免費獲取全球開源威脅情報的9個來源
為了有效應對不斷發展的網絡安全新威脅,專業安全分析師需要在正確的時間獲取到充分的威脅情報信息。而在互聯網上存在很多開源情報(Open-Source Intelligence、OSINT)信息,其中開源是指公開可用,無需購買即可獲取和分發的信息;而情報是指獲取和應用知識的能力。
開源威脅情報通過綜合收集匯總從明網、深網和暗網中獲取的信息,可以在極低的預算投入下,給企業安全團隊和分析師們提供以下方面的威脅信息:
- 威脅分子;
- 惡意威脅分子的動機和能力;
- 攻擊采用的戰術、技術和程序(TTP);
- 目標行業或技術;
- 漏洞和漏洞利用代碼;
- 攻陷指標(IoC)。
在這個信息大爆炸的時代,開源威脅情報對于深度依賴有效信息獲取的安全防護工作顯得尤為重要。如果被合理利用,這些數據將能幫助分析師更準確了解事件的真相。無論企業組織需要什么類型的開源威脅情報,都可以通過以下9個來源,找到一些公開可用的資源。
CISA官方網站
在美國網絡安全和基礎設施安全局(CISA)的官網上,有專門的網絡安全資訊和新聞事件的報道頁面,其中提供了大量的威脅情報信息。作為美國政府網絡安全信息共享的核心平臺,CISA官網的許多頁面上還提供了可擴展的附件下載服務,有效補充了CISA自動指標共享(AIS)的開源威脅情報內容。
通過查閱CISA官網,安全分析師可以獲取到以下類型的威脅情報信息:
- 最新的漏洞警報;
- 威脅分析報告;
- 網絡安全公告;
- ICS公告。
Red Canary
Red Canary是一個專業的網絡安全博客,提供了關于新活動集群、惡意軟件變種和威脅活動的文章。該平臺會定期發布一些網絡安全研究報告,包括如下:
- 年度性威脅檢測報告;
- 年度性安全趨勢預測和要點報告;
- 月度性威脅情報洞察文章;
- 此外,它還提供了深入研究分析各種威脅(包括IoC)的技術分享文章。
SANS互聯網風暴中心
SANS是一家全球性的網絡安全培訓與研究機構,其所屬的互聯網風暴中心團隊,會定期為安全專業人員提供各種最新的威脅情報和工具資源。該互聯網風暴中心由行業中的志愿者運營,主要可以提供如下情報信息:
- Infocon:一個標以色碼的跟蹤器,反映惡意活動和可能的連接中斷;
- 播客:關于各種主題的安全知識和動態分享,附有額外資源的鏈接;
- 日記:討論各種安全應用問題和威脅的技術blog;
- 數據:關于威脅活動的檢測與記錄列表,包括每天所報告威脅的數量、目標和來源,顯示當前安全攻擊活動類型的地圖,以及主要的攻擊源頭IP;
- 工具:附有額外的資源和工具,以在獲取開源威脅情報時提供幫助;
- 儀表板:顯示當前主要安全威脅活動的可視化界面。
Pulsedive
Pulsedive是一個較受歡迎的免費威脅情報平臺,用戶可以在這個平臺上去搜索、掃描和完善他們已經初步掌握的部分IP、URL、域及其他IoC等信息。
用戶可以基于以下任意組合進行關鍵指標搜索:
- 情報的價值;
- 情報的類型;
- 安全風險;
- 上一次看到的時間戳;
- 情報出處和來源;
- 情報的特性和屬性。
用戶還可以基于以下組合方式搜索威脅信息:
- 威脅的名稱;
- 威脅的別名;
- 威脅的類別;
- 威脅的風險級別;
- 威脅的來源和出處;
- 威脅的特性。
PhishTank
PhishTank由思科公司所屬的Talos威脅情報團隊負責運營,這是一個主要針對網絡釣魚方面數據和信息的開放性聯合研究項目。安全分析人員可以在該平臺上執行以下操作:
- 提交可疑的釣魚郵件;
- 對所提交的內容進行跟蹤和關注;
- 驗證其他用戶提交的內容。
用戶還可以根據目標品牌或ASN搜索網絡釣魚檔案,以確定可疑的網絡釣魚攻擊是否是真實有效的,此外,用戶可以按照在線、離線等狀態進行結果的篩選。由于PhishTank還提供了API和RSS情報源選項,因此相關情報數據共享起來會非常容易。
VirusTotal
VirusTotal是一款專門針對新型惡意軟件威脅的特征分析工具,可以聚合來自反病毒工具和在線掃描引擎的數據,以便用戶及時發現那些被主流反病毒工具遺漏的惡意軟件。VirusTotal經常更新惡意軟件特征,以提供更準確的特征分析數據。
通過VirusTotal工具,用戶可以全面分析可疑軟件的文件、域、IP、URL等信息。一旦當反病毒分析引擎確定提交的文件為惡意文件時,VirusTotal會及時通知用戶,并顯示檢測標簽。
目前,VirusTotal可以給安全分析師提供以下威脅情報信息和工具:
- API腳本和客戶端庫;
- YARA規則;
- 桌面應用程序;
- 瀏覽器擴展;
- 移動應用程序。
torBot
torBot是一種可以自動抓取和識別匿名網絡Tor上不同服務的工具,因此可以有效幫助安全研究人員應對Tor網絡的復雜性和匿名性。據OWASP網站聲稱,最新版的torBot工具目前已實現了以下情報獲取和分析功能:
- Onion抓取器;
- 從網站獲取電子郵件;
- 將抓取信息保存到JSON文件;
- 抓取自定義域;
- 檢查網絡連接是否正常;
- 內置情報信息自動更新器。
IntelligenceX Telegram搜索引擎
IntelligenceX創辦于2018年,其獨立開發和運營維護了一套Telegram搜索引擎和信息數據庫。作為一種威脅情報搜索引擎,IntelligenceX Telegram搜索引擎的特點是可以支持特定的搜索詞,比如電子郵件地址、域、URL、IP、CIDR(無類別域間路由)、BTC地址和IPFS哈希等。這讓IntelligenceX可以收集到廣泛的開源威脅情報信息,其來源全面覆蓋了深網、暗網上的共享數據、whois數據以及已經泄露的數據信息等。
IntelligenceX Telegram搜索引擎通過智能化的搜索模式,可以給分析人員提供來自Telegram的以下信息:頻道、用戶、用戶組以及機器人程序等。
微軟
微軟公司在提供高級威脅情報方面一直處于非常領先的地位,一是因為威脅分子會將微軟公司的軟件產品和服務作為主要的攻擊目標,二是因為微軟在網絡安全威脅研究方面有非常深厚的積累和資源。目前,在微軟定期更新的威脅情報社群中,包含有大量來自該公司安全專家團隊的安全研究成果和最新的威脅活動情報信息。
微軟情報社區涉及的情報主題和類型主要包括:
- 對主流威脅團伙及其當前活動的深入分析;
- 新的網絡釣魚攻擊類型研究和展示;
- 基于不同類型環境的威脅特點分析;
- 網絡攻擊發展趨勢和洞察報告。
