国产麻豆免费视频,欧美国产日韩另类,亚洲码欧美码一区二区三区

淺談開源威脅情報工具和技術

責任編輯：editor005

作者：felix

2016-07-27 15:15:07

摘自：黑客與極客

開源威脅情報為你提供可實施的建議，從攻擊中學習，并且在他們攻擊你之前打上補丁。文件哈希是蠕蟲、木馬、鍵盤記錄器以及其它惡意程序的唯一標識。你可以使用可操作的情報來阻止釣魚攻擊，下面的服務會跟蹤并發布釣魚頁面：

互聯網是巨大的，擁有比你能想到的更多、更重要的數據。它并不局限于用來搜索人或者公司的信息，也可以用來預測未來會發生的事情，這一預測基于數據。你需要處理這些數據，OSINT的工作就是將數據聯系起來，得出有意義的結論。

數據無處不在，你能用它做許多奇妙的事情。今天讓我們探討下威脅管理中的開源情報吧。

開源威脅情報

威脅是指能夠損害商業活動和可持續性的任何事情，威脅基于三個核心因素：

意圖：策劃和目的

能力：支持意圖的資源

機會：合適的時間、技術、步驟和工具

一個機構往往難以發現威脅，常常把大量時間花費在遭受攻擊之后的漏洞修補和調查取證上，而不是在攻擊出現之前阻止它。

根據Gartner的定義，威脅情報是指：基于一定知識的證據，已經存在或正在形成的潛在威脅，比如，上下文、機制、指標、意義以及可實施的建議，利用這些，可以幫助當事人形成應對這些危險的決策。

我們要做的是，預測（基于數據）將要來臨的的攻擊。開源威脅情報利用公開的可用資源，預測潛在的威脅。網絡威脅情報可以幫助你在防御方面做出更好的決策，可以得到以下好處。

采取積極的辦法，而不是被動的反應。你可以制定計劃來對抗現在和將來的威脅。

組建一個安全預警機制，在攻擊發起之前知道它

對安全事件提出更好的解決方案

網絡威脅情報為你提供最新的安全技術信息，幫助封鎖出現的威脅

對相關的危險進行調查，開展利益分析

要尋找什么：

惡意IP地址

域名/網站

文件哈希（惡意軟件分析）

受害領域/國家

開源威脅情報架構

OTX – Open Threat Exchange：AlienVault Open Threat Exchange (OTX) 可以訪問威脅研究專家和安全專家全球社區。它遞送社區產生的威脅數據，能夠協作各個來源的威脅數據，自動更新你的安全基礎設施。

開源威脅情報為你提供可實施的建議，從攻擊中學習，并且在他們攻擊你之前打上補丁。

讓我們比較下面兩種情況：

傳統方法

OTX方法

過程非常簡單直接，持續關注出現的威脅，定義規則，加強你的策略，封鎖這些威脅。這一主動的辦法可以保護你的基礎設施和聲譽。攻擊不僅能摧毀技術基礎設施或者盜竊數據，也會對商標的聲譽、客戶的信任以及未來的銷量造成傷害。對攻擊進行響應并不能挽回被盜取的東西，聰明的策略是在攻擊發生之前封鎖它。它也有助于：

去除無效的指標，降低對誤報的響應

將精確的信息加入到SIEMs中

幫助SOC工程師調整優先級并發布警告

幫助管理者利用證據與他們的上級負責人溝通相關的危險

幫助事件處理小組快速補救

分配預算（日漸增長的威脅需要更多的關注和預算）

人力資源規劃和任務管理

威脅指標

威脅指標是指能夠指明可能存在的攻擊的實體。最常見的類型是文件哈希（簽名），與攻擊相關的域名和IP地址的信譽。

文件哈希是蠕蟲、木馬、鍵盤記錄器以及其它惡意程序的唯一標識。MD-5或者SHA-1通過復雜的變換為程序生成唯一的指紋，可以用它來標識惡意文件。同時，網站、IP或者特定的URL會傳播惡意軟件，給用戶的網絡帶來危險。跟蹤惡意網站、列入黑名單的IP，利用哈希識別出惡意文件，阻止它們進入你的網絡。與惡意網站/IP相關的危險有：

垃圾和釣魚頁面

惡意軟件和間諜軟件

匿名代理攻擊和P2P網絡

暗網IP地址（使用TOR）

管理僵尸網絡的C&C服務器

使用公開或者私有的訂閱來收集信息，分析并阻止他們。

Threatcrowd,一個威脅搜索引擎，能讓用戶搜索和調查與IP、網站或機構相關的威脅。它也提供了API，利用ThreatCrowd API你可以搜索下面的內容：

域名

IP地址

郵件地址

文件哈希

殺軟檢測