2023年10佳免费网络威胁情报来源和工具

admin 2023年12月6日10:02:34评论25 views字数 7666阅读25分33秒阅读模式

数据安全管理从哪里开始

2024年网络安全十大趋势和五个预测


鉴于不断变化的形势,跟上网络安全的发展已成为一项挑战。这包括新发现的漏洞、新的攻击方法以及新兴网络攻击者使用的策略、技术和程序 (TTP)。因此,获取资源和工具来协助完成这些耗时的任务并获取可操作的信息变得越来越困难

对于安全专业人员来说,拥有先进的知识是至关重要的促成因素。在考虑高级版本之前,可能有必要尝试使用可提供经过验证的及时信息的免费威胁情报源。

许多 CTI(网络威胁情报)工具在情报周期的不同阶段都证明是有用的。虽然这些工具不能成为一体化解决方案,但除了促进自动化数据收集、存储、共享和分析之外,与 SR CTI 解决方案一起可以节省许多中小型企业无法承受的大量财务投资

为了解决这个问题,我们编制了一份我们认为对于将 CTI 纳入安全运营最有帮助的10 个最佳工具和来源的列表。这些选项至少免费提供部分功能。

1- AlienVault 开放威胁交换

AlienVault Open Threat Exchange (OTX) 提供对全球威胁研究人员和安全专家社区的开放访问。它提供社区生成的威胁数据,促进协作研究,并自动执行使用任何来源的威胁数据更新安全基础设施的过程。

该平台是最初的众包威胁情报库,并且仍然是最好的平台之一,每天处理超过1900 万条新的妥协指标 (IoC) 记录。该服务免费使用,并提供各种格式的威胁情报,包括 STIX、OpenIoC、MAEC、JSON 和 CSV 格式。每个饲料样本被称为“脉冲”。

您可以通过接收某些预先过滤的数据来灵活地定义您的特定要求,并且还可以选择接收针对设备类型(例如端点)定制的源。如果相关数据超出您的 Feed 参数范围,则此附加数据将链接到所交付的记录中。

2023年10佳免费网络威胁情报来源和工具
AlienVault 组(威胁参与者)页面

2-CTI4SOC

SOCRadar 的全新独立 CTI 解决方案CTI4SOC是下一代威胁情报平台,旨在促进 SOC 分析师的工作。它拥有 12 个功能模块,是 SOC 团队的得力助手。

与传统威胁情报平台不同,CTI4SOC大数据提供支持,并以有组织和上下文的方式呈现分析人员可以使用各种工具获取的所有数据。

借助 CTI4SOC,SOC 团队无需浏览各种信息源来寻找真实且有用的信息。该平台通过分析师的眼睛选择和过滤信息,为您提供正确的假设来开始您的研究。

该平台不仅编译有用的信息,而且将其呈现在可操作的环境中。它提供对 SORadar 安全分析师和其他可信来源发布的威胁报告的一键访问。

在当今不断变化的威胁格局中,一些威胁行为者可能只针对特定部门并具有自己的显着特征。SOC 分析师对这些对手的战术、技术、程序 (TTP)、动机和行为模式的理解可以帮助他们形成明智的观点,从而直接有助于调查过程。借助 CTI4SOC,您可以将活跃的威胁参与者添加到监视列表中,以随时掌握他们的活动。

SOCRadar威胁搜寻模块是 SOC 分析师在调查阶段后最有价值的工具。从那里,安全人员可以通过搜索关键信息来扩展他们的工作,例如命令和控制 (C2) 中心、恶意软件、IP 地址和域。CTI4SOC 是一个 API 就绪解决方案,可在发生可能的攻击时随时提供所有这些可操作的数据

2023年10佳免费网络威胁情报来源和工具
SORadar 网络威胁情报/威胁搜寻模块

3-文档卫士

DOCGuard是一项恶意软件分析服务,与安全电子邮件网关 (SEG) 和 SOAR 解决方案集成。

该服务利用一种称为结构分析的新型静态分析。该方法将恶意软件分解成碎片,并将它们转移到基于文件结构组件的核心引擎。通过采用这种方法,DOCGuard 可以明确地检测恶意软件,提取无 F/P(无误报)的妥协指标 (IoC),并以序列编码和文档加密的形式识别混淆和加密。

