为了有效应对不断发展的网络安全新威胁,专业安全分析师需要在正确的时间获取到充分的威胁情报信息。而在互联网上存在很多开源情报(Open-Source Intelligence、OSINT)信息,其中开源是指公开可用,无需购买即可获取和分发的信息;而情报是指获取和应用知识的能力。
开源威胁情报通过综合收集汇总从明网、深网和暗网中获取的信息,可以在极低的预算投入下,给企业安全团队和分析师们提供以下方面的威胁信息:
在这个信息大爆炸的时代,开源威胁情报对于深度依赖有效信息获取的安全防护工作显得尤为重要。如果被合理利用,这些数据将能帮助分析师更准确了解事件的真相。无论企业组织需要什么类型的开源威胁情报,都可以通过以下9个来源,找到一些公开可用的资源。
01
CISA官方网站
在美国网络安全和基础设施安全局(CISA)的官网上,有专门的网络安全资讯和新闻事件的报道页面,其中提供了大量的威胁情报信息。作为美国政府网络安全信息共享的核心平台,CISA官网的许多页面上还提供了可扩展的附件下载服务,有效补充了CISA自动指标共享(AIS)的开源威胁情报内容。
通过查阅CISA官网,安全分析师可以获取到以下类型的威胁情报信息:
传送门:
https://www.cisa.gov/news-events/cybersecurity-advisories?page=0
02
Red Canary
Red Canary是一个专业的网络安全博客,提供了关于新活动集群、恶意软件变种和威胁活动的文章。该平台会定期发布一些网络安全研究报告,包括如下:
传送门:
https://redcanary.com/topic/threat-intelligence/
03
SANS互联网风暴中心
SANS是一家全球性的网络安全培训与研究机构,其所属的互联网风暴中心团队,会定期为安全专业人员提供各种最新的威胁情报和工具资源。该互联网风暴中心由行业中的志愿者运营,主要可以提供如下情报信息:
传送门:https://isc.sans.edu/
04
Pulsedive
Pulsedive是一个较受欢迎的免费威胁情报平台,用户可以在这个平台上去搜索、扫描和完善他们已经初步掌握的部分IP、URL、域及其他IoC等信息。
用户可以基于以下任意组合进行关键指标搜索:
用户还可以基于以下组合方式搜索威胁信息:
传送门:https://pulsedive.com/
05
PhishTank
PhishTank由思科公司所属的Talos威胁情报团队负责运营,这是一个主要针对网络钓鱼方面数据和信息的开放性联合研究项目。安全分析人员可以在该平台上执行以下操作:
用户还可以根据目标品牌或ASN搜索网络钓鱼档案,以确定可疑的网络钓鱼攻击是否是真实有效的,此外,用户可以按照在线、离线等状态进行结果的筛选。由于PhishTank还提供了API和RSS情报源选项,因此相关情报数据共享起来会非常容易。
传送门:https://www.phishtank.com/
06
ViRustotal
VirusTotal是一款专门针对新型恶意软件威胁的特征分析工具,可以聚合来自反病毒工具和在线扫描引擎的数据,以便用户及时发现那些被主流反病毒工具遗漏的恶意软件。VirusTotal经常更新恶意软件特征,以提供更准确的特征分析数据。
通过VirusTotal工具,用户可以全面分析可疑软件的文件、域、IP、URL等信息。一旦当反病毒分析引擎确定提交的文件为恶意文件时,VirusTotal会及时通知用户,并显示检测标签。
目前,VirusTotal可以给安全分析师提供以下威胁情报信息和工具:
传送门:
https://www.virustotal.com/gui/home/search
07
torBot
传送门:
https://link.springer.com/chapter/10.1007/978-981-15-0146-3_19
08
IntelligenceX Telegram搜索引擎
IntelligenceX创办于2018年,其独立开发和运营维护了一套Telegram搜索引擎和信息数据库。作为一种威胁情报搜索引擎,IntelligenceX Telegram搜索引擎的特点是可以支持特定的搜索词,比如电子邮件地址、域、URL、IP、CIDR(无类别域间路由)、BTC地址和IPFS哈希等。这让IntelligenceX可以收集到广泛的开源威胁情报信息,其来源全面覆盖了深网、暗网上的共享数据、whois数据以及已经泄露的数据信息等。
IntelligenceX Telegram搜索引擎通过智能化的搜索模式,可以给分析人员提供来自Telegram的以下信息:频道、用户、用户组以及机器人程序等。
传送门:https://intelx.io/tools?tab=telegram
09
微软
微软公司在提供高级威胁情报方面一直处于非常领先的地位,一是因为威胁分子会将微软公司的软件产品和服务作为主要的攻击目标,二是因为微软在网络安全威胁研究方面有非常深厚的积累和资源。目前,在微软定期更新的威胁情报社群中,包含有大量来自该公司安全专家团队的安全研究成果和最新的威胁活动情报信息。
微软情报社区涉及的情报主题和类型主要包括:
传送门:
https://www.microsoft.com/en-us/security/blog/microsoft-security-intelligence/