在DomainTools,我们致力于帮助防御者、响应者和其他信息安全从业者识别和描述恶意在线基础设施。今天,我很高兴与大家分享两款新产品的一些细节,这两款产品将有助于实现上述目标:IP活动表而且托管IP风险提要.
当然,这不是我们第一次尝试风险评分;我们的域风险评分它已经生产了好几年,被世界各地的团队用于从警报分类到网络安全屏蔽列表到调查指导的所有事情。几乎就在我们发布领域风险评分的时候(从技术上讲,甚至在我们发布它之前!),我们收到了一个非常合乎逻辑的问题:你能对IP地址做同样的事情吗?
所以现在,我们的答案是“是的”,但有一个重要的附加条件,即我们评估IP地址的透镜是托管在IP地址上的域。(因此,举例来说,这些产品并不是为了捕捉被招募到僵尸网络中的居民IP地址而设计的。)让我们来看看这两种相关但又不同的知识产权风险产品是什么。
从预防到检测和缓解,各个领域的许多安全技术都以IP地址为规则创建对象。如果您正在运行这类设备(如果您是信息安全专家,您肯定是),那么您需要可靠的数据来构建IP地址的阻塞或检测规则。的IP活动表旨在识别最危险的主机IP地址群体。定义该列表的两个主要标准是:已知的恶意和预测的恶意托管域的百分比,以及该地址接收的流量级别(特别是高风险域),用internet范围的被动DNS收集来衡量。Hotlist是高置信度块列表和检测规则的理想数据库。典型的Hotlist大小在40,000到60,000个IP地址之间。
是什么决定了一个IP地址如何出现在Hotlist上?我们想要的是那些两者都是的域充满敌意的而且活跃的.外面有很多敌对但处于休眠状态的基础设施。虽然从一个调查从我的观点来看,最关键的“我是否需要担心这个”ip是那些被恶意行为者控制,并从受害者环境中获得流量的ip。我们特别自豪的是,我们的风险评分的巧克力和花生黄油的组合,以及我们从Farsight Security和我们的其他被动DNS供应商获得的出色的被动DNS数据。
下面是DomainTools幕后的一个小秘密:我们讨论了是否有必要称这个产品为“风险源”,而不是别的什么,因为,不像Hotlist,这个源中的IP地址不一定是有风险的。的托管IP风险提要是每天发现的所有IP地址至少托管一个域的提要。因此,与IP Hotlist不同的是,该提要包括任何活跃的托管IP,而不考虑其风险级别。但由于我们仍然包含提要中每个IP的已知恶意和预测恶意域名的百分比,因此我们认为它的定位是基于风险问题的,因此得名。但是,除了地址和风险评分之外,还有很多东西托管IP风险提要还包含丰富IP的详细数据字段.最终,没有人比您更有资格决定在您的特定环境中什么构成高风险,因此主机IP风险提要为您提供了构建模块,以便根据您自己的标准创建高度定制的IP列表。例如,您可能对IP地理定位非常感兴趣。也许对于您的组织来说,某些地区的ip流量总是被认为是高风险的,而不管其他标准如何。主机IP风险提要将允许您基于此创建检测或块。或者,您可能希望为您的规则组合各种字段,例如国家、ASN、领域风险评分等。提要中数据的广度使这成为针对提要编写一些脚本的简单问题(提要是一个简单的平面文件)。
我们很高兴首次展示这些重要的工具,以对抗恶意的在线基础设施。如果您想了解更多关于IP热列表或托管IP风险提要的信息,请与我们联系。
订阅DomainTools每月通讯,以获得创新的,实用的建议,以改善他们的安全态势。我们的目标是帮助组织在其组织的日常防御中更高效、更有知识、更积极主动。