目前,支持的文件类型包括 Microsoft Office 文件、PDF、HTML、HTM、LNK、JScript、ISO、IMG、VHD、VCF 和存档(.zip、.rar、.7z 等)。结构分析的详细结果显示在 GUI 中的聚合视图中,并且可以作为 JSON 报告下载。这些发现也可以通过 API 收集。

DOCGuard 的突破性分析引擎使其能够在几秒钟内分析文件并检测所有已知的攻击方法,而不会遗漏任何攻击方法。此外,它执行此分析时系统资源使用率低得惊人。DOCGuard 有助于实现来自各种来源的警报验证的自动化,例如 SIEM 和 SOAR 解决方案、PhishMe、Cofense 等。该服务提供快速样本分析,并使用其 API 接口在几分钟内与您的网络安全生态系统无缝集成。您可以通过部署 Docker 容器并将其集成到您的网络安全基础设施中来轻松安装 DOCGuard。

2023年10佳免费网络威胁情报来源和工具
DOCGuard 免费文件分析页面

VirusTotal 最近宣布,与 DOCGuard 集成的文档分析合作将使社区能够以另一种方式看待扫描文档。

2023年10佳免费网络威胁情报来源和工具
VirusTotal 样本文档分析

4- GREYNOISE

GreyNoise为网络威胁情报 (CTI) 分析师和威胁追踪人员提供可见性和深层背景。它收集并分析整个互联网上的浏览活动数据,有助于在分析威胁情报信息时减少误报。GreyNoise 收集有关Shodan等良性扫描程序以及 SSH 和 Telnet 蠕虫等恶意行为者的信息。此外,它还可以识别SOC 分析师可能错过的噪声数据。

GreyNoise 可识别安全事件中的互联网浏览器和一般业务活动,从而实现更快、更安全的决策。无论您使用其查看器、API 还是将 GreyNoise 数据集成到您的安全工具中,您都可以在安全日志中找到重要内容并继续工作。

GreyNoise 集成可轻松丰富威胁情报平台 (TIP) 中的数据,并有助于消除 CTI 团队在获取不同情报源时容易遇到的噪音和误报。威胁追踪者可以让 GreyNoise 发现战术、技术和程序 (TTP) 中的异常模式,从而发现敌人的活动和基础设施。他们还可以使用灰噪声分析工具深入研究妥协指标 (IoC),以加快调查进度。

2023年10佳免费网络威胁情报来源和工具
GreyNoise 标签趋势页面

5- INTEZER

Intezer是一个旨在像经验丰富的安全分析师和逆向工程师一样分析和调查警报的平台。

多年来,Intezer 不断调整和扩展其专有代码分析引擎的功能,为 SOC 团队自动执行日益耗时或重复的任务。它超越了自动化剧本、沙盒或警报丰富,可以采取行动、做出明智的决策,并为您的团队提供事件响应建议。

Intezer 的自我导向 SOC 平台可以为您的团队确定警报的优先级并全天候 (24/7) 调查威胁。通过利用自动分析、智能建议和自动修复,Intezer 可以帮助您的团队避免将时间浪费在误报、重复性分析任务以及处理过多的高级且耗时的警报上。

Intezer Analytics是一款一体化恶意软件分析平台,可以对任何类型的文件执行静态、动态和遗传代码分析。它可以帮助事件响应和 SOC 团队简化对任何恶意软件相关事件的调查。用户可以跟踪恶意软件家族、提取 IoC/MITRE TTP 并下载 YARA 签名。还有一个社区版本可供免费使用。

借助 Intezer Transformations,恶意软件分析师和威胁研究人员可以快速获得有关任何可疑文件或端点的答案,在几秒钟内对可疑文件和机器进行分类,加快响应时间,并将多种恶意软件分析工具合并为一个。

Intezer 可实现及时、深入的报告,并被认为是“必备”,拥有专用实例来上传潜在敏感数据并自动确定优先级并调查每个警报。该平台仅提供已确认的严重威胁。轻松连接您的警报系统,在不改变日常运营的情况下实现即时价值。

2023年10佳免费网络威胁情报来源和工具
Intezer 分析页面

6-MISP 威胁共享

MISP,以前称为恶意软件信息共享平台,是一个开源、免费的威胁情报平台,具有共享威胁信息的开放标准。它由CIRCL创建,提供收集、存储、分发和共享与网络安全事件和恶意软件分析相关的网络安全威胁的功能。 

