搜索
查看: 4521|回复: 0

浅谈开源威胁情报工具和技术

[复制链接]

1839

主题

2255

帖子

1万

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
11913
发表于 2016-7-29 14:47:23 | 显示全部楼层 |阅读模式
互联网是巨大的,拥有比你能想到的更多、更重要的数据。它并不局限于用来搜索人或者公司的信息,也可以用来预测未来会发生的事情,这一预测基于数据。你需要处理这些数据,OSINT的工作就是将数据联系起来,得出有意义的结论。

14694877421996.jpg

数据无处不在,你能用它做许多奇妙的事情。今天让我们探讨下威胁管理中的开源情报吧。

开源威胁情报

威胁是指能够损害商业活动和可持续性的任何事情,威胁基于三个核心因素:

意图:策划和目的
能力:支持意图的资源
机会:合适的时间、技术、步骤和工具

一个机构往往难以发现威胁,常常把大量时间花费在遭受攻击之后的漏洞修补和调查取证上,而不是在攻击出现之前阻止它。

根据Gartner的定义,威胁情报是指:基于一定知识的证据,已经存在或正在形成的潜在威胁,比如,上下文、机制、指标、意义以及可实施的建议,利用这些,可以帮助当事人形成应对这些危险的决策。

我们要做的是,预测(基于数据)将要来临的的攻击。开源威胁情报利用公开的可用资源,预测潜在的威胁。网络威胁情报可以帮助你在防御方面做出更好的决策,可以得到以下好处。

采取积极的办法,而不是被动的反应。你可以制定计划来对抗现在和将来的威胁。
组建一个安全预警机制,在攻击发起之前知道它
对安全事件提出更好的解决方案
网络威胁情报为你提供最新的安全技术信息,帮助封锁出现的威胁
对相关的危险进行调查,开展利益分析

要寻找什么:

恶意IP地址
域名/网站
文件哈希(恶意软件分析)
受害领域/国家
开源威胁情报架构

OTX – Open Threat Exchange:AlienVault Open Threat Exchange (OTX) 可以访问威胁研究专家和安全专家全球社区。它递送社区产生的威胁数据,能够协作各个来源的威胁数据,自动更新你的安全基础设施。

14694878229900.jpg

开源威胁情报为你提供可实施的建议,从攻击中学习,并且在他们攻击你之前打上补丁。

让我们比较下面两种情况:

14694878364419.jpg

传统方法

14694878464012.jpg

OTX方法

过程非常简单直接,持续关注出现的威胁,定义规则,加强你的策略,封锁这些威胁。这一主动的办法可以保护你的基础设施和声誉。攻击不仅能摧毁技术基础设施或者盗窃数据,也会对商标的声誉、客户的信任以及未来的销量造成伤害。对攻击进行响应并不能挽回被盗取的东西,聪明的策略是在攻击发生之前封锁它。它也有助于:

去除无效的指标,降低对误报的响应
将精确的信息加入到SIEMs中
帮助SOC工程师调整优先级并发布警告
帮助管理者利用证据与他们的上级负责人沟通相关的危险
帮助事件处理小组快速补救
分配预算(日渐增长的威胁需要更多的关注和预算)
人力资源规划和任务管理
威胁指标

威胁指标是指能够指明可能存在的攻击的实体。最常见的类型是文件哈希(签名),与攻击相关的域名和IP地址的信誉。

文件哈希是蠕虫、木马、键盘记录器以及其它恶意程序的唯一标识。MD-5或者SHA-1通过复杂的变换为程序生成唯一的指纹,可以用它来标识恶意文件。同时,网站、IP或者特定的URL会传播恶意软件,给用户的网络带来危险。跟踪恶意网站、列入黑名单的IP,利用哈希识别出恶意文件,阻止它们进入你的网络。与恶意网站/IP相关的危险有:

垃圾和钓鱼页面
恶意软件和间谍软件
匿名代理攻击和P2P网络
暗网IP地址(使用TOR)
管理僵尸网络的C&C服务器

使用公开或者私有的订阅来收集信息,分析并阻止他们。

Threatcrowd,一个威胁搜索引擎,能让用户搜索和调查与IP、网站或机构相关的威胁。它也提供了API,利用ThreatCrowd API你可以搜索下面的内容:

域名
IP地址
邮件地址
文件哈希
杀软检测

它会从virustotal和malwr.com上获取信息,它也提供了MALTEGO转换,方便分析和关联数据。

14694878952554.jpg

它显示了对MD-5哈希的分析,这些信息显示它的源IP、域名,以及其它相关的哈希。这些签名代表的恶意文件不应该在你的网络中运行。

在threatcrowd网站上可以看到木马更详细的信息。

14694879062483.jpg

使用malwr.com可以进行如下更详细的分析:

静态分析
行为分析
网络分析
截图
域名和IP
注册表
其它更多内容

14694879222519.jpg

日渐增长的钓鱼攻击已经给网络安全造成了威胁,培训和安全教育不是唯一的解决方案。你可以使用可操作的情报来阻止钓鱼攻击,下面的服务会跟踪并发布钓鱼页面:

openphish.com
phishtank.com

不要让你的员工或用户访问如下的钓鱼页面:

14694879429921.jpg

Openphish可以识别出零日钓鱼页面,并且提供全面的、可实施的、实时的威胁情报。

14694879529435.jpg

上面讨论到的重要数据都可以公开免费获取,需要花精力对这些数据进行收集和分析。使用Maltego以及OTX,可以很容易地访问这些数据。参与到这些项目中来,让它成为威胁情报管理中的重要工具。


过段时间可能会取消签到功能了
您需要登录后才可以回帖 登录 | Join BUC

本版积分规则

Powered by Discuz!

© 2012-2015 Baiker Union of China.

快速回复 返回顶部 返回列表