鉴于不断变化的形势,跟上网络安全的发展已成为一项挑战。这包括新发现的漏洞、新的攻击方法以及新兴网络攻击者使用的策略、技术和程序 (TTP)。因此,获取资源和工具来协助完成这些耗时的任务并获取可操作的信息变得越来越困难。
对于安全专业人员来说,拥有先进的知识是至关重要的促成因素。在考虑高级版本之前,可能有必要尝试使用可提供经过验证的及时信息的免费威胁情报源。
许多 CTI(网络威胁情报)工具在情报周期的不同阶段都证明是有用的。虽然这些工具不能成为一体化解决方案,但除了促进自动化数据收集、存储、共享和分析之外,与 SR CTI 解决方案一起可以节省许多中小型企业无法承受的大量财务投资。
为了解决这个问题,我们编制了一份我们认为对于将 CTI 纳入安全运营最有帮助的10 个最佳工具和来源的列表。这些选项至少免费提供部分功能。
1- AlienVault 开放威胁交换
AlienVault Open Threat Exchange (OTX) 提供对全球威胁研究人员和安全专家社区的开放访问。它提供社区生成的威胁数据,促进协作研究,并自动执行使用任何来源的威胁数据更新安全基础设施的过程。
该平台是最初的众包威胁情报库,并且仍然是最好的平台之一,每天处理超过1900 万条新的妥协指标 (IoC) 记录。该服务免费使用,并提供各种格式的威胁情报,包括 STIX、OpenIoC、MAEC、JSON 和 CSV 格式。每个饲料样本被称为“脉冲”。
您可以通过接收某些预先过滤的数据来灵活地定义您的特定要求,并且还可以选择接收针对设备类型(例如端点)定制的源。如果相关数据超出您的 Feed 参数范围,则此附加数据将链接到所交付的记录中。
AlienVault 组(威胁参与者)页面
2-CTI4SOC
SOCRadar 的全新独立 CTI 解决方案CTI4SOC是下一代威胁情报平台,旨在促进 SOC 分析师的工作。它拥有 12 个功能模块,是 SOC 团队的得力助手。
与传统威胁情报平台不同,CTI4SOC由大数据提供支持,并以有组织和上下文的方式呈现分析人员可以使用各种工具获取的所有数据。
借助 CTI4SOC,SOC 团队无需浏览各种信息源来寻找真实且有用的信息。该平台通过分析师的眼睛选择和过滤信息,为您提供正确的假设来开始您的研究。
该平台不仅编译有用的信息,而且将其呈现在可操作的环境中。它提供对 SORadar 安全分析师和其他可信来源发布的威胁报告的一键访问。
在当今不断变化的威胁格局中,一些威胁行为者可能只针对特定部门并具有自己的显着特征。SOC 分析师对这些对手的战术、技术、程序 (TTP)、动机和行为模式的理解可以帮助他们形成明智的观点,从而直接有助于调查过程。借助 CTI4SOC,您可以将活跃的威胁参与者添加到监视列表中,以随时掌握他们的活动。
SOCRadar威胁搜寻模块是 SOC 分析师在调查阶段后最有价值的工具。从那里,安全人员可以通过搜索关键信息来扩展他们的工作,例如命令和控制 (C2) 中心、恶意软件、IP 地址和域。CTI4SOC 是一个 API 就绪解决方案,可在发生可能的攻击时随时提供所有这些可操作的数据。
SORadar 网络威胁情报/威胁搜寻模块
3-文档卫士
DOCGuard是一项恶意软件分析服务,与安全电子邮件网关 (SEG) 和 SOAR 解决方案集成。
该服务利用一种称为结构分析的新型静态分析。该方法将恶意软件分解成碎片,并将它们转移到基于文件结构组件的核心引擎。通过采用这种方法,DOCGuard 可以明确地检测恶意软件,提取无 F/P(无误报)的妥协指标 (IoC),并以序列编码和文档加密的形式识别混淆和加密。
目前,支持的文件类型包括 Microsoft Office 文件、PDF、HTML、HTM、LNK、JScript、ISO、IMG、VHD、VCF 和存档(.zip、.rar、.7z 等)。结构分析的详细结果显示在 GUI 中的聚合视图中,并且可以作为 JSON 报告下载。这些发现也可以通过 API 收集。
DOCGuard 的突破性分析引擎使其能够在几秒钟内分析文件并检测所有已知的攻击方法,而不会遗漏任何攻击方法。此外,它执行此分析时系统资源使用率低得惊人。DOCGuard 有助于实现来自各种来源的警报验证的自动化,例如 SIEM 和 SOAR 解决方案、PhishMe、Cofense 等。该服务提供快速样本分析,并使用其 API 接口在几分钟内与您的网络安全生态系统无缝集成。您可以通过部署 Docker 容器并将其集成到您的网络安全基础设施中来轻松安装 DOCGuard。
