为了有效应对不断发展的网络安全新威胁,专业安全分析师需要在正确的时间获取到充分的威胁情报信息。而在互联网上存在很多开源情报(Open-Source Intelligence、OSINT)信息,其中开源是指公开可用,无需购买即可获取和分发的信息;而情报是指获取和应用知识的能力。
开源威胁情报通过综合收集汇总从明网、深网和暗网中获取的信息,可以在极低的预算投入下,给企业安全团队和分析师们提供以下方面的威胁信息:
威胁分子;
恶意威胁分子的动机和能力;
攻击采用的战术、技术和程序(TTP);
目标行业或技术;
漏洞和漏洞利用代码;
攻陷指标(IoC)。
在这个信息大爆炸的时代,开源威胁情报对于深度依赖有效信息获取的安全防护工作显得尤为重要。如果被合理利用,这些数据将能帮助分析师更准确了解事件的真相。无论企业组织需要什么类型的开源威胁情报,都可以通过以下 9 个来源,找到一些公开可用的资源。
CISA 官方网站
在美国网络安全和基础设施安全局(CISA)的官网上,有专门的网络安全资讯和新闻事件的报道页面,其中提供了大量的威胁情报信息。作为美国政府网络安全信息共享的核心平台,CISA 官网的许多页面上还提供了可扩展的附件下载服务,有效补充了 CISA 自动指标共享(AIS)的开源威胁情报内容。
通过查阅 CISA 官网,安全分析师可以获取到以下类型的威胁情报信息:
最新的漏洞警报;
威胁分析报告;
网络安全公告;
ICS 公告。
Red Canary
Red Canary 是一个专业的网络安全博客,提供了关于新活动集群、恶意软件变种和威胁活动的文章。该平台会定期发布一些网络安全研究报告,包括如下:
年度性威胁检测报告;
年度性安全趋势预测和要点报告;
月度性威胁情报洞察文章;
此外,它还提供了深入研究分析各种威胁(包括 IoC)的技术分享文章。
SANS 互联网风暴中心
SANS 是一家全球性的网络安全培训与研究机构,其所属的互联网风暴中心团队,会定期为安全专业人员提供各种最新的威胁情报和工具资源。该互联网风暴中心由行业中的志愿者运营,主要可以提供如下情报信息:
Infocon:一个标以色码的跟踪器,反映恶意活动和可能的连接中断;
播客:关于各种主题的安全知识和动态分享,附有额外资源的链接;
日记:讨论各种安全应用问题和威胁的技术 blog;
数据:关于威胁活动的检测与记录列表,包括每天所报告威胁的数量、目标和来源,显示当前安全攻击活动类型的地图,以及主要的攻击源头 IP;
工具:附有额外的资源和工具,以在获取开源威胁情报时提供帮助;
仪表板:显示当前主要安全威胁活动的可视化界面。
Pulsedive
Pulsedive 是一个较受欢迎的免费威胁情报平台,用户可以在这个平台上去搜索、扫描和完善他们已经初步掌握的部分 IP、URL、域及其他 IoC 等信息。
用户可以基于以下任意组合进行关键指标搜索:
情报的价值;
情报的类型;
安全风险;
上一次看到的时间戳;
情报出处和来源;
情报的特性和属性。
用户还可以基于以下组合方式搜索威胁信息:
威胁的名称;
威胁的别名;
威胁的类别;
威胁的风险级别;
威胁的来源和出处;
威胁的特性。
PhishTank
PhishTank 由思科公司所属的 Talos 威胁情报团队负责运营,这是一个主要针对网络钓鱼方面数据和信息的开放性联合研究项目。安全分析人员可以在该平台上执行以下操作:
提交可疑的钓鱼邮件;
对所提交的内容进行跟踪和关注;
验证其他用户提交的内容。
用户还可以根据目标品牌或 ASN 搜索网络钓鱼档案,以确定可疑的网络钓鱼攻击是否是真实有效的,此外,用户可以按照在线、离线等状态进行结果的筛选。由于 PhishTank 还提供了 API 和 RSS 情报源选项,因此相关情报数据共享起来会非常容易。
VirusTotal
VirusTotal 是一款专门针对新型恶意软件威胁的特征分析工具,可以聚合来自反病毒工具和在线扫描引擎的数据,以便用户及时发现那些被主流反病毒工具遗漏的恶意软件。VirusTotal 经常更新恶意软件特征,以提供更准确的特征分析数据。
通过 VirusTotal 工具,用户可以全面分析可疑软件的文件、域、IP、URL 等信息。一旦当反病毒分析引擎确定提交的文件为恶意文件时,VirusTotal 会及时通知用户,并显示检测标签。
目前,VirusTotal 可以给安全分析师提供以下威胁情报信息和工具:
API 脚本和客户端库;
YARA 规则;
桌面应用程序;
浏览器扩展;
移动应用程序。
torBot
torBot 是一种可以自动抓取和识别匿名网络 Tor 上不同服务的工具,因此可以有效帮助安全研究人员应对 Tor 网络的复杂性和匿名性。据 OWASP 网站声称,最新版的 torBot 工具目前已实现了以下情报获取和分析功能:
Onion 抓取器;
从网站获取电子邮件;
将抓取信息保存到 JSON 文件;
抓取自定义域;
检查网络连接是否正常;
内置情报信息自动更新器。
IntelligenceX Telegram 搜索引擎
IntelligenceX 创办于 2018 年,其独立开发和运营维护了一套 Telegram 搜索引擎和信息数据库。作为一种威胁情报搜索引擎,IntelligenceX Telegram 搜索引擎的特点是可以支持特定的搜索词,比如电子邮件地址、域、URL、IP、CIDR(无类别域间路由)、BTC 地址和 IPFS 哈希等。这让 IntelligenceX 可以收集到广泛的开源威胁情报信息,其来源全面覆盖了深网、暗网上的共享数据、whois 数据以及已经泄露的数据信息等。
IntelligenceX Telegram 搜索引擎通过智能化的搜索模式,可以给分析人员提供来自 Telegram 的以下信息:频道、用户、用户组以及机器人程序等。
微软
微软公司在提供高级威胁情报方面一直处于非常领先的地位,一是因为威胁分子会将微软公司的软件产品和服务作为主要的攻击目标,二是因为微软在网络安全威胁研究方面有非常深厚的积累和资源。目前,在微软定期更新的威胁情报社群中,包含有大量来自该公司安全专家团队的安全研究成果和最新的威胁活动情报信息。
微软情报社区涉及的情报主题和类型主要包括:
对主流威胁团伙及其当前活动的深入分析;
新的网络钓鱼攻击类型研究和展示;
基于不同类型环境的威胁特点分析;
网络攻击发展趋势和洞察报告。
通讯地址:北京市海淀区海淀南路甲21号中关村知识产权大厦A座2层206、207室 邮政编码:100080
电话:010-62565314 刘莉 京ICP证16064523号-2 版权所有:北京软件和信息服务业协会
技术支持:中科服 内容支持:鑫网安