為了有效應(yīng)對不斷發(fā)展的網(wǎng)絡(luò)安全新威脅,專業(yè)安全分析師需要在正確的時間獲取到充分的威脅情報信息。而在互聯(lián)網(wǎng)上存在很多開源情報(Open-Source Intelligence、OSINT)信息,其中開源是指公開可用,無需購買即可獲取和分發(fā)的信息;而情報是指獲取和應(yīng)用知識的能力。
開源威脅情報通過綜合收集匯總從明網(wǎng)、深網(wǎng)和暗網(wǎng)中獲取的信息,可以在極低的預(yù)算投入下,給企業(yè)安全團隊和分析師們提供以下方面的威脅信息:
- 威脅分子;
- 惡意威脅分子的動機和能力;
- 攻擊采用的戰(zhàn)術(shù)、技術(shù)和程序(TTP);
- 目標行業(yè)或技術(shù);
- 漏洞和漏洞利用代碼;
- 攻陷指標(IoC)。
在這個信息大爆炸的時代,開源威脅情報對于深度依賴有效信息獲取的安全防護工作顯得尤為重要。如果被合理利用,這些數(shù)據(jù)將能幫助分析師更準確了解事件的真相。無論企業(yè)組織需要什么類型的開源威脅情報,都可以通過以下9個來源,找到一些公開可用的資源。
01
CISA官方網(wǎng)站
在美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)的官網(wǎng)上,有專門的網(wǎng)絡(luò)安全資訊和新聞事件的報道頁面,其中提供了大量的威脅情報信息。作為美國政府網(wǎng)絡(luò)安全信息共享的核心平臺,CISA官網(wǎng)的許多頁面上還提供了可擴展的附件下載服務(wù),有效補充了CISA自動指標共享(AIS)的開源威脅情報內(nèi)容。
通過查閱CISA官網(wǎng),安全分析師可以獲取到以下類型的威脅情報信息:
- 最新的漏洞警報;
- 威脅分析報告;
- 網(wǎng)絡(luò)安全公告;
- ICS公告。
傳送門:
https://www.cisa.gov/news-events/cybersecurity-advisories?page=0
02
Red Canary
Red Canary是一個專業(yè)的網(wǎng)絡(luò)安全博客,提供了關(guān)于新活動集群、惡意軟件變種和威脅活動的文章。該平臺會定期發(fā)布一些網(wǎng)絡(luò)安全研究報告,包括如下:
- 年度性威脅檢測報告;
- 年度性安全趨勢預(yù)測和要點報告;
- 月度性威脅情報洞察文章;
- 此外,它還提供了深入研究分析各種威脅(包括IoC)的技術(shù)分享文章。
傳送門:
https://redcanary.com/topic/threat-intelligence/
03
SANS互聯(lián)網(wǎng)風(fēng)暴中心
SANS是一家全球性的網(wǎng)絡(luò)安全培訓(xùn)與研究機構(gòu),其所屬的互聯(lián)網(wǎng)風(fēng)暴中心團隊,會定期為安全專業(yè)人員提供各種最新的威脅情報和工具資源。該互聯(lián)網(wǎng)風(fēng)暴中心由行業(yè)中的志愿者運營,主要可以提供如下情報信息:
- Infocon: 一個標以色碼的跟蹤器,反映惡意活動和可能的連接中斷;
- 播客: 關(guān)于各種主題的安全知識和動態(tài)分享,附有額外資源的鏈接;
- 日記: 討論各種安全應(yīng)用問題和威脅的技術(shù)blog;
- 數(shù)據(jù): 關(guān)于威脅活動的檢測與記錄列表,包括每天所報告威脅的數(shù)量、目標和來源,顯示當(dāng)前安全攻擊活動類型的地圖,以及主要的攻擊源頭IP;
- 工具: 附有額外的資源和工具,以在獲取開源威脅情報時提供幫助;
- 儀表板: 顯示當(dāng)前主要安全威脅活動的可視化界面。
傳送門:https://isc.sans.edu/
04
Pulsedive
Pulsedive是一個較受歡迎的免費威脅情報平臺,用戶可以在這個平臺上去搜索、掃描和完善他們已經(jīng)初步掌握的部分IP、URL、域及其他IoC等信息。
用戶可以基于以下任意組合進行關(guān)鍵指標搜索:
- 情報的價值;
- 情報的類型;
- 安全風(fēng)險;
- 上一次看到的時間戳;
- 情報出處和來源;
- 情報的特性和屬性。
用戶還可以基于以下組合方式搜索威脅信息:
- 威脅的名稱;
- 威脅的別名;