MISP 允许您将数据库中的妥协指标 (IoC) 与恶意软件、攻击或活动的属性和指标相关联。它由 SOC 分析师、安全和 ICT 专业人员以及恶意软件逆向工程师设计,旨在支持他们的日常运营并有效共享结构化信息。

随着MISP 项目的扩展,它开始不仅涵盖恶意软件指标,还涵盖欺诈和漏洞信息。现在的名称是 MISP,其中包括核心 MISP 软件和大量支持 MISP 的工具 (PyMISP) 和格式(核心格式、MISP 分类法、警告列表)。MISP 现在是一个由志愿者团队领导的社区项目。

MISP 的目的是促进安全社区内外的结构化信息共享。MISP 提供支持信息交换以及网络入侵检测系统 (NIDS)、LIDS 和日志分析工具 SIEM 信息消耗的功能。

MISP、恶意软件信息共享平台和威胁共享的主要功能包括:

  • 高效的 IoC 和指标数据库,允许存储有关恶意软件样本、事件、攻击者和情报的技术和非技术信息。

  • 自动关联以查找恶意软件、攻击活动或分析的属性和指标之间的关系。

  • 一种灵活的数据模型,可以表达复杂的对象并将其链接在一起以表达威胁情报、事件或链接的项目。

  • 内置共享功能,方便使用不同的分发模型共享数据。

  • 直观的用户界面,供最终用户创建、更新和协作处理事件和属性/指标。

  • 灵活的 API,可将 MISP 与您自己的解决方案集成。MISP 附带 PyMISP,这是一个灵活的 Python 库,可通过其 REST API 访问 MISP 平台,允许您获取事件、添加或更新事件/属性、添加或更新恶意软件样本或搜索属性。 

  • 可调整的分类法,可根据您的分类方案或现有分类法对事件进行分类和标记。

  • 称为 MISP 星系的情报字典,其中包括现有的威胁行为者、恶意软件、RAT、勒索软件或 MITRE ATT&CK,可以轻松与 MISP 中的事件和属性关联。

2023年10佳免费网络威胁情报来源和工具
MISP 事件查看模块

7- OpenCTI – 开放网络威胁情报平台 

OpenCTI项目是一个适用于所有级别的开放网络威胁情报的统一平台,是一个旨在促进网络威胁情报信息处理和共享的工具。它是计算机应急响应小组 (CERT-EU) 和法国国家网络安全局 (ANSSI) 合作的产物。

OpenCTI 是一个开源平台,使组织能够管理其网络威胁情报信息 (CTI) 和可观察数据。它的创建是为了存储、组织和可视化有关网络威胁的技术和非技术信息。

数据结构化是使用基于STIX2 标准的信息模式来执行的。它被设计为一个现代 Web 应用程序,包括 GraphQL API 和面向用户体验 (UX) 的前端。它还可以与其他工具和应用程序集成,例如 MISP、TheHive、MITRE ATT&CK等。

该威胁情报平台包含的一些关键要素如下:

  •  OpenCTI 通过基于 STIX2 标准的统一数据模型提供链接的运营和战略情报信息。 

  • 自动化工作流程:引擎自动得出逻辑结论,以提供见解和实时连接。

  • 与信息技术生态系统集成:其开源设计可以与任何本机或第三方系统简单集成。 

  • 智能数据可视化允许分析师使用各种显示选项直观地表示实体及其连接,包括嵌套关系。 

  • 分析工具:每条信息和指标都与其来源相关联,以方便分析、评分和纠正。

OpenCTI是一个包含 Python 或 Go API 接口以及强大的 Web 界面的框架。

2023年10佳免费网络威胁情报来源和工具
OpenCTI 仪表板

8-网络钓鱼坦克

PhishTank是一个免费的社区网站和协作平台,任何人都可以在其中提交、验证、跟踪和共享网络钓鱼数据。它提供了经过验证的网络钓鱼 URL 的全面流,可用于保护组织免受网络钓鱼攻击PhishTank 作为网络钓鱼验证系统运行,使用户能够提交或评级可疑网站并提供开放的 API。

