浅谈开源威胁情报工具和技术

互联网是巨大的,拥有比你能想到的更多、更重要的数据。它并不局限于用来搜索人或者公司的信息,也可以用来预测未来会发生的事情,这一预测基于数据。你需要处理这些数据,OSINT的工作就是将数据联系起来,得出有意义的结论。

数据无处不在,你能用它做许多奇妙的事情。今天让我们探讨下威胁管理中的开源情报吧。

开源威胁情报

威胁是指能够损害商业活动和可持续性的任何事情,威胁基于三个核心因素:

意图:策划和目的

能力:支持意图的资源

机会:合适的时间、技术、步骤和工具

一个机构往往难以发现威胁,常常把大量时间花费在遭受攻击之后的漏洞修补和调查取证上,而不是在攻击出现之前阻止它。

根据Gartner的定义,威胁情报是指:基于一定知识的证据,已经存在或正在形成的潜在威胁,比如,上下文、机制、指标、意义以及可实施的建议,利用这些,可以帮助当事人形成应对这些危险的决策。

我们要做的是,预测(基于数据)将要来临的的攻击。开源威胁情报利用公开的可用资源,预测潜在的威胁。网络威胁情报可以帮助你在防御方面做出更好的决策,可以得到以下好处。

采取积极的办法,而不是被动的反应。你可以制定计划来对抗现在和将来的威胁。

组建一个安全预警机制,在攻击发起之前知道它

对安全事件提出更好的解决方案

网络威胁情报为你提供最新的安全技术信息,帮助封锁出现的威胁

对相关的危险进行调查,开展利益分析

要寻找什么:

恶意IP地址

域名/网站

文件哈希(恶意软件分析)

受害领域/国家

开源威胁情报架构

OTX – Open Threat Exchange:AlienVault Open Threat Exchange (OTX) 可以访问威胁研究专家和安全专家全球社区。它递送社区产生的威胁数据,能够协作各个来源的威胁数据,自动更新你的安全基础设施。

开源威胁情报为你提供可实施的建议,从攻击中学习,并且在他们攻击你之前打上补丁。

让我们比较下面两种情况:

传统方法

OTX方法

过程非常简单直接,持续关注出现的威胁,定义规则,加强你的策略,封锁这些威胁。这一主动的办法可以保护你的基础设施和声誉。攻击不仅能摧毁技术基础设施或者盗窃数据,也会对商标的声誉、客户的信任以及未来的销量造成伤害。对攻击进行响应并不能挽回被盗取的东西,聪明的策略是在攻击发生之前封锁它。它也有助于:

去除无效的指标,降低对误报的响应

将精确的信息加入到SIEMs中

帮助SOC工程师调整优先级并发布警告

帮助管理者利用证据与他们的上级负责人沟通相关的危险

帮助事件处理小组快速补救

分配预算(日渐增长的威胁需要更多的关注和预算)

人力资源规划和任务管理

威胁指标

威胁指标是指能够指明可能存在的攻击的实体。最常见的类型是文件哈希(签名),与攻击相关的域名和IP地址的信誉。

文件哈希是蠕虫、木马、键盘记录器以及其它恶意程序的唯一标识。MD-5或者SHA-1通过复杂的变换为程序生成唯一的指纹,可以用它来标识恶意文件。同时,网站、IP或者特定的URL会传播恶意软件,给用户的网络带来危险。跟踪恶意网站、列入黑名单的IP,利用哈希识别出恶意文件,阻止它们进入你的网络。与恶意网站/IP相关的危险有:

垃圾和钓鱼页面

恶意软件和间谍软件

匿名代理攻击和P2P网络

暗网IP地址(使用TOR)

管理僵尸网络的C&C服务器

使用公开或者私有的订阅来收集信息,分析并阻止他们。

Threatcrowd,一个威胁搜索引擎,能让用户搜索和调查与IP、网站或机构相关的威胁。它也提供了API,利用ThreatCrowd API你可以搜索下面的内容:

域名

IP地址

邮件地址

文件哈希

杀软检测

它会从virustotal和malwr.com上获取信息,它也提供了MALTEGO转换,方便分析和关联数据。

它显示了对MD-5哈希的分析,这些信息显示它的源IP、域名,以及其它相关的哈希。这些签名代表的恶意文件不应该在你的网络中运行。

在threatcrowd网站上可以看到木马更详细的信息。

使用malwr.com可以进行如下更详细的分析:

静态分析

行为分析

网络分析

截图

域名和IP

注册表

其它更多内容

日渐增长的钓鱼攻击已经给网络安全造成了威胁,培训和安全教育不是唯一的解决方案。你可以使用可操作的情报来阻止钓鱼攻击,下面的服务会跟踪并发布钓鱼页面:

openphish.com

phishtank.com

不要让你的员工或用户访问如下的钓鱼页面:

Openphish可以识别出零日钓鱼页面,并且提供全面的、可实施的、实时的威胁情报。

上面讨论到的重要数据都可以公开免费获取,需要花精力对这些数据进行收集和分析。使用Maltego以及OTX,可以很容易地访问这些数据。参与到这些项目中来,让它成为威胁情报管理中的重要工具。

====================================分割线================================

本文转自d1net(转载)

时间: 2024-12-10 02:08:38

浅谈开源威胁情报工具和技术的相关文章

Anomali推出免费STIX/TAXII威胁情报工具

本文讲的是 Anomali推出免费STIX/TAXII威胁情报工具,安全公司Anomali在上个月下旬发布了其新的免费的STAXX工具以接收威胁情报馈送,旨在填补信息共享平台 Soltra Edge 的关闭所留下的空白. 威胁馈送领域里,STIX(结构化威胁信息表达)和TAXII(可信自动化指标信息交换),是分析师以标准化方式获取情报的两项核心技术. 企业消费STIX和TAXII的主要方式之一,就是通过存款信托及结算机构(DTCC)与金融服务信息共享和分析中心(FS-ISAC)联合开发的免费 S

威胁情报工具:更快?更聪明?

