开源威胁情报工具和技术

最新推荐文章于 2024-09-03 08:38:13 发布
最新推荐文章于 2024-09-03 08:38:13 发布
阅读量1w 收藏 15
点赞数 4
分类专栏: 翻译文章 文章标签: 开源 数据 预测 威胁情报

互联网的规模是巨大的,其中拥有你能想到的所有最重要的数据,不仅仅局限于搜索人或者公司的相关信息,而可能利用这些数据来预测未来将会发生什么。为了完成“预测”,你需要对数据进行处理,一个专业的威胁情报分析人员的任务就是连接数据点并得出一个有意义的结论。
image_1aob01tkb45s1bod44u120d2189.png-495.2kB
当然,数据遍地都是,但你可以用它们来完成创举。接下来,让我们讨论一下开源情报在威胁管理中扮演的角色是什么。

开源威胁情报

威胁是什么?威胁可能潜在地损害一个公司的运转和持续发展。威胁有三个核心要素构成:

  • 意向:一种渴望达到的目的
  • 能力:用来支持意向的资源
  • 机会:适时地技术、手段和工具

通常来讲,公司无法辨别威胁。他们经常花费太多钱在攻击发生之后对漏洞的修补和调查问题上,而不打算在攻击出现之前就修复它。

威胁情报,根据 Gartner 的定义:“基于证据的知识,包括内容、机制、指标、影响和可操作的建议,关于现有或新出现的威胁或是资产面临的风险,这种知识可以被用来决定组织对这一威胁或风险的响应。”

威胁情报是一种基于数据的,对组织即将面临的攻击进行预测的行动。然而,开源威胁情报是指对公开可利用的资源进行处理来预测攻击行动或潜在威胁。网络威胁情报将会帮助你更好的设计你的防卫计划,和以下好处:

  • 采取积极地措施,而不是只能采取被动地措施;你可以建立计划来打击当前和未来的威胁
  • 形成组织安全预警机制,在攻击到达前就已经知晓
  • 提供更完善的安全事件响应方案
  • 使用网络情报源来得到安全技术的最新进展,以阻止新出现的威胁
  • 更好的风险投资和收益分析

我们要寻找什么:

  • 恶意 IP 地址
  • 域名 / 网站
  • 文件哈希(恶意软件分析)
  • 受害的产业/国家

开源威胁情报框架

OTX – Open Threat Exchange:AlienVault 开源威胁(OTX) 为全球的威胁研究人员和安全从业人员提供了开放授权。它提供了社区驱动的威胁数据,推动合作研究,并利用从其他源提供的威胁数据自动更新你的安全基础设施。
image_1aob02l9m1g8113a639c7hkdfom.png-100.7kB
开源威胁情报给出了可遵循的建议,从攻击中学习、并且在攻击发生之前就修补好漏洞。
下面让我们来比较一下两种情况:
image_1aob0hd1b1o3o194c102m75778h13.png-46.5kB
image_1aob0hogbn4uv8doogmdl9871g.png-49.4kB
这个过程非常简单,紧盯新出现的威胁,定义规则并加强你的策略,以阻止出现的威胁;这种积极主动的方法也可以保护你的基础结构和声誉。一次攻击不仅破坏了技术的基础结构,并且造成数据损失,还损害了品牌信誉,降低了客户的信任度,也对未来的销售产生了巨大影响。对攻击的响应再好也无法恢复到入侵发生之前,聪明的策略应当是在攻击到达前就修补漏洞、阻止攻击。这还有助于:

  • 移除无效指标,减少虚假的积极响应
  • 增强精确 SIEM 信息的流动
  • 帮助 SOC 工程师根据轻重缓急发布警报
  • 帮助管理人员使用相关风险的证据与高层领导交流
  • 帮助事件处理团队快速采取补救措施
  • 平衡预算分配(上升的威胁需要更多的关注和预算)
  • 提升人力资源计划和任务管理