该平台提供了来自人工报告的可疑网络钓鱼 URL 列表,并且还包含可用的外部源。虽然 PhishTank 是一项免费服务,但有时可能需要注册 API 密钥。

2023年10佳免费网络威胁情报来源和工具
PhishTank 统计页面

9-PULSEDIVE

Pulsedive是一个免费的社区威胁情报平台,它利用开源源,丰富妥协指标 (IoC),并通过风险评分算法运行它们以提高数据质量。它允许用户提交、搜索、扫描和丰富 IP、URL 和域。此外,它使用户能够关联和更新来自威胁情报源的 IoC,并列出风险因素,解释为什么某些 IoC 被认为风险较高。该平台提供威胁和威胁活动的高级视图。

用户可以根据以下条件的任意组合搜索指标:值、类型、风险、上次查看时间戳、威胁源、属性和属性。此外,他们还能够根据以下条件的任意组合搜索威胁:威胁名称、别名、类别、风险、上次查看时间戳、源和威胁属性。

2023年10佳免费网络威胁情报来源和工具
脉冲潜水分析页面

10-VIRUSTOTAL

VirusTotal使用70 多个防病毒扫描程序和 URL/域阻止服务以及众多从分析内容中提取信号的工具来检查项目。任何用户都可以使用浏览器从计算机中选择文件并将其发送到 VirusTotal。该平台提供多种文件提交方法,包括主要公共 Web 界面、桌面安装程序、浏览器扩展和编程 API。在公众提交方式中,网络界面具有最高的筛选优先权。可以使用基于 HTTP 的公共 API 以任何编程语言进行提交。同样,可以通过多种方式提交 URL,包括 VirusTotal 网页、浏览器扩展和 API。

提交文件或 URL 后,基础结果将与发送者以及使用结果来改善自身安全状况的审核合作伙伴共享。因此,通过向 VirusTotal 提交文件、URL、域,您可以为提高全局安全级别做出贡献。

这种基本分析还可以作为许多其他功能的基础,包括允许用户评论文件和 URL 以及相互共享笔记的网络。事实证明,VirusTotal 在检测恶意内容和识别误报方面非常有用。此外,当防病毒解决方案将提交的文件识别为恶意文件并显示检测标签时,VirusTotal会通知用户。此外,大多数 URL 扫描器都会区分网站类型,包括恶意软件、网络钓鱼和可疑网站。

2023年10佳免费网络威胁情报来源和工具
VirusTotal 公共页面

>>>错与罚<<<

公安部重要提醒!“两高一弱”问题

“郑强被举报案”,警方通报!

涉案流水超60亿!内蒙古网警破获特大跨境网络赌博案

新生儿信息遭泄露,一案双查!

疯狂吸金!普通视频一夜新增300万播放量?

公安部公布依法惩治网络暴力违法犯罪10起典型案例

同城美女相邀约?其实是双簧陷阱!

成都网警破获一起编造传播证券市场网络谣言案

涉黄“小卡片”!扫码后到底有什么“套路”?

西藏网警查处一起传播淫秽物品牟利案

生活中要警惕:不要随意蹭免费WIFI!

公安部督办非法机顶盒大案告破:涉案2亿元!

家长必读:这些方法可以有效保护孩子上网安全

“内鬼”盗卖数据,某大药房被罚!

被遗忘的网站,潜藏着网络安全隐患

紧急提示!“京东白条”诈骗又双叒来了

网络安全保护不是儿戏,违法违规必被查处

北京市网信办对三家企业未履行数据安全保护义务作出行政处罚

网安局@各学校,赶快检查一下你们的路由器安全吗?

倒闭跑路还主动退费?这套路真是防不胜防

背调时需要的无犯罪记录证明怎么开?

湖南网安适用《数据安全法》对多个单位作出行政处罚

由上海政务系统数据泄露引发的一点点感慨
个人信息保护不当,宁夏6家物业公司被处罚
网络安全保护不是儿戏,违法违规必被查处
罚款8万!某科技公司因数据泄漏被依法处罚
近2万条学员信息泄露!该抓的抓,该罚的罚!
信息系统被入侵,单位主体也得担责!
警方打掉通过木马控制超1400万部“老年机”自动扣费的犯罪团伙
张家界警方全链条团灭非法侵入1600余台计算机系统终端案!
警方提醒!多名百万网红被抓,54人落网!
不履行数据安全保护义务,这些公司企业被罚!
“一案双查”!网络设备产品服务商这项义务要履行!


