開源威脅情報工具和技術

原創 PolluxAvenger 2020-07-07 00:50

互聯網的規模是巨大的,其中擁有你能想到的所有最重要的數據,不僅僅侷限於搜索人或者公司的相關信息,而可能利用這些數據來預測未來將會發生什麼。爲了完成“預測”,你需要對數據進行處理,一個專業的威脅情報分析人員的任務就是連接數據點並得出一個有意義的結論。
image_1aob01tkb45s1bod44u120d2189.png-495.2kB
當然,數據遍地都是,但你可以用它們來完成創舉。接下來,讓我們討論一下開源情報在威脅管理中扮演的角色是什麼。

開源威脅情報

威脅是什麼?威脅可能潛在地損害一個公司的運轉和持續發展。威脅有三個核心要素構成:

  • 意向:一種渴望達到的目的
  • 能力:用來支持意向的資源
  • 機會:適時地技術、手段和工具

通常來講,公司無法辨別威脅。他們經常花費太多錢在攻擊發生之後對漏洞的修補和調查問題上,而不打算在攻擊出現之前就修復它。

威脅情報,根據 Gartner 的定義:“基於證據的知識,包括內容、機制、指標、影響和可操作的建議,關於現有或新出現的威脅或是資產面臨的風險,這種知識可以被用來決定組織對這一威脅或風險的響應。”

威脅情報是一種基於數據的,對組織即將面臨的攻擊進行預測的行動。然而,開源威脅情報是指對公開可利用的資源進行處理來預測攻擊行動或潛在威脅。網絡威脅情報將會幫助你更好的設計你的防衛計劃,和以下好處:

  • 採取積極地措施,而不是隻能採取被動地措施;你可以建立計劃來打擊當前和未來的威脅
  • 形成組織安全預警機制,在攻擊到達前就已經知曉
  • 提供更完善的安全事件響應方案
  • 使用網絡情報源來得到安全技術的最新進展,以阻止新出現的威脅
  • 更好的風險投資和收益分析

我們要尋找什麼:

  • 惡意 IP 地址
  • 域名 / 網站
  • 文件哈希(惡意軟件分析)
  • 受害的產業/國家

開源威脅情報框架

OTX – Open Threat Exchange:AlienVault 開源威脅(OTX) 爲全球的威脅研究人員和安全從業人員提供了開放授權。它提供了社區驅動的威脅數據,推動合作研究,並利用從其他源提供的威脅數據自動更新你的安全基礎設施。
image_1aob02l9m1g8113a639c7hkdfom.png-100.7kB
開源威脅情報給出了可遵循的建議,從攻擊中學習、並且在攻擊發生之前就修補好漏洞。
下面讓我們來比較一下兩種情況:
image_1aob0hd1b1o3o194c102m75778h13.png-46.5kB
image_1aob0hogbn4uv8doogmdl9871g.png-49.4kB
這個過程非常簡單,緊盯新出現的威脅,定義規則並加強你的策略,以阻止出現的威脅;這種積極主動的方法也可以保護你的基礎結構和聲譽。一次攻擊不僅破壞了技術的基礎結構,並且造成數據損失,還損害了品牌信譽,降低了客戶的信任度,也對未來的銷售產生了巨大影響。對攻擊的響應再好也無法恢復到入侵發生之前,聰明的策略應當是在攻擊到達前就修補漏洞、阻止攻擊。這還有助於:

  • 移除無效指標,減少虛假的積極響應
  • 增強精確 SIEM 信息的流動
  • 幫助 SOC 工程師根據輕重緩急發佈警報
  • 幫助管理人員使用相關風險的證據與高層領導交流
  • 幫助事件處理團隊快速採取補救措施
  • 平衡預算分配(上升的威脅需要更多的關注和預算)
  • 提升人力資源計劃和任務管理

威脅指標

威脅指標是一個實體,該指標表示遭到某種攻擊或威脅的可能性。最常見的類型是文件哈希/簽名,域名和 IP 地址的聲譽度,這些都能與攻擊進行關聯。
哈希文件是對蠕蟲、木馬、鍵盤記錄程序和其他類型的惡意程序的唯一標識,MD5 或 SHA-1 可以生成一個獨特的指紋,可以利用這串獨有的字符串來標定惡意軟件。同樣的,網站、IP 地址、甚至是傳播惡意軟件獨特的 URL,都會通過受感染的用戶把風險帶入整個網絡。跟蹤惡意網站,完善黑名單的 IP 列表,使用哈希字符串來識別惡意軟件,阻止它們入侵你的技術基礎設施。與風險相關的惡意網站/ IP 地址:

  • 垃圾郵件和網絡釣魚
  • 惡意軟件和間諜程序
  • 匿名代理和 P2P 網絡
  • 暗網 IP 地址(使用 TOR)
  • 管理殭屍網絡的 C&C 服務器

使用公開或私有源來收集信息,分析數據來阻止攻擊。
Threatcrowd, 一個允許用戶搜索和調查與 IP 、網站或者組織相關的威脅。它也提供 API 和 ThreatCrowd API ,你可以搜索以下:

  • 域名
  • IP 地址
  • 電子郵件
  • 文件哈希
  • 反病毒檢測

它從 Virustotalmalwr.com 獲取信息,它還提供使用 Maltego 來轉換分析相關聯的數據。
image_1aob3o3271q7c1i6p1oqhk3ti01t.png-217.6kB
它顯示了關於 MD5 哈希值的分析,這些信息揭示了其來源 IP、域名和其他與哈希相關的信息。這些簽名所代表的惡意文件,不應該在你的環境中出現。

