Beispielsweise untersucht das “Extension Mismatch Module” die interne Struktur von Dateien und gleicht diese mit ihrer Benennung ab. Entstehen hierbei Diskrepanzen, ist das ein erster Hinweis darauf, dass Angreifer den Site visitors nutzen, um etwas zu verbergen. Darüber hinaus bietet Post-mortem unter anderem auch Erweiterungsmodule für Schulungen und Assist.
5. MISP für Menace Intelligence
Geht es um breit angelegte, kollektive Bemühungen, können Open-Supply-Instruments und -Plattformen glänzen. Die Malware Data Sharing Platform – kurz MISP – ist dafür das beste Beispiel. Die Plattform kommt ins Spiel, wenn es darum geht, die Daten von IT-Forensik-Instruments zu analysieren: Sie sammelt Informationen über potenzielle Angriffsvektoren in einer umfassenden Datenbank und bietet die Möglichkeit, diese Informationen über eine Suchmaschine mit eigenen Daten zu korrelieren. Dabei unterstützt die Lösung ein flexibles, objektbasiertes Datenmodell, das verschiedene Kompromittierungsindikatoren (Indicators of Compromise, IoC) visualisiert und sowohl über technische als auch nicht-technische Particulars Auskunft gibt. Ein Indexierungsalgorithmus der Assist für “Fuzzy Matching” bietet, deckt mögliche Übereinstimmungen automatisch auf.
MISP wurde gezielt für Sicherheitsteams entwickelt, um über geteilte Timelines und Occasion-Graphen zusammenzuarbeiten. Dieses quelloffene Projekt wird von der Europäischen Union unterstützt und erfreut sich diverser, umfassender Communities. Die webbasierten, größtenteils in PHP geschriebenen Instruments von MISP stehen auch in Quellcode-Kind zum Obtain zur Verfügung.
