威胁情报之开源情报搜集

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了威胁情报之开源情报搜集相关的知识,希望对你有一定的参考价值。

参考技术A 根据Gartner对威胁情报的定义,威胁情报是某种基于证据的知识,包括上下文、机制、标示、含义和能够执行的建议,这些知识与资产所面临已有的或酝酿中的威胁或危害相关,可用于资产相关主体对威胁或危害的响应或处理决策提供信息支持。本文所说的威胁情报属于狭义的威胁情报,其主要内容为用于识别和检测威胁的失陷标识,如文件HASH,IP,域名,程序运行路径,注册表项等,以及相关的归属标签。

2.1注册VirusTotal账户,VT提供一个免费的API,可以进行IP,Domain,File类信息的查询,免费账户有查询速率限制,每分钟查询四次限制,可以注册多个账户轮训。

目前国内外主流的安全公司都有自己的威胁情报业务,例如VT,360,奇安信,微步在线,天际友盟等。关于IP,domain的部分情报实际上来自于恶意样本在沙箱中的网络行为,可以利用开源沙箱 Cuckoo 分析恶意样本,实现IOC的生产。

可以部署蜜罐进行IOC的生产和相关Tag的标注,这边推荐我使用过的开源蜜罐 HFish

国内的安全厂商都会定期更新安全分析文章,文章末尾有高质量IOC,可以利用爬虫技术实现对公开安全报告中的IOC实现爬取。

可以通过订阅一些免费的开源情报平台获取高质量的威胁情报

AlienVault 开放威胁交换(OTX)是全球权威的开放威胁信息共享和分析网络。OTX提供了一个由威胁研究人员和安全专业人员组成的全球社区,有来自140个国家的5万多名参与者,每天贡献400多万个威胁指标。

Twitter等国外社交媒体上经常有第一手的攻击信息,实效性强,老外的研究成果确实要领先于国内,经常出现国外前一天发布,国内第二天炒冷饭的情况,但是此类信息的缺点同样明显:信息准确性未经验证,信息碎片化,难以规范化。

以上是关于威胁情报之开源情报搜集的主要内容,如果未能解决你的问题,请参考以下文章

Linux篇-善用威胁情报

Linux篇-善用威胁情报

美国网络安全态势感知:威胁情报发展现状

云上安全保护伞--SLS威胁情报集成实战

小议情报

什么是威胁情报?