DOCGuard 免费文件分析页面
VirusTotal 最近宣布,与 DOCGuard 集成的文档分析合作将使社区能够以另一种方式看待扫描文档。
VirusTotal 样本文档分析
4- GREYNOISE
GreyNoise为网络威胁情报 (CTI) 分析师和威胁追踪人员提供可见性和深层背景。它收集并分析整个互联网上的浏览活动数据,有助于在分析威胁情报信息时减少误报。GreyNoise 收集有关Shodan等良性扫描程序以及 SSH 和 Telnet 蠕虫等恶意行为者的信息。此外,它还可以识别SOC 分析师可能错过的噪声数据。
GreyNoise 可识别安全事件中的互联网浏览器和一般业务活动,从而实现更快、更安全的决策。无论您使用其查看器、API 还是将 GreyNoise 数据集成到您的安全工具中,您都可以在安全日志中找到重要内容并继续工作。
GreyNoise 集成可轻松丰富威胁情报平台 (TIP) 中的数据,并有助于消除 CTI 团队在获取不同情报源时容易遇到的噪音和误报。威胁追踪者可以让 GreyNoise 发现战术、技术和程序 (TTP) 中的异常模式,从而发现敌人的活动和基础设施。他们还可以使用灰噪声分析工具深入研究妥协指标 (IoC),以加快调查进度。
GreyNoise 标签趋势页面
5- INTEZER
Intezer是一个旨在像经验丰富的安全分析师和逆向工程师一样分析和调查警报的平台。
多年来,Intezer 不断调整和扩展其专有代码分析引擎的功能,为 SOC 团队自动执行日益耗时或重复的任务。它超越了自动化剧本、沙盒或警报丰富,可以采取行动、做出明智的决策,并为您的团队提供事件响应建议。
Intezer 的自我导向 SOC 平台可以为您的团队确定警报的优先级并全天候 (24/7) 调查威胁。通过利用自动分析、智能建议和自动修复,Intezer 可以帮助您的团队避免将时间浪费在误报、重复性分析任务以及处理过多的高级且耗时的警报上。
Intezer Analytics是一款一体化恶意软件分析平台,可以对任何类型的文件执行静态、动态和遗传代码分析。它可以帮助事件响应和 SOC 团队简化对任何恶意软件相关事件的调查。用户可以跟踪恶意软件家族、提取 IoC/MITRE TTP 并下载 YARA 签名。还有一个社区版本可供免费使用。
借助 Intezer Transformations,恶意软件分析师和威胁研究人员可以快速获得有关任何可疑文件或端点的答案,在几秒钟内对可疑文件和机器进行分类,加快响应时间,并将多种恶意软件分析工具合并为一个。
Intezer 可实现及时、深入的报告,并被认为是“必备”,拥有专用实例来上传潜在敏感数据并自动确定优先级并调查每个警报。该平台仅提供已确认的严重威胁。轻松连接您的警报系统,在不改变日常运营的情况下实现即时价值。
Intezer 分析页面
6-MISP 威胁共享
MISP,以前称为恶意软件信息共享平台,是一个开源、免费的威胁情报平台,具有共享威胁信息的开放标准。它由CIRCL创建,提供收集、存储、分发和共享与网络安全事件和恶意软件分析相关的网络安全威胁的功能。
MISP 允许您将数据库中的妥协指标 (IoC) 与恶意软件、攻击或活动的属性和指标相关联。它由 SOC 分析师、安全和 ICT 专业人员以及恶意软件逆向工程师设计,旨在支持他们的日常运营并有效共享结构化信息。
随着MISP 项目的扩展,它开始不仅涵盖恶意软件指标,还涵盖欺诈和漏洞信息。现在的名称是 MISP,其中包括核心 MISP 软件和大量支持 MISP 的工具 (PyMISP) 和格式(核心格式、MISP 分类法、警告列表)。MISP 现在是一个由志愿者团队领导的社区项目。
MISP 的目的是促进安全社区内外的结构化信息共享。MISP 提供支持信息交换以及网络入侵检测系统 (NIDS)、LIDS 和日志分析工具 SIEM 信息消耗的功能。
MISP、恶意软件信息共享平台和威胁共享的主要功能包括:
- 高效的 IoC 和指标数据库,允许存储有关恶意软件样本、事件、攻击者和情报的技术和非技术信息。
- 自动关联以查找恶意软件、攻击活动或分析的属性和指标之间的关系。
- 一种灵活的数据模型,可以表达复杂的对象并将其链接在一起以表达威胁情报、事件或链接的项目。
- 内置共享功能,方便使用不同的分发模型共享数据。
- 直观的用户界面,供最终用户创建、更新和协作处理事件和属性/指标。
