为了有效应对不断发展的网络安全新威胁,专业安全分析师需要在正确的时间获取到充分的威胁情报信息。而在互联网上存在很多开源情报(Open-Source Intelligence、OSINT)信息,其中开源是指公开可用,无需购买即可获取和分发的信息;而情报是指获取和应用知识的能力。
开源威胁情报通过综合收集汇总从明网、深网和暗网中获取的信息,可以在极低的预算投入下,给企业安全团队和分析师们提供以下方面的威胁信息:
- 威胁分子。
- 恶意威胁分子的动机和能力。
- 攻击采用的战术、技术和程序(TTP)。
- 目标行业或技术。
- 漏洞和漏洞利用代码。
- 攻陷指标(IoC)。
在这个信息大爆炸的时代,开源威胁情报对于深度依赖有效信息获取的安全防护工作显得尤为重要。如果被合理利用,这些数据将能帮助分析师更准确了解事件的真相。无论企业组织需要什么类型的开源威胁情报,都可以通过以下9个来源,找到一些公开可用的资源。
1、CISA官方网站
在美国网络安全和基础设施安全局(CISA)的官网上,有专门的网络安全资讯和新闻事件的报道页面,其中提供了大量的威胁情报信息。作为美国政府网络安全信息共享的核心平台,CISA官网的许多页面上还提供了可扩展的附件下载服务,有效补充了CISA自动指标共享(AIS)的开源威胁情报内容。
通过查阅CISA官网,安全分析师可以获取到以下类型的威胁情报信息:
- 最新的漏洞警报。
- 威胁分析报告。
- 网络安全公告。
- ICS公告。
传送门:https://www.cisa.gov/news-events/cybersecurity-advisories?page=0。
2、Red Canary
Red Canary是一个专业的网络安全博客,提供了关于新活动集群、恶意软件变种和威胁活动的文章。该平台会定期发布一些网络安全研究报告,包括如下:
- 年度性威胁检测报告。
- 年度性安全趋势预测和要点报告。
- 月度性威胁情报洞察文章。
- 此外,它还提供了深入研究分析各种威胁(包括IoC)的技术分享文章。
传送门:https://redcanary.com/topic/threat-intelligence/。
3、SANS互联网风暴中心
SANS是一家全球性的网络安全培训与研究机构,其所属的互联网风暴中心团队,会定期为安全专业人员提供各种最新的威胁情报和工具资源。该互联网风暴中心由行业中的志愿者运营,主要可以提供如下情报信息:
- Infocon:一个标以色码的跟踪器,反映恶意活动和可能的连接中断;
- 播客:关于各种主题的安全知识和动态分享,附有额外资源的链接;
- 日记:讨论各种安全应用问题和威胁的技术blog;
- 数据:关于威胁活动的检测与记录列表,包括每天所报告威胁的数量、目标和来源,显示当前安全攻击活动类型的地图,以及主要的攻击源头IP;
- 工具:附有额外的资源和工具,以在获取开源威胁情报时提供帮助;
- 仪表板:显示当前主要安全威胁活动的可视化界面。
传送门:https://isc.sans.edu/。
4、Pulsedive
Pulsedive是一个较受欢迎的免费威胁情报平台,用户可以在这个平台上去搜索、扫描和完善他们已经初步掌握的部分IP、URL、域及其他IoC等信息。
用户可以基于以下任意组合进行关键指标搜索:
- 情报的价值。
- 情报的类型。
- 安全风险。
- 上一次看到的时间戳。
- 情报出处和来源。
- 情报的特性和属性。
用户还可以基于以下组合方式搜索威胁信息:
- 威胁的名称。
- 威胁的别名。
- 威胁的类别。
- 威胁的风险级别。
- 威胁的来源和出处。
- 威胁的特性。
传送门:https://pulsedive.com/。
5、PhishTank
PhishTank由思科公司所属的Talos威胁情报团队负责运营,这是一个主要针对网络钓鱼方面数据和信息的开放性联合研究项目。安全分析人员可以在该平台上执行以下操作:
- 提交可疑的钓鱼邮件。
- 对所提交的内容进行跟踪和关注。
- 验证其他用户提交的内容。
用户还可以根据目标品牌或ASN搜索网络钓鱼档案,以确定可疑的网络钓鱼攻击是否是真实有效的,此外,用户可以按照在线、离线等状态进行结果的筛选。由于PhishTank还提供了API和RSS情报源选项,因此相关情报数据共享起来会非常容易。
传送门:https://www.phishtank.com/。
6、VirusTotal
VirusTotal是一款专门针对新型恶意软件威胁的特征分析工具,可以聚合来自反病毒工具和在线扫描引擎的数据,以便用户及时发现那些被主流反病毒工具遗漏的恶意软件。VirusTotal经常更新恶意软件特征,以提供更准确的特征分析数据。
通过VirusTotal工具,用户可以全面分析可疑软件的文件、域、IP、URL等信息。一旦当反病毒分析引擎确定提交的文件为恶意文件时,VirusTotal会及时通知用户,并显示检测标签。
目前,VirusTotal可以给安全分析师提供以下威胁情报信息和工具:
- API脚本和客户端库。
- YARA规则。
- 桌面应用程序。
- 浏览器扩展。
- 移动应用程序。
传送门:https://www.virustotal.com/gui/home/search。
7、 torBot
torBot是一种可以自动抓取和识别匿名网络Tor上不同服务的工具,因此可以有效帮助安全研究人员应对Tor网络的复杂性和匿名性。据OWASP网站声称,最新版的torBot工具目前已实现了以下情报获取和分析功能:
- Onion抓取器。
- 从网站获取电子邮件。
- 将抓取信息保存到JSON文件。
- 抓取自定义域。
- 检查网络连接是否正常。
- 内置情报信息自动更新器。
传送门:https://link.springer.com/chapter/10.1007/978-981-15-0146-3_19。
8、IntelligenceX Telegram搜索引擎
IntelligenceX创办于2018年,其独立开发和运营维护了一套Telegram搜索引擎和信息数据库。作为一种威胁情报搜索引擎,IntelligenceX Telegram搜索引擎的特点是可以支持特定的搜索词,比如电子邮件地址、域、URL、IP、CIDR(无类别域间路由)、BTC地址和IPFS哈希等。这让IntelligenceX可以收集到广泛的开源威胁情报信息,其来源全面覆盖了深网、暗网上的共享数据、whois数据以及已经泄露的数据信息等。
IntelligenceX Telegram搜索引擎通过智能化的搜索模式,可以给分析人员提供来自Telegram的以下信息:频道、用户、用户组以及机器人程序等。
传送门:https://intelx.io/tools?tab=telegram。
9、微软
微软公司在提供高级威胁情报方面一直处于非常领先的地位,一是因为威胁分子会将微软公司的软件产品和服务作为主要的攻击目标,二是因为微软在网络安全威胁研究方面有非常深厚的积累和资源。目前,在微软定期更新的威胁情报社群中,包含有大量来自该公司安全专家团队的安全研究成果和最新的威胁活动情报信息。
微软情报社区涉及的情报主题和类型主要包括:
- 对主流威胁团伙及其当前活动的深入分析。
- 新的网络钓鱼攻击类型研究和展示。
- 基于不同类型环境的威胁特点分析。
- 网络攻击发展趋势和洞察报告。
传送门:https://www.microsoft.com/en-us/security/blog/microsoft-security-intelligence/。