互联网是巨大的,拥有比你能想到的更多、更重要的数据。它并不局限于用来搜索人或者公司的信息,也可以用来预测未来会发生的事情,这一预测基于数据。你需要处理这些数据,OSINT的工作就是将数据联系起来,得出有意义的结论。
数据无处不在,你能用它做许多奇妙的事情。今天让我们探讨下威胁管理中的开源情报吧。 开源威胁情报威胁是指能够损害商业活动和可持续性的任何事情,威胁基于三个核心因素: 意图:策划和目的 能力:支持意图的资源 机会:合适的时间、技术、步骤和工具
一个机构往往难以发现威胁,常常把大量时间花费在遭受攻击之后的漏洞修补和调查取证上,而不是在攻击出现之前阻止它。 根据Gartner的定义,威胁情报是指:基于一定知识的证据,已经存在或正在形成的潜在威胁,比如,上下文、机制、指标、意义以及可实施的建议,利用这些,可以帮助当事人形成应对这些危险的决策。 我们要做的是,预测(基于数据)将要来临的的攻击。开源威胁情报利用公开的可用资源,预测潜在的威胁。网络威胁情报可以帮助你在防御方面做出更好的决策,可以得到以下好处。 采取积极的办法,而不是被动的反应。你可以制定计划来对抗现在和将来的威胁。 组建一个安全预警机制,在攻击发起之前知道它 对安全事件提出更好的解决方案 网络威胁情报为你提供最新的安全技术信息,帮助封锁出现的威胁 对相关的危险进行调查,开展利益分析
要寻找什么: 域名/网站 文件哈希(恶意软件分析) 受害领域/国家 开源威胁情报架构OTX – Open Threat Exchange:AlienVault Open Threat Exchange (OTX) 可以访问威胁研究专家和安全专家全球社区。它递送社区产生的威胁数据,能够协作各个来源的威胁数据,自动更新你的安全基础设施。
开源威胁情报为你提供可实施的建议,从攻击中学习,并且在他们攻击你之前打上补丁。 让我们比较下面两种情况:
传统方法
OTX方法 过程非常简单直接,持续关注出现的威胁,定义规则,加强你的策略,封锁这些威胁。这一主动的办法可以保护你的基础设施和声誉。攻击不仅能摧毁技术基础设施或者盗窃数据,也会对商标的声誉、客户的信任以及未来的销量造成伤害。对攻击进行响应并不能挽回被盗取的东西,聪明的策略是在攻击发生之前封锁它。它也有助于: 去除无效的指标,降低对误报的响应 将精确的信息加入到SIEMs中 帮助SOC工程师调整优先级并发布警告 帮助管理者利用证据与他们的上级负责人沟通相关的危险 帮助事件处理小组快速补救 分配预算(日渐增长的威胁需要更多的关注和预算) 人力资源规划和任务管理 威胁指标威胁指标是指能够指明可能存在的攻击的实体。最常见的类型是文件哈希(签名),与攻击相关的域名和IP地址的信誉。 文件哈希是蠕虫、木马、键盘记录器以及其它恶意程序的唯一标识。MD-5或者SHA-1通过复杂的变换为程序生成唯一的指纹,可以用它来标识恶意文件。同时,网站、IP或者特定的URL会传播恶意软件,给用户的网络带来危险。跟踪恶意网站、列入黑名单的IP,利用哈希识别出恶意文件,阻止它们进入你的网络。与恶意网站/IP相关的危险有: 垃圾和钓鱼页面 恶意软件和间谍软件 匿名代理攻击和P2P网络 暗网IP地址(使用TOR)
使用公开或者私有的订阅来收集信息,分析并阻止他们。 Threatcrowd,一个威胁搜索引擎,能让用户搜索和调查与IP、网站或机构相关的威胁。它也提供了API,利用ThreatCrowd API你可以搜索下面的内容: 域名 IP地址 邮件地址 文件哈希 杀软检测
它会从virustotal和malwr.com上获取信息,它也提供了MALTEGO转换,方便分析和关联数据。
它显示了对MD-5哈希的分析,这些信息显示它的源IP、域名,以及其它相关的哈希。这些签名代表的恶意文件不应该在你的网络中运行。 在threatcrowd网站上可以看到木马更详细的信息。
使用malwr.com可以进行如下更详细的分析: 静态分析 行为分析 网络分析 截图 域名和IP 注册表 其它更多内容
日渐增长的钓鱼攻击已经给网络安全造成了威胁,培训和安全教育不是唯一的解决方案。你可以使用可操作的情报来阻止钓鱼攻击,下面的服务会跟踪并发布钓鱼页面: openphish.com phishtank.com
不要让你的员工或用户访问如下的钓鱼页面:
Openphish可以识别出零日钓鱼页面,并且提供全面的、可实施的、实时的威胁情报。
上面讨论到的重要数据都可以公开免费获取,需要花精力对这些数据进行收集和分析。使用Maltego以及OTX,可以很容易地访问这些数据。参与到这些项目中来,让它成为威胁情报管理中的重要工具。
|