- 威脅的類別;
- 威脅的風(fēng)險級別;
- 威脅的來源和出處;
- 威脅的特性。
傳送門:https://pulsedive.com/
05
PhishTank
PhishTank由思科公司所屬的Talos威脅情報團隊負責(zé)運營,這是一個主要針對網(wǎng)絡(luò)釣魚方面數(shù)據(jù)和信息的開放性聯(lián)合研究項目。安全分析人員可以在該平臺上執(zhí)行以下操作:
- 提交可疑的釣魚郵件;
- 對所提交的內(nèi)容進行跟蹤和關(guān)注;
- 驗證其他用戶提交的內(nèi)容。
用戶還可以根據(jù)目標品牌或ASN搜索網(wǎng)絡(luò)釣魚檔案,以確定可疑的網(wǎng)絡(luò)釣魚攻擊是否是真實有效的,此外,用戶可以按照在線、離線等狀態(tài)進行結(jié)果的篩選。由于PhishTank還提供了API和RSS情報源選項,因此相關(guān)情報數(shù)據(jù)共享起來會非常容易。
傳送門:https://www.phishtank.com/
06
ViRustotal
VirusTotal是一款專門針對新型惡意軟件威脅的特征分析工具,可以聚合來自反病毒工具和在線掃描引擎的數(shù)據(jù),以便用戶及時發(fā)現(xiàn)那些被主流反病毒工具遺漏的惡意軟件。VirusTotal經(jīng)常更新惡意軟件特征,以提供更準確的特征分析數(shù)據(jù)。
通過VirusTotal工具,用戶可以全面分析可疑軟件的文件、域、IP、URL等信息。一旦當(dāng)反病毒分析引擎確定提交的文件為惡意文件時,VirusTotal會及時通知用戶,并顯示檢測標簽。
目前,VirusTotal可以給安全分析師提供以下威脅情報信息和工具:
- API腳本和客戶端庫;
- YARA規(guī)則;
- 桌面應(yīng)用程序;
- 瀏覽器擴展;
- 移動應(yīng)用程序。
傳送門:
https://www.virustotal.com/gui/home/search
07
torBot
- Onion抓取器;
- 從網(wǎng)站獲取電子郵件;
- 將抓取信息保存到JSON文件;
- 抓取自定義域;
- 檢查網(wǎng)絡(luò)連接是否正常;
- 內(nèi)置情報信息自動更新器。
傳送門:
https://link.springer.com/chapter/10.1007/978-981-15-0146-3_19
08
IntelligenceX Telegram搜索引擎
IntelligenceX創(chuàng)辦于2018年,其獨立開發(fā)和運營維護了一套Telegram搜索引擎和信息數(shù)據(jù)庫。作為一種威脅情報搜索引擎,IntelligenceX Telegram搜索引擎的特點是可以支持特定的搜索詞,比如電子郵件地址、域、URL、IP、CIDR(無類別域間路由)、BTC地址和IPFS哈希等。這讓IntelligenceX可以收集到廣泛的開源威脅情報信息,其來源全面覆蓋了深網(wǎng)、暗網(wǎng)上的共享數(shù)據(jù)、whois數(shù)據(jù)以及已經(jīng)泄露的數(shù)據(jù)信息等。
IntelligenceX Telegram搜索引擎通過智能化的搜索模式,可以給分析人員提供來自Telegram的以下信息:頻道、用戶、用戶組以及機器人程序等。
傳送門:https://intelx.io/tools?tab=telegram
09
微軟
微軟公司在提供高級威脅情報方面一直處于非常領(lǐng)先的地位,一是因為威脅分子會將微軟公司的軟件產(chǎn)品和服務(wù)作為主要的攻擊目標,二是因為微軟在網(wǎng)絡(luò)安全威脅研究方面有非常深厚的積累和資源。目前,在微軟定期更新的威脅情報社群中,包含有大量來自該公司安全專家團隊的安全研究成果和最新的威脅活動情報信息。
微軟情報社區(qū)涉及的情報主題和類型主要包括:
- 對主流威脅團伙及其當(dāng)前活動的深入分析;
- 新的網(wǎng)絡(luò)釣魚攻擊類型研究和展示;
- 基于不同類型環(huán)境的威脅特點分析;
- 網(wǎng)絡(luò)攻擊發(fā)展趨勢和洞察報告。
傳送門:
https://www.microsoft.com/en-us/security/blog/microsoft-security-intelligence/
