开源情报通常被定义为遵循传统情报周期的情报,开源情报所使用的数据完全来自公开的信息。许多人在想到 OSINT 时会想到互联网搜索和新闻报道等内容,这些都是有效的信息来源:然而,公众可以获得的信息比许多人意识到的要多得多。政府文件、研究报告和出版的书籍都提供了可用于了解威胁的信息。
常见的开源情报来源例如:政府公开文件,安全研究机构针对攻击组织的研究报告,免费的威胁情报订阅。
威胁情报订阅以及外部信息可以弥补我们对攻击组织了解的不足,甚至有些情报可以直接扩充企业的IP黑名单。换个角度看,我们能拿到的情报,攻击者也能拿到,我们企业已经有哪些情报被攻击者掌握,也能从开源情报中体现出来。
建议企业的CTI团队根据自己的企业信息开展开源威胁情报攻防演练,以了解当前攻击者从企业已经公开的采购、公共关系、招聘信息、供应链信息能够提取出的可用于攻击的情报。传统的安全防御团队只会考虑他们认为的重要信息,而忽略对于攻击这来说哪些信息是优先收集并利用的。
举个栗子:您的企业在招聘开发工程师的信息中,要求应聘者必须熟悉Apache Struts2框架。那么当Apache Struts2框架出现新的漏洞时,您的企业会被攻击者列为优先进行漏洞探测的对象。
可订阅威胁情报十分有用,但它并不能作为企业的情报直接使用,像攻击者使用的战术,IoC,攻击工具等都必须经过验证才能应用在企业的安全防御设备中。
Alex Pinto 和 Kyle Maxwell 的 TIQ (Threat Intelligence Quotient)测试是一个用于评估您自己的威胁源的开源资源。Github地址:https://github.com/mlsecproject/tiq-test。它会运行多项测试来了解这个订阅情报的价值。这些测试包括新颖性测试,该测试用于随着订阅情报的每日更新来评估新IoC和旧IoC的淘汰率。重叠测试通过比较不同的订阅源来评估不同订阅源之间IoC的重叠程度。人口测试用于按国家/地区或 ASN 比较特定日期报告的 IP 地址的最高数量。
除了TIQ测试,查看社区对情报订阅源的评价也可以作为选择哪些订阅源的参考。可订阅情报是否产生价值取决于企业的使用方式,比如,您使用可订阅情报以加深对攻击组织的了解,与其他安全数据集进行关联,分析潜在的攻击行为,这样可订阅情报就在安全分析流程上产生了价值。而有些企业则将可订阅情报自动化地与IPS或防火墙的封禁策略进行联动,结果发现自己直接断网了,这样的使用方式就没有产生价值。
FireHOL IP名单是一个专注于评估基于IP的可订阅情报的组织,如果您想使用基于IP的可订阅情报源,不妨参考FireHOL上的评估结果。FireHOL 会维护一个非常好的订阅源列表,其中包含对于评估和使用此类开源集合至关重要的因素。对于每个订阅源,他们列出了数据涵盖的威胁类型,例如,针对 WordPress 网站的暴力破解、更新时间以及添加或删除新 IP 的频率的更改历史记录,此类信息可以 评估订阅源的有效性需要进行大量研究。地址:https://iplists.firehol.org/
合理地使用外部情报数据有利于完善企业的威胁情报体系,下一篇更新如何建立自己的OSINT情报库以及采集情报。
原文始发于微信公众号(Desync InfoSec):第十一课 收集威胁情报数据源——外部数据集(一)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论