在这个信息大爆炸的时代,开源威胁情报对于深度依赖有效信息获取的安全防护工作显得尤为重要。如果被合理利用,这些数据将能帮助分析师更准确了解事件的真相。无论企业组织需要什么类型的开源威胁情报,都可以通过以下9个来源,找到一些公开可用的资源。
01 CISA官方网站
在美国网络安全和基础设施安全局(CISA)的官网上,有专门的网络安全资讯和新闻事件的报道页面,其中提供了大量的威胁情报信息。作为美国政府网络安全信息共享的核心平台,CISA官网的许多页面上还提供了可扩展的附件下载服务,有效补充了CISA自动指标共享(AIS)的开源威胁情报内容。
通过查阅CISA官网,安全分析师可以获取到以下类型的威胁情报信息:
最新的漏洞警报;
威胁分析报告;
网络安全公告;
ICS公告。
传送门:https://www.cisa.gov/news-events/cybersecurity-advisories?page=0
02 Red Canary
Red Canary是一个专业的网络安全博客,提供了关于新活动集群、恶意软件变种和威胁活动的文章。该平台会定期发布一些网络安全研究报告,包括如下:
年度性威胁检测报告;
年度性安全趋势预测和要点报告;
月度性威胁情报洞察文章;
此外,它还提供了深入研究分析各种威胁(包括IoC)的技术分享文章。
传送门:
https://redcanary.com/topic/threat-intelligence/
03 SANS互联网风暴中心
SANS是一家全球性的网络安全培训与研究机构,其所属的互联网风暴中心团队,会定期为安全专业人员提供各种最新的威胁情报和工具资源。该互联网风暴中心由行业中的志愿者运营,主要可以提供如下情报信息:
Infocon:一个标以色码的跟踪器,反映恶意活动和可能的连接中断;
播客:关于各种主题的安全知识和动态分享,附有额外资源的链接;
日记:讨论各种安全应用问题和威胁的技术blog;
数据:关于威胁活动的检测与记录列表,包括每天所报告威胁的数量、目标和来源,显示当前安全攻击活动类型的地图,以及主要的攻击源头IP;
工具:附有额外的资源和工具,以在获取开源威胁情报时提供帮助;
仪表板:显示当前主要安全威胁活动的可视化界面。
传送门:https://isc.sans.edu/
04 Pulsedive
Pulsedive是一个较受欢迎的免费威胁情报平台,用户可以在这个平台上去搜索、扫描和完善他们已经初步掌握的部分IP、URL、域及其他IoC等信息。
用户可以基于以下任意组合进行关键指标搜索:
情报的价值;
情报的类型;
安全风险;
上一次看到的时间戳;
情报出处和来源;
情报的特性和属性。
传送门:https://pulsedive.com/
05 PhishTank
PhishTank由思科公司所属的Talos威胁情报团队负责运营,这是一个主要针对网络钓鱼方面数据和信息的开放性联合研究项目。安全分析人员可以在该平台上执行以下操作:
提交可疑的钓鱼邮件;
对所提交的内容进行跟踪和关注;
验证其他用户提交的内容。
传送门:https://www.phishtank.com/
06 VirusTotal
通过VirusTotal工具,用户可以全面分析可疑软件的文件、域、IP、URL等信息。一旦当反病毒分析引擎确定提交的文件为恶意文件时,VirusTotal会及时通知用户,并显示检测标签。
目前,VirusTotal可以给安全分析师提供以下威胁情报信息和工具:
API脚本和客户端库;
YARA规则;
桌面应用程序;
浏览器扩展;
移动应用程序。
传送门:
https://www.virustotal.com/gui/home/search
07 torBot
torBot是一种可以自动抓取和识别匿名网络Tor上不同服务的工具,因此可以有效帮助安全研究人员应对Tor网络的复杂性和匿名性。据OWASP网站声称,最新版的torBot工具目前已实现了以下情报获取和分析功能:
Onion抓取器;
从网站获取电子邮件;
将抓取信息保存到JSON文件;
抓取自定义域;
检查网络连接是否正常;
内置情报信息自动更新器。
传送门:
https://link.springer.com/chapter/10.1007/978-981-15-0146-3_19
08 IntelligenceX
IntelligenceX创办于2018年,其独立开发和运营维护了一套Telegram搜索引擎和信息数据库。作为一种威胁情报搜索引擎,IntelligenceX Telegram搜索引擎的特点是可以支持特定的搜索词,比如电子邮件地址、域、URL、IP、CIDR(无类别域间路由)、BTC地址和IPFS哈希等。这让IntelligenceX可以收集到广泛的开源威胁情报信息,其来源全面覆盖了深网、暗网上的共享数据、whois数据以及已经泄露的数据信息等。
IntelligenceX Telegram搜索引擎通过智能化的搜索模式,可以给分析人员提供来自Telegram的以下信息:频道、用户、用户组以及机器人程序等。
传送门:
https://intelx.io/tools?tab=telegram
09 微软
微软公司在提供高级威胁情报方面一直处于非常领先的地位,一是因为威胁分子会将微软公司的软件产品和服务作为主要的攻击目标,二是因为微软在网络安全威胁研究方面有非常深厚的积累和资源。目前,在微软定期更新的威胁情报社群中,包含有大量来自该公司安全专家团队的安全研究成果和最新的威胁活动情报信息。
微软情报社区涉及的情报主题和类型主要包括:
对主流威胁团伙及其当前活动的深入分析;
新的网络钓鱼攻击类型研究和展示;
基于不同类型环境的威胁特点分析;
网络攻击发展趋势和洞察报告。
传送门:
https://www.microsoft.com/en-us/security/blog/microsoft-security-intelligence/
长风实验室发布、转载的文章中所涉及的技术、思路和工具,仅供以网络安全为目的的学习交流使用,不得用作它途。部分文章来源于网络,如有侵权请联系删除。
END
推荐
阅读
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...