在 ThreatCrowd 的網站上,你可以看到木馬的詳細信息。
image_1aob487an1t4e1a1815gu61dcg2a.png-113.2kB

使用 malwr.com 進行如下分析:

  • 靜態分析
  • 行爲分析
  • 網絡分析
  • 屏幕快照
  • 域名和IP
  • 註冊表
  • 更多

image_1aob4e524h3p1coe7a8thi1gvn2n.png-48.7kB
越來越多的網絡釣魚已經威脅了這個世界的網絡安全,培訓和提高安全意識並不是唯一的解決方案。你可以使用活動地情報來阻止網絡釣魚,以下是跟蹤和發佈網絡釣魚的頁面:

  • openphish.com
  • phishtank.com

不要讓你的員工或用戶被這樣的假頁面所矇騙:
image_1aob4jfhrl0i9kc1rq91kfnij434.png-62.6kB
Openphish 標識 0day 釣魚頁面,並且提供全面的、可操作的、實時的威脅情報。
image_1aob4ljgs1cv31k8r1cs41elc1ddo3h.png-95.4kB
所有討論和重要的數據都免費、公開提供給任何人,我們需要努力收集和分析這些數據。使用 Maltego 轉換、打開威脅交換程序,你可以很輕鬆的訪問這些數據。在它們變成威脅情報管理的重要問題之前,分享這些程序以改進它們也是非常重要的。

原文地址

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

基於範型的多語言編程

基於範型的多語言編程 作者 Sadek Drobi譯者 韓鍇 【整理】:Ackarlix   你在同一個項目中會用到多少種語言?如果算一算的話,會發現數量真的不少。我指的是XML、Java、XSLT、HTML和CSS等等。但是,你爲什麼

Ackarlix 2020-07-07 23:44:57

利用 DNS 隧道傳遞數據和命令來繞過防火牆

不論你對出站流量採取多麼嚴格的訪問控制,你可能都要允許至少對一個服務器的 DNS 請求。對手就可以利用這個防火牆上的“大洞”來偷運數據,並且建立一個非常難以限制的隱蔽命令控制信道。爲了學習 DNS 作爲命令控制信道的使用方法,我們

PolluxAvenger 2020-07-07 00:50:57

國際事件--用 DNS 欺騙獲得一個 .int 域名的控制權

.int 或者 international 頂級域名或許是互聯網上提供的最“高檔”的一個擴展。子域名的數量太少,根據維基百科的信息,截止 2012 年 6 月,其一共有 166 個子域名。 根據介紹,大約 27 年前,這個域名的

PolluxAvenger 2020-07-07 00:50:47

原創翻譯:James Whittaker系列——Google是如何測試的(2)

 原創翻譯,請勿轉載!!!!      爲了讓“you build it,you break it”的格言成真,在傳統的軟件開發崗位之外,需要再設置幾個必要的角色。特別地,能做開發同時又能有效且高效地做測試的這類工程師角色,是必要的

ross_ 2020-06-30 19:17:22

原創翻譯:James Whittaker系列——10分鐘測試計劃

原創翻譯,請勿轉載!!! 10分鐘測試計劃 Thursday, September 01, 2011 By James Whittaker在軟件開發中,一般只需要十分鐘或更少時間做的事都被當成小事,不值重視。如果你把這個思想視爲信條,那

ross_ 2020-06-30 19:17:12

翻譯作品一之Service Banner Fingerprinting in C

 翻譯作品一之Service Banner Fingerprinting in C                                ---nightcat   一.前言:    本人翻譯系列文章,很擔心裏面出錯的地方會誤人,

ncnynl 2020-06-25 16:05:14

如何擊敗CAP定理?

CAP定理指出數據庫不能同時保證一致性,可用性和分區容錯。但是你不能犧牲分區容忍度(見這裏和這裏),所以你必須在可用性和一致性之間進行權衡。管理這種權衡是NoSQL運動的核心焦點。 一致性意味着在您成功寫入之後,將來的讀取將始終考慮該寫入

xiaosima2017 2020-06-20 23:19:24

技術文章翻譯(一) -- C++異常處理機制

本人聲明 1.本欄僅爲歸檔自己看到的優秀文章; 2.文章版權歸原作者所有; 3.因爲個人水平有限,翻譯難免有錯誤,請多多包涵。 原文地址 https://www.codeguru.com/columns/kate/c-exce

张慕风 2020-06-16 13:05:32

提問的藝術 | 如何聰明地提問

如何聰明地提問 你有疑問,但你害怕當你提問或者從答案獲取更多信息,別人會有其他想法?你可以找到一些提示(在下文)來提出更開放的、有見地的問題,這些問題不僅有助於你,也有助於其他人理解擺在你面前的信息,以及提取更多對你有用的信息。

Evan_Leung 2020-06-16 07:41:16

推薦系統-協同過濾之電影推薦

  Introduction This example demonstrates Collaborative filtering using the Movielens dataset(https://www.kaggle.com/c/m

Debug_Snail 2020-06-14 18:47:34

如何利用網絡技術賺錢的

  How To Make Money, Using Web Scraping """ 文章核心思想就是利用現在的網頁爬取技術在網絡中尋找賺錢的機會,思路是好的,但是一目前的國內情況來看,一方面可能觸碰到法律紅線,另一方面可能是面臨爬去

Debug_Snail 2020-06-09 20:35:14

wu反走樣(Anti-aliased)直線

vertex 2020-06-03 10:18:09

開源系統管理資源大合輯

PolluxAvenger 2020-02-25 23:27:50

綠色計算架構

Ackarlix 2020-02-25 10:50:48

在.NET應用程序中進行Erlang風格的並行編程(第1部分)——CCR

Ackarlix 2020-02-25 10:50:48