>>>等级保护<<<
开启等级保护之路:GB 17859网络安全等级保护上位标准
网络安全等级保护:什么是等级保护?
网络安全等级保护:等级保护工作从定级到备案
网络安全等级保护:等级测评中的渗透测试应该如何做
网络安全等级保护:等级保护测评过程及各方责任
网络安全等级保护:政务计算机终端核心配置规范思维导图
网络安全等级保护:信息技术服务过程一般要求
网络安全等级保护:浅谈物理位置选择测评项
闲话等级保护:网络安全等级保护基础标准(等保十大标准)下载
闲话等级保护:什么是网络安全等级保护工作的内涵?
闲话等级保护:网络产品和服务安全通用要求之基本级安全通用要求
闲话等级保护:测评师能力要求思维导图
闲话等级保护:应急响应计划规范思维导图
闲话等级保护:浅谈应急响应与保障
闲话等级保护:如何做好网络总体安全规划
闲话等级保护:如何做好网络安全设计与实施
闲话等级保护:要做好网络安全运行与维护
闲话等级保护:人员离岗管理的参考实践

信息安全服务与信息系统生命周期的对应关系

>>>工控安全<<<
工业控制系统安全:信息安全防护指南
工业控制系统安全:工控系统信息安全分级规范思维导图
工业控制系统安全:DCS防护要求思维导图
工业控制系统安全:DCS管理要求思维导图
工业控制系统安全:DCS评估指南思维导图
工业控制安全:工业控制系统风险评估实施指南思维导图
工业控制系统安全:安全检查指南思维导图(内附下载链接)

业控制系统安全:DCS风险与脆弱性检测要求思维导图

>>>数据安全<<<
数据治理和数据安全
数据安全风险评估清单
成功执行数据安全风险评估的3个步骤
美国关键信息基础设施数据泄露的成本
备份:网络和数据安全的最后一道防线
数据安全:数据安全能力成熟度模型
数据安全知识:什么是数据保护以及数据保护为何重要?
信息安全技术:健康医疗数据安全指南思维导图
金融数据安全:数据安全分级指南思维导图
金融数据安全:数据生命周期安全规范思维导图

什么是数据安全态势管理 (DSPM)?

>>>供应链安全<<<
美国政府为客户发布软件供应链安全指南
OpenSSF 采用微软内置的供应链安全框架
供应链安全指南:了解组织为何应关注供应链网络安全
供应链安全指南:确定组织中的关键参与者和评估风险
供应链安全指南:了解关心的内容并确定其优先级
供应链安全指南:为方法创建关键组件
供应链安全指南:将方法整合到现有供应商合同中
供应链安全指南:将方法应用于新的供应商关系
供应链安全指南:建立基础,持续改进。
思维导图:ICT供应链安全风险管理指南思维导图

英国的供应链网络安全评估

>>>其他<<<
网络安全十大安全漏洞
网络安全等级保护:做等级保护不知道咋定级?来一份定级指南思维导图
网络安全等级保护:应急响应计划规范思维导图
安全从组织内部人员开始
VMware 发布9.8分高危漏洞补丁
影响2022 年网络安全的五个故事
2023年的4大网络风险以及如何应对
网络安全知识:物流业的网络安全
网络安全知识:什么是AAA(认证、授权和记账)?
美国白宫发布国家网络安全战略
开源代码带来的 10 大安全和运营风险
不能放松警惕的勒索软件攻击
10种防网络钓鱼攻击的方法
5年后的IT职业可能会是什么样子?
累不死的IT加班人:网络安全倦怠可以预防吗?
网络风险评估是什么以及为什么需要
美国关于乌克兰战争计划的秘密文件泄露
五角大楼调查乌克兰绝密文件泄露事件
如何减少制造攻击面的暴露
来自不安全的经济、网络犯罪和内部威胁三重威胁
2023 年OWASP Top 10 API 安全风险
什么是渗透测试,能防止数据泄露吗?
SSH 与 Telnet 有何不同?
管理组织内使用的“未知资产”:影子IT
最新更新:全国网络安全等级测评与检测评估机构目录(9月15日更新)


原文始发于微信公众号(祺印说信安):2023年10佳免费网络威胁情报来源和工具

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年12月6日10:02:34
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   2023年10佳免费网络威胁情报来源和工具http://cn-sec.com/archives/2271205.html

发表评论

匿名网友 填写信息