打造强大的安全运营中心：解读 OSINT 工具

OSINT 是开源情报（Open-Source Intelligence）的缩写。OSINT 的核心是开源，即尽可能利用可以合法获取的公开数据，这些数据包括互联网上的信息、公共记录、新闻文章、社交媒体平台、和一些免费商业数据源等等。

OSINT 一般被安全团队用来收集关于公司自身所面临的外部威胁 and 情报，它通过整合公开数据来辅助安全团队确定企业外部暴露出的足迹和攻击面。在网络安全中的 OSINT 常见用例就是威胁情报、攻击面、基础设施、漏洞等。

一方面是付费的威胁情报源真不一定能满足企业对情报的需求，另一方面是安全团队也希望能通过开源情报工具来加强企业内部情报体系的建设，要知道很多时候当企业越做越大，安全团队可能陷入圈地自萌的状态，睁眼看世界很重要。一般在安全运营中心（SOC）中使用 OSINT 工具和技术能很大程度上加强企业的安全态势感知能力：

• 威胁情报：安全团队用它研究最新的入侵技术、新兴威胁、漏洞和利用手段等。

• 事件响应：在发生安全事故期间，OSINT 有助于团队快速收集有关指标的信息。

• 攻击面检测：检测企业暴露在外的开放端口、系统、子域资产等。

• 基础设施可视化：通过可视化工具（例如 Maltego）描绘基础设施和情报 or 入侵行为的关系，尽量保证资产的整体可见性。

• 事故损失评估：一旦发生入侵 or 数据泄露，通过搜索暗公共来源（暗网、论坛之类）中被出售的本公司数据来评估本次攻击造成的影响。

总之，整合 OSINT 可以为安全运营重心提供更丰富的上下文、可视化和深入调查能力，使其能够更好地准备、检测、响应和恢复。

对于 SOC 团队来说，实际上大部分工作都在监控和调查可疑的安全事件和事故，当团队在寻找关于最新的攻击行为、在野漏洞、新木马新病毒新勒索团队时，OSINT 工具的便捷性和全面性就会体现出来。但是吧，OSINT 这类工具来只能收集公开可用的数据并生成相应的情报，有些口口相传或者朋友圈转来转去的信息它很难拿到，毕竟这些都属于私域流量，整体来看开源情报一般能收集到威胁情报类，例如正在被大范围利用的漏洞；域名和网络信息；公共资产对外暴露的信息；社交媒体和GitHub上暴露出和公司相关的信息；公开或者私密市场上的数据交易信息等等。

我们通过 OSINT 类工具想达成的目标是：通过合法手段收集上述外部情报；分析这些数据使企业自身能够持续评估风险、调整控制措施，并在动态威胁环境中改进整体安全态势。

在上家公司中我带队做 SOC 时，使用了一些 OSINT 工具来收集、分析和可视化安全情报。大概有这些：

OSINT Framework 是一个全面的、易用性极高的且免费开放的公共资源工具集合。它提供了一个结构化的资源库，包含各种OSINT工具和资源的链接，涵盖了不同的信息源和数据类型。这个框架由 Justin Nordine 创建并维护，广泛应用于网络安全、执法调查、数据分析等领域。

我强烈建议大家去体验一下，说它是无价之宝可能夸张了，但其价值显而易见。有很多时候，我想收集信息找不到工具就会来这里点点瞧瞧，看看有什么可用的。

大名鼎鼎的 Shodan 就不用细说了，开源情报搜索引擎（类似国内的钟馗之眼 Zoomeye），我们经常利用 Shodan 收集有关IP、域名和漏洞信息，用起来很方便，就像用 Google 一样，初级用法就是直接搜索，高端一点就是写复杂的查询语句做筛选。

我们知道谷歌是全世界最大的搜索引擎，大家会把很多合法的、不合法的、敏感的和不敏感信息都输入搜索框并点击 Search 按钮。同样，安全团队和入侵者也可以利用它来找到一些有漏洞的网站、数据库、监控摄像头、物联网设备，只需要使用一些特别的查询语句（常见的就是 site: filetype: inurl: intitle: 之类咯）就可以找到这些信息，这些语句被称为 Google Dorks。