威胁指标

威胁指标是一个实体,该指标表示遭到某种攻击或威胁的可能性。最常见的类型是文件哈希/签名,域名和 IP 地址的声誉度,这些都能与攻击进行关联。
哈希文件是对蠕虫、木马、键盘记录程序和其他类型的恶意程序的唯一标识,MD5 或 SHA-1 可以生成一个独特的指纹,可以利用这串独有的字符串来标定恶意软件。同样的,网站、IP 地址、甚至是传播恶意软件独特的 URL,都会通过受感染的用户把风险带入整个网络。跟踪恶意网站,完善黑名单的 IP 列表,使用哈希字符串来识别恶意软件,阻止它们入侵你的技术基础设施。与风险相关的恶意网站/ IP 地址:

  • 垃圾邮件和网络钓鱼
  • 恶意软件和间谍程序
  • 匿名代理和 P2P 网络
  • 暗网 IP 地址(使用 TOR)
  • 管理僵尸网络的 C&C 服务器

使用公开或私有源来收集信息,分析数据来阻止攻击。
Threatcrowd, 一个允许用户搜索和调查与 IP 、网站或者组织相关的威胁。它也提供 API 和 ThreatCrowd API ,你可以搜索以下:

  • 域名
  • IP 地址
  • 电子邮件
  • 文件哈希
  • 反病毒检测

它从 Virustotalmalwr.com 获取信息,它还提供使用 Maltego 来转换分析相关联的数据。
image_1aob3o3271q7c1i6p1oqhk3ti01t.png-217.6kB
它显示了关于 MD5 哈希值的分析,这些信息揭示了其来源 IP、域名和其他与哈希相关的信息。这些签名所代表的恶意文件,不应该在你的环境中出现。

在 ThreatCrowd 的网站上,你可以看到木马的详细信息。
image_1aob487an1t4e1a1815gu61dcg2a.png-113.2kB

使用 malwr.com 进行如下分析:

  • 静态分析
  • 行为分析
  • 网络分析
  • 屏幕快照
  • 域名和IP
  • 注册表
  • 更多

image_1aob4e524h3p1coe7a8thi1gvn2n.png-48.7kB
越来越多的网络钓鱼已经威胁了这个世界的网络安全,培训和提高安全意识并不是唯一的解决方案。你可以使用活动地情报来阻止网络钓鱼,以下是跟踪和发布网络钓鱼的页面:

  • openphish.com
  • phishtank.com

不要让你的员工或用户被这样的假页面所蒙骗:
image_1aob4jfhrl0i9kc1rq91kfnij434.png-62.6kB
Openphish 标识 0day 钓鱼页面,并且提供全面的、可操作的、实时的威胁情报。
image_1aob4ljgs1cv31k8r1cs41elc1ddo3h.png-95.4kB
所有讨论和重要的数据都免费、公开提供给任何人,我们需要努力收集和分析这些数据。使用 Maltego 转换、打开威胁交换程序,你可以很轻松的访问这些数据。在它们变成威胁情报管理的重要问题之前,分享这些程序以改进它们也是非常重要的。

