DSMS: Decision Support Monitoring Systems

dsms

Kali ini saya coba share materi presentasi dari HK-CERT tentang DSMS. Judul lengkapnya DSMS: Automating Decision Support and Monitoring Workflow for Incident Response. DSMS ini adalah sebuah sistem yang dapat memudahkan organisasi seperti CERT untuk menangani insiden. DSMS ini digunakan pada proses automatisasi penanganan insiden. Proses automatisasi penanganan insiden ini dapat dibagi menjadi 3 tahap:

  1. Data Normalization: Pada proses ini sistem mengambil berbagai data dari berbagai sumber seperti Clean MX dan shadow server. Kemudian dilakukan normalisasi data dengan menggunakan Information Feed Analysis System.
  2. Filter & Normalize: Kemudian dilakukan filtering dan pemilihan data. Filterisasi ini menggunakan sistem DSMS.
  3. Ticketing system: Hasil pemilihan data ini kemudian akan dihubungkan ke sistem pelaporan (ticketing system) menggunakan IRMS (Incident Response Management System)

DSMS ini dapat memudahkan analis keamanan dalam melakukan automatisasi berbagai proses penanganan insiden. Sistem ini menggunakan berbagai library open source serta memanfaatkan berbagai layanan yang tersedia di internet seperti: IP lookup, malware analysis dan IP Reputation. Hasil filtering diantaranya dapat menampilkan data-data tentang insiden keamanan seperti IP mana saja yang terlibat , ASN mana saja, layanan apa saja yang banyak menjadi target serangan dll. Untuk melakukan analisa malware sistem DSMS ini terhubung dengan layanan Virus Total.

Sistem DSMS ini dikembangkan menggunakan python, Django, Celery, RabbitMQ dan Ubuntu. Sistem DSMS ini terdiri dari tiga bagian, DSMS Core, DSMS broker dan DSMS agent. Saat ini sistem DSMS telah memiliki beberapa modul berikut ini:

  • HTTP Status
  • HTTP Spidering
  • URL Screenshot
  • IP Resolution
  • ASN/ geo IP lookup
  • whois lookup dan parsing
  • OS Fingerprinting
  • website fingerprinting
  • virus Total analysis
  • Wepawet analysis

Selain itu rencananya akan ditambahkan juga beberapa modul lain seperti:

  • Klasifikasi target
  • Analisa binary android
  • Analisa HTML dan javascript dengan thug
  • Passive DNS
  • Bitcoin wallet monitoring
  • Email address analysis
  • artifact similarity analysis

DSMS ini dikembangkan oleh HK-CERT bekerjasama dengan CSIRT Foundry. CSIRT Foundry adalah developer yang mengembangkan berbagai tools khusus untuk penanganan insiden keamanan.

Semoga Bermanfaat!

Tentang DSMS dapat dilihat pada web berikut:

http://www.irtools.io/dsms/index.html

Tentang HK-CERT:

https://www.hkcert.org/home

Tentang CSIRT Foundry

http://csirtfoundry.com

Tentang CleanMX:

http://clean-mx.de/

Tentang shadowserver:

http://www.shadowserver.org/

Tentang celery:

http://www.celeryproject.org/

Tentang rabbitmq:

https://www.rabbitmq.com/

Tentang wepawet

https://rubygems.org/gems/wepawet/

https://github.com/chrislee35/wepawet

Virustotal:

https://virustotal.com/

 


Silahkan tuliskan tanggapan, kritik maupun saran