本文讲的是 威胁情报工具:更快?更聪明?,近年来这几个名字经常出现在安全人员的眼前,塔吉特.摩根大通.家得宝.安腾,最近还有美国国税局(IRS)和人事管理局(OPM). 当今,网络威胁的覆盖面越来越广,渗透速度也越来越快.调查显示,60%的案例中攻击者能在数分钟内攻陷一家公司.更令人震惊的是,遭受攻击的企业中85%都不知道自己已经被攻破数周了. 那么,公司企业怎样才能更好地避免成为下一个数据泄露头条新闻主角,或者免于沦为信息泄露受害者中一项冰冷的统计数据呢? 你的公司需要在一个就像是持续遭到攻击

浅谈开源大数据平台的演变

浅谈开源大数据平台的演变 2015-04-16 腾讯大数据一说到开源大数据处理平台,就不得不说此领域的开山鼻祖Hadoop,它是GFS和MapReduce的开源实现.虽然在此之前有很多类似的分布式存储和计算平台,但真正能实现工业级应用.降低使用门槛.带动业界大规模部署的就是Hadoop.得益于MapReduce框架的易用性和容错性,以及同时包含存储系统和计算系统,使得Hadoop成为大数据处理平台的基石之一.Hadoop能够满足大部分的离线存储和离线计算需求,且性能表现不俗:小部分离线存储和计算

浅谈博客群发工具的利与弊有哪些

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 大家好,很久没来a5了,刚刚过完年,相信大家都还依然沉浸在吃喝玩乐的生活中--废话就不多说了,今天给大家带来的话题是:浅谈博客群发工具的利与弊有哪些.相信用过博客群发工具的朋友都知道,它操作简单,但作用随着时间的推移效果慢慢的下降了,工具就是工具,它不能完全取代人的一切,特别是搞我们seo这行的朋友应该非常清楚指点了,算法在不断的改变,今天能

威胁情报工具:更快?更聪明?

近年来这几个名字经常出现在安全人员的眼前,塔吉特.摩根大通.家得宝.安腾,最近还有美国国税局(IRS)和人事管理局(OPM). 当今,网络威胁的覆盖面越来越广,渗透速度也越来越快.调查显示,60%的案例中攻击者能在数分钟内攻陷一家公司.更令人震惊的是,遭受攻击的企业中85%都不知道自己已经被攻破数周了. 那么,公司企业怎样才能更好地避免成为下一个数据泄露头条新闻主角,或者免于沦为信息泄露受害者中一项冰冷的统计数据呢? 你的公司需要在一个就像是持续遭到攻击的状态下运营.你必须足够警醒,在侦测和响应

浅读Gartner威胁情报市场指南:谁在同台竞技?

自2014年Gartner首次提出"自适应安全"概念以来,这家全球最早也最权威的信息化咨询研究机构已经是第四年在发布的报告中强调以预测.防护.检测.响应四个阶段组成的自适应安全体系.而在第四年,Gartner终于首次发布了<威胁情报市场指南>,全球近50家公司榜上有名. 对于IT信息化较为成熟的领域,Gartner会发布魔力象限报告,而对于尚处蓝海.潜力较大.产品和市场都处于快速发展中的细分领域,Gartner则会发布相应的市场指南报告.此次威胁情报市场指南发布,或许意味着

浅谈产品经理必备工具

俗话说的好:"工欲善其事,必先利其器!" 当然,这"器"不仅仅只是指"兵器"或"器具",你可以把器理解成能够任何被你所"利用"."使用"的工具或手段.而对于从事互联网的产品经理来说,显然那电脑是首要必备的工具.不过,电脑硬件通常是公司决定的,所以可选择的余地不多,至多就是加点内存之类,这就不足为道也,而在这里我只想聊聊在电脑上安装和使用的软件方面,想谈谈对于产品经理来说,究竟有什么样的考

浅谈灰色行业如何做seo技术排名

何为灰色产业,通俗的讲,就是在法律边缘的行业既不合法但又不是违法的行业.比如刻章,办证,六合彩,窃听器等等,在进一步了解真正的灰色行业的关键词在搜索引擎中是不允许竞价出现.近年来随着科学技术的发展,灰色行业也在不段的的发展,灰色行业所产生的利润是不可想象的. 当然灰色行业的关键词正常优化手法会受到限制的,比如做外链的时候,常用的论坛外链屏蔽,第三方博客屏蔽,还有其他外链平台也会拒之门外的.所以灰色行业关键词基本都是站群,群发,黑链,黑帽等等手段来获取排名的.在一般人看来这些都是不提倡的,但是在笔

浅谈开源web程序后台的安全性

一.前言 不知怎的最近甚是思念校园生活,思念食堂的炒饭.那时会去各种安全bbs上刷刷帖子,喜欢看别人写的一些关于安全技巧或经验的总结;那时BBS上很多文章标题都是:成功渗透XXX,成功拿下XXX.这里便以一篇入侵菲律宾某大学的文章引出文章的主题,我们先简要看一下过程.大学网站使用了名为joomla的开源web程序,(1)青年使用一个joomla已经公开的漏洞进入web后台(2)青年使用joomla后台上传限制不严的缺陷上传了一个webshell(3)控制主机赠送我国国旗. 原来入侵一台主机如此容