原文地址

PolluxAvenger
关注
专栏目录
浅谈开源威胁情报工具技术
weixin_34321977的博客
07-05 914
互联网是巨大的,拥有比你能想到的更多、更重要的数据。它并不局限于用来搜索人或者公司的信息,也可以用来预测未来会发生的事情,这一预测基于数据。你需要处理这些数据,OSINT的工作就是将数据联系起来,得出有意义的结论。 数据无处不在,你能用它做许多奇妙的事情。今天让我们探讨下威胁管理中的开源情报吧。 开源威胁情报 威胁是指能够损害商业活动和可持续性的任何事情...
BlackIPS:开源威胁情报,包含3个组件,2个查询API,1个前端,300万+恶意IP,Go +Redis开发的威胁情报查询API性能良好
05-01
blackips 开源威胁情报,包含3个组件,300万+恶意IP。 blackapi Go语言开发,威胁情报查询API blackip Go语言开发,威胁情报查询前端 iplocation PHP语言开发,IP地理位置查询API,包含Nginx配置 blackwtredis 读取威胁情报,写入Redis Shell的脚本,以及Crontab 使用说明 本项目威胁情报会定期自动更新,威胁情报存储到Redis,请自行安装Redis并设置密码 1, 修改biptoredis.sh 里面的Redis 配置,把biptoredis.sh 放到/opt 目录下,并把Crontab记录添加上 2, 修改 blackapi 的Redis配置,编译启动 3, 搭建nginx +php5.x +php-fpm环境,启动iplocation 服务 4, 修改blackip里面的api配置,编译启动即可 5, 第
OpenCTI:开源网络威胁情报平台
网络研究观
08-22 505
OpenCTI 是一个开源平台,旨在帮助组织管理其网络威胁情报 (CTI) 数据和可观察数据
MISP:开源威胁情报和共享平台
网络研究观
08-06 883
MISP 是一种开源软件解决方案,用于收集、存储、分发和共享有关网络安全事件分析和恶意软件分析的网络安全指标和威胁
提取命令流_ThreatIngestor:一款功能强大的威胁情报提取和聚合工具
weixin_33819646的博客
01-01 238
ThreatIngestor 介绍ThreatIngestor是一款功能强大的威胁情报提取和聚合工具,该工具易于扩展,并且能够从多个威胁情报feed收集并汇聚威胁情报信息以及入侵威胁指标IoC。该工具整合了ThreatKB和MISP,并且可以利用SQS、Beanstalk和自定义插件来跟很多现有的工作流实现无缝接入。工具概览ThreatIngestor通过配置之后,可以监控Twitter、RSS ...
威胁情报分析工具
cnbird's blog
10-22 1825
https://code.google.com/p/collective-intelligence-framework/wiki/ThreatIntelligenceTools
开源威胁情报整理——漏洞情报
m0_47420736的博客
12-10 1805
数据的过程顺便记录一下,我用到的威胁情报的主要形式还是漏洞情报,所以本文主要是针对开源威胁情平台的漏洞情报做了个简单的整理。 奇安信漏洞情报 https://ti.qianxin.com/vulnerabilityhttps://ti.qianxin.com/vulnerability 绿盟漏洞报告 NTI - 绿盟威胁情报中心NTI - 提供专业的情报在线查询服务,帮助客户及时洞悉公网资产面临的安全问题,为客户提供最新的威胁动态,结合安全>数据深度分析,提升未知攻击检测和主动的威胁防.
开源威胁情报采集系统内含教程以及数据.zip
08-08
开源威胁情报采集系统是一种用于收集、分析和利用网络上的公开安全信息的工具,它可以帮助企业和组织及时了解并应对潜在的安全威胁。在这个压缩包中,包含了教程和相关数据,为学习和实践提供了丰富的资源。 首先,...
MISP:MISP(核心软件)-开源威胁情报和共享平台(以前称为恶意软件信息共享平台)
02-05
MISP-威胁情报共享平台 最新发布的 CI行动 吉特 推特 贡献者 执照 MISP是一种开源软件解决方案,用于收集,存储,分发和共享网络安全指标以及有关网络安全事件分析和恶意软件分析的威胁。 MISP由事件分析人员...
4-威胁情报中的创新和发展 (可公开).pdf
10-11
它不仅涵盖了对手的攻击手段和技术细节,还包括了可能的攻击目标、动机以及未来的趋势预测等内容。 #### 三、威胁情报的关键要素 ##### 1. 数据来源 - **开源情报(OSINT)**:利用公开可用的信息资源进行分析。 -...
