Automatisk distribusjon av indikatorer på kompromittering basert på verktøy med åpen kildekode
Abstract
Arbeidet med å beskytte en organisasjons datasystemer og nettverk kan være komplekst og tidkrevende. Denne oppgaven beskriver en løsning basert på åpen kildekode verktøy som kan være et hjelpemiddel for å beskytte digital infrastruktur. Løsningen som i denne rapporten er beskrevet, automatiserer innhenting av informasjon om digitale trusler, slik som indikatorer på kompromittering, og distribusjonen av disse til både nettverks- og vertsbaserte forsvarsmekanismer. Hendelser blir, etterhvert som de oppstår, overført til et eget system for håndtering av sikkerhetshendelser. Rapporten forsøker også å gi et overblikk over de forskjellige miljøene som eksisterer for utveksling av informasjon om digitale trusler og hvordan en organisasjon som det Norske Cyberforsvaret kan dra nytte av disse. Defending an organization's network infrastructure from attacks can be a complex and tedious task. This thesis describes a software solution based on open source tools designed to aid in the defence of network infrastructure. The solution described automates the gathering of threat intelligence, such as indicators of compromise, and the distribution of such indicators to defence mechanisms on the host and network level. Finally, events are transferred to an event management system, allowing analysts in the organization to effectively and accurately analyze the activity. The thesis touch upon the potential advantages of being a part of a larger threat sharing community for governments. It also provides a brief outline of the most relevant communities for an organization such as the Norwegian Cyber Defence.