例如，我可以使用 filetype:pdf site:123.com 可以查找 123.com 网站上的所有 PDF 文件。

TweetDeck（现在叫 X Pro） 曾经是一款可定制的社交媒体仪表板，用于汇总来自 Twitter、Facebook、Instagram 等平台的实时信息。现在改了，改成了一坨翔（马斯克你不是人！！！），不过还有 Hootsuite、Buffer、Sprout Social 等工具能凑活用。

曾经的 TweetDeck 可以创建自定义 feeds 和警报，也能在一个大面板上监控漏洞的社区讨论、那家公司数据泄露了、哪家公司被勒索了等等，但是用这类工具的时候还是有点坑的，毕竟网络上的信息真真假假混杂在一起，可能有虚假信息和嘴炮侠，我们还是需要谨慎验证社交媒体上监控到的内容可信度。

Maltego 是一款用于开源情报、取证及其他调查的链接分析软件，最初由南非比勒陀利亚的 Paterva 公司开发。Maltego 提供实时数据挖掘和信息收集，并以节点图形式展示这些信息，使信息间的模式和多层连接易于识别，可视化是它最大的优势。

Maltego 允许创建自定义实体，能够表示除软件基本实体类型以外的任何信息，它的主要功能是分析现实世界中的关系（社交网络、OSINT API、自托管私有数据和计算机网络节点），包括人、网页、域名、互联网基础设施甚至是社交媒体关联。而且它集成了很多在线数据源，开箱即用，很方便，缺点嘛，只有贵（当然这不一定是它的问题...

URL Scan 是在一个在隔离沙箱环境中渲染网站页面的在线工具，它能提取很多有用的元数据，见上图：例如如 cookie、加载的资源、跟随重定向、执行的脚本等，URL Scan 这个工具对于快速初步分析网站、域名和页面非常方便，而且它还可以共享报告，便于安全团队和其他团队协作完成某些工作。

SpiderFoot 被设计用于帮助用户通过多种数据源自动收集情报信息，并以结构化的方式呈现结果。它集成了几百个数据源，包括公共数据库、社交媒体、DNS记录、漏洞库等，我们使用的时候可以选择使用哪些数据源，能提高一点扫描的相关性和精准度。

收集完数据之后，还能通过图形化界面展示，例如用表格啊、图表啊、关系图啊之类的，便于我们识别信息之间的联系，还有导出 CSV 和 HTML 等功能。

这东西用的不多，它可以提取文档和文件中的元数据和隐藏信息，例如提取文件中嵌入的元数据、作者信息、哈希值、URL、电子邮件等。这东西在遇到扫大量文档时可以用。但好久不更新了...

Trape 是一款网络追踪工具，能够实时追踪目标的地理位置、IP地址、浏览器信息等详细数据。我们可以发送包含 Trape 追踪代码的链接或网页，来监控目标的活动。它也有图形化的用户界面，操作算是方便。但是，Trape 的功能依赖于目标的网络连接，如果目标使用隐私保护技术或者工具之类的，追踪效果可能会受到影响。

但是有一点比较关键，对于这种对抗性质的跟踪，尤其是现在的隐私法规限制条件下，还是比较危险的...谨慎在产品中使用吧还是

我觉得使用这些工具不必局限于安全领域。由于这些是开源工具，实际上任何人都可以使用这些开放源情报资源，OSINT 工具是多用途的，并不是局限于安全或者是计算机领域，它能灵活运用。例如说我是安永的商业分析师，我就可以用这些工具来扫情报找商业竞争对手的技术、基础架构、变更和产品对吧？

没有任何公司能仅依靠内部和自身完成情报收集和体系建设，公开出来可以被随意访问的数据中实际上包含很多信息的，只是看你能不能用好。我们都知道，入侵前的踩点会经常用到 OSINT 工具来手机信息，那作为防御者，企业安全建设团队和安全运营也得通过使用开放数据来做到知己知彼。

最后的最后，我想说在使用这些工具时，必须确保合法、合规，特别是在大型公司更要注意这一点。