获取java-cef源码-Threat_Intelligence:威胁情报源、工具和框架
06-06
获取java-cef源码威胁情报框架、源和 API 令人敬畏的威胁情报资源的好奇清单 威胁情报的简明定义:基于证据的知识,包括背景、机制、指标、影响和可操作的建议,关于现有或新出现的资产威胁或危害,可用于为有关主体...
OpenCTI开放式网络威胁情报平台
08-11
OpenCTI:开放式网络威胁情报平台
Python基于威胁情报的恶意软件检测系统源码.zip
07-09
Python基于威胁情报的恶意软件检测系统源码.zip
TIG:一款威胁情报收集小工具
weixin_43977912的博客
04-05 658
根据Gartner对威胁情报的定义,威胁情报是某种基于证据的知识,包括上下文、机制、标示、含义和能够执行的建议,这些知识与资产所面临已有的或酝酿中的威胁或危害相关,可用于资产相关主体对威胁或危害的响应或处理决策提供信息支持。业内大多数所说的威胁情报可以认为是狭义的威胁情报,其主要内容为用于识别和检测威胁的失陷标识,如文件HASH,IP,域名,程序运行路径,注册表项等,以及相关的归属标签。 威胁情报分为四种类型: 战略威胁情报 战略威胁情报(Strategic Threat Intelligence)提供
推荐开源项目:MISP - 开源威胁情报共享平台
gitblog_00027的博客
05-28 348
推荐开源项目:MISP - 开源威胁情报共享平台 项目地址:https://gitcode.com/MISP/misp-book 1、项目介绍 MISP 是一个强大的开源平台,专门设计用于安全分析师、事件处理者和恶意软件逆向工程师之间的威胁情报分享。该项目提供了一个完整的用户指南,详细介绍了如何在日常工作中利用MISP的图形用户界面以及自动化接口(API),实现与其他安全监控工具的集成。 2、项...
工具分享】写了一个威胁情报收集的小工具
TeamsSix 的 CSDN 空间
03-15 709
0x00 介绍 tig Threat Intelligence Gathering 威胁情报收集,旨在提高蓝队拿到攻击 IP 后对其进行威胁情报信息收集的效率,目前已集成微步、IP 域名反查、Fofa 信息收集、ICP 备案查询、IP 存活检测五个模块,现已支持以下信息的查询: ✅ 微步标签 ✅ IP 域名反查 ✅ ICP 备案查询 ✅ IP 存活检测 ✅ 开放端口查询 …… 后续将集成更多模块,如有好的建议或遇到 Bug 欢迎与我反馈,我的微信号:teamssix_com 工具地址:https://g
开源威胁情报feed网站
weixin_47532216的博客
04-19 2583
1. blocklist.de 2. openphish.com 3. www.malwaredomains.com 4. spamhaus 5. vxvault.net
威胁情报的一些开源研究
sinat_35416215的博客
12-13 1548
1.***画像分析 https://github.com/huifeidexingyuner/Hacker_analyse 2.基于公开信息收集的威胁开源平台 https://github.com/NewBee119/Ti_Collector Ti_Collector为Threat Intelligence Collector,主要关注网上公开的信誉类威胁情报和事件类威胁情报。 信誉类威胁情报主要来源于一些安全社区的分享;事件类威胁情报主要来源于安全企业的咨询分享。 这些威胁情报数据通过爬虫手段,经分类处理
推荐开源项目:TIG - 助力网络安全的威胁情报收集神器
最新发布
gitblog_00679的博客
09-03 318
推荐开源项目:TIG - 助力网络安全的威胁情报收集神器 tigThreat Intelligence Gathering 威胁情报收集,旨在提高蓝队拿到攻击 IP 后对其进行威胁情报信息收集的效率。项目地址:https://gitcode.com/gh_mirrors/tig/tig 在日新月异的网络空间安全战场中,威胁情报收集扮演着至关重要的角色。今天,我们要向大家隆重推介一款曾备受赞誉的...
基于开放工具威胁情报的EDR解决方案
吴迪-基于开放工具威胁情报的EDR 吴迪在网络安全分析与情报大会上发表的演讲《基于开放工具威胁情报的EDR》中,提出了基于开放工具威胁情报的EDR解决方案。该解决方案旨在解决传统EPP解决方案的检测盲点问题...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值