دستور‌العمل‌های ابتدایی پیروی نمایند. این Ruleها همچنین همیشه برای دانلود قابل‌دسترسی می‌باشد.
• PhishTank: یک پایگاه برای داده‌ها و اطلاعات در مورد Phishing در اینترنت است. PhishTank همچنین یک API باز را برای توسعه‌دهندگان و پژوهشگران فراهم می‌کند تا بدون هزینه داده‌های ضد Phishing را با برنامه‌های کاربردی خود ادغام کنند.
• SBL / XBL / PBL / DBL / DROP / ROKSO: پروژهSpamhaus یک سازمان بین‌المللی غیرانتفاعی است که ماموریتش ردیابی عملیات‌ها و منابع Spam اینترنتی می‌باشد تا حفاظت Anti-Spam قابل‌اتکایی به صورت Realtime برای شبکه‌های اینترنت فراهم گردد، تا همکاری با مراجع اجرای قانون با هدف شناسایی و تعقیب گروه‌های مجرم بدافزار و Spam در سطح جهانی صورت پذیرد و دولت‌ها به قانون‌گذاری ضد Spam ترغیب شوند.
• Internet Storm Center یا ISC در سال 2001 به دنبال شناسایی، تجزیه‌و‌تحلیل و هشدار گسترده در مورد wormی به نام Li0n ایجاد گشت. امروزه، ISC خدمات تجزیه‌و‌تحلیل و هشدار رایگانی را برای هزاران کاربر و سازمان در اینترنت فراهم می‌نماید و فعالانه با ارائه‌دهندگان خدمات اینترنت برای مبارزه با مخرب‌ترین مهاجمان همکاری می‌نماید.
• AutoShun: این ابزار تهدیدات هوشمندی که یک Snort Plugin است، به کاربر این توانایی را می‌دهد تا Logهای Snort IDS خود را به سروری مرکزی ارسال کند که حمله‌های Log سنسور کاربر را با دیگر سنسور‌های Snort، Honeypotها و فیلترهای Mail از سراسر دنیا مرتبط می‌سازد.
• DNS-BH: پروژه‌ی DNS-BH فهرستی از دامین‌هایی را حفظ می‌نماید که مشخص شده است بابت رواج بدافزار و Spyware از آن‌ها استفاده می‌شود. این پروژه فایل‌های مناطق متعلق به Bind و Windows را ایجاد می‌کند که برای ارسال پاسخ‌های جعلی به Localhost، برای هر درخواستی لازم هستند و در نتیجه از نصب و گزارش‌گیری بسیاری از Spyware‌ها جلوگیری می‌نماید.
• AlienVault Open Threat Exchange: ابزار تهدیدات هوشمندی که AlienVault Open Threat Exchange یا به اختصار OTX نام دارند، به کاربر کمک می‌کنند شبکه‌های خود را در مقابل از دست رفتن داده، قطعی خدمات و بروز تهدیدات امنیتی در سیستم که توسط آدرس‌های IP مخرب ایجاد می‌گردند، ایمن سازد.
• Tor Bulk Exit List – CollecTor، سرویس جمع‌آوری داده با کاربری ساده در شبکه‌ی Tor است. CollecTor داده‌ها را از Nodeها و خدمات مختلف در شبکه‌ی عمومی Tor جمع‌آوری کرده و آن‌ها را برای تمام دنیا قابل‌دسترسی می‌نماید.
• com: هدف اصلی leakedin.com این است که کاربران را از ریسک‌های از دست دادن داده مطلع کند. این بلاگ تنها نمونه‌های داده‌های از دست رفته یا افشا شده در سایت‌هایی مانند pastebin.com را در کنار هم جمع می‌کند.
• FireEye OpenIOCs: به طور عمومی شاخص سازگاری یا IOCها را به اشتراک می‌گذارد.
• OpenVAS NVT Feed: در واقع Feed عمومیِ تست‌های آسیب‌پذیری شبکه یا NVT است. از آوریل 2014 به بعد، دارای بیش از 35.000 NVT می‌باشد و این عدد هر روز افزایش می‌یابد. این Feed به عنوان پیش‌فرض برای OpenVAS پیکربندی شده است.
• Project Honey Pot: اولین و تنها سیستم توزیع‌شده برای شناسایی Spammerها و Spambotهایی است که Spammerها برای Scrape کردن آدرس‌ها از وب‌سایت کاربران از آن‌ها استفاده می‌کنند. با استفاده از سیستم Project Honey Pot کاربر می‌تواند آدرس‌هایی را که به طور دلخواه به زمان و آدرس IP یک مراجعه‌کننده به سایت کاربر Tag شده است، ثبت ‌نماید. اگر یکی از این آدرس‌ها شروع به دریافت ایمیل کند، کاربر نه تنها می‌تواند بفهمد که پیام‌ها Spam هستند، بلکه می‌تواند زمان دقیقی که آدرس برداشته شده است و آدرس IPی که آن را جمع‌آوری کرده است را نیز متوجه شود.
• Virustotal: که تحت پوشش Google است، یک سرویس آنلاین رایگان می‌باشد که فایل‌ها و URLها را تجزیه‌و‌تحلیل کرده و شناسایی ویروس‌ها، Wormها، Trojanها و انواع دیگر محتوای مخرب را که موتور‌های آنتی‌ویروس و اسکنر‌های وب‌سایت آن‌ها را شناسایی می‌کنند، ممکن می‌سازد. همچنین می‌توان از این سرویس برای شناسایی خطا در اعلام هشدار یا منابع بی‌خطری که یک یا چند اسکنر آن را به اشتباه مخرب تشخیص داده بودند، استفاده نمود.
• IntelMQ: راهکاری است برای CERTها برای جمع‌آوری و پردازش Feedهای امنیتی، Pastebinها و Tweetها با استفاده از یک پروتکل Queue پیام. این راهکار، بخشی از ابتکار عملی است که به صورت اجتماعی پیش می‌رود و IHAP (Incident Handling Automation Project) نام دارد. این ابتکار عمل به طور مفهومی توسط CERTهای اروپایی در طول چندین رخداد InfoSec طراحی شده و هدف اصلی‌اش ارائه‌ی راهکاری ساده برای جمع‌آوری و پردازش هوش تهدیدات به پاسخ‌دهندگان به حوادث و در نتیجه بهبود فرایند‌های CERTها در مواجهه با حوادث می‌باشد.
• CIFv2 – CIF یک سیستم مدیریت تهدیدات هوشمند سایبری است. CIF به کاربران این توانایی را می‌دهد که اطلاعات در دسترس در مورد تهدیدات مخرب را از منابع مختلف با هم ترکیب کرده و از این اطلاعات برای شناسایی (واکنش به حادثه)، تشخیص (IDS) و کاهش خطرات (مسیر Null) استفاده نمایند.
• CriticalStack – اطلاعاتی رایگان جمع‌بندی شده در مورد تهدیدات برای پلتفرم مانیتورینگ امنیتی شبکه‌ی Bro ارائه می‌دهد.