- 灵活的 API,可将 MISP 与您自己的解决方案集成。MISP 附带 PyMISP,这是一个灵活的 Python 库,可通过其 REST API 访问 MISP 平台,允许您获取事件、添加或更新事件/属性、添加或更新恶意软件样本或搜索属性。
- 可调整的分类法,可根据您的分类方案或现有分类法对事件进行分类和标记。
- 称为 MISP 星系的情报字典,其中包括现有的威胁行为者、恶意软件、RAT、勒索软件或 MITRE ATT&CK,可以轻松与 MISP 中的事件和属性关联。
MISP 事件查看模块
7- OpenCTI – 开放网络威胁情报平台
OpenCTI项目是一个适用于所有级别的开放网络威胁情报的统一平台,是一个旨在促进网络威胁情报信息处理和共享的工具。它是计算机应急响应小组 (CERT-EU) 和法国国家网络安全局 (ANSSI) 合作的产物。
OpenCTI 是一个开源平台,使组织能够管理其网络威胁情报信息 (CTI) 和可观察数据。它的创建是为了存储、组织和可视化有关网络威胁的技术和非技术信息。
数据结构化是使用基于STIX2 标准的信息模式来执行的。它被设计为一个现代 Web 应用程序,包括 GraphQL API 和面向用户体验 (UX) 的前端。它还可以与其他工具和应用程序集成,例如 MISP、TheHive、MITRE ATT&CK等。
该威胁情报平台包含的一些关键要素如下:
- OpenCTI 通过基于 STIX2 标准的统一数据模型提供链接的运营和战略情报信息。
- 自动化工作流程:引擎自动得出逻辑结论,以提供见解和实时连接。
- 与信息技术生态系统集成:其开源设计可以与任何本机或第三方系统简单集成。
- 智能数据可视化允许分析师使用各种显示选项直观地表示实体及其连接,包括嵌套关系。
- 分析工具:每条信息和指标都与其来源相关联,以方便分析、评分和纠正。
OpenCTI是一个包含 Python 或 Go API 接口以及强大的 Web 界面的框架。
8-网络钓鱼坦克
PhishTank是一个免费的社区网站和协作平台,任何人都可以在其中提交、验证、跟踪和共享网络钓鱼数据。它提供了经过验证的网络钓鱼 URL 的全面流,可用于保护组织免受网络钓鱼攻击。PhishTank 作为网络钓鱼验证系统运行,使用户能够提交或评级可疑网站并提供开放的 API。
该平台提供了来自人工报告的可疑网络钓鱼 URL 列表,并且还包含可用的外部源。虽然 PhishTank 是一项免费服务,但有时可能需要注册 API 密钥。
PhishTank 统计页面
9-PULSEDIVE
Pulsedive是一个免费的社区威胁情报平台,它利用开源源,丰富妥协指标 (IoC),并通过风险评分算法运行它们以提高数据质量。它允许用户提交、搜索、扫描和丰富 IP、URL 和域。此外,它使用户能够关联和更新来自威胁情报源的 IoC,并列出风险因素,解释为什么某些 IoC 被认为风险较高。该平台提供威胁和威胁活动的高级视图。
用户可以根据以下条件的任意组合搜索指标:值、类型、风险、上次查看时间戳、威胁源、属性和属性。此外,他们还能够根据以下条件的任意组合搜索威胁:威胁名称、别名、类别、风险、上次查看时间戳、源和威胁属性。
脉冲潜水分析页面
10-VIRUSTOTAL
VirusTotal使用70 多个防病毒扫描程序和 URL/域阻止服务以及众多从分析内容中提取信号的工具来检查项目。任何用户都可以使用浏览器从计算机中选择文件并将其发送到 VirusTotal。该平台提供多种文件提交方法,包括主要公共 Web 界面、桌面安装程序、浏览器扩展和编程 API。在公众提交方式中,网络界面具有最高的筛选优先权。可以使用基于 HTTP 的公共 API 以任何编程语言进行提交。同样,可以通过多种方式提交 URL,包括 VirusTotal 网页、浏览器扩展和 API。
提交文件或 URL 后,基础结果将与发送者以及使用结果来改善自身安全状况的审核合作伙伴共享。因此,通过向 VirusTotal 提交文件、URL、域,您可以为提高全局安全级别做出贡献。
这种基本分析还可以作为许多其他功能的基础,包括允许用户评论文件和 URL 以及相互共享笔记的网络。事实证明,VirusTotal 在检测恶意内容和识别误报方面非常有用。此外,当防病毒解决方案将提交的文件识别为恶意文件并显示检测标签时,VirusTotal会通知用户。此外,大多数 URL 扫描器都会区分网站类型,包括恶意软件、网络钓鱼和可疑网站。
VirusTotal 公共页面