鉴于不断变化的环境,跟上网络安全发展已成为一项挑战。这包括新发现的漏洞,新的攻击方法,以及新兴网络攻击者使用的战术,技术和程序(TTP)。因此,获取资源和工具来协助这些耗时的任务并获得可操作的信息变得越来越困难。
对于安全专业人员来说,拥有先进的知识是一个至关重要的有利因素。在考虑高级版本之前,可能有必要尝试免费的威胁情报来源,这些来源提供经过验证的及时信息。
许多CTI(网络威胁情报)工具可以证明在情报周期的不同阶段是有用的。虽然这些工具不可能是一体化的解决方案,但除了促进自动化数据收集、存储、共享和分析之外,与SR CTI解决方案一起可以保存许多中小型公司无法负担的大量财务投资。
为了解决这个问题,我们编制了一份清单,列出了我们认为最有助于将CTI纳入安全运营的10大最佳工具和资源。这些选项至少提供了一些免费的功能。
1-AlienVault Open Threat Exchange
AlienVault Open Threat Exchange(OTX)提供对全球威胁研究人员和安全专家社区的开放访问。它提供社区生成的威胁数据,促进协作研究,并使用来自任何来源的威胁数据自动更新您的安全基础架构。
该平台作为原始的众包威胁情报语料库,仍然是最好的之一,每天处理超过1900万个新的妥协指标(IoC)记录。该服务可免费使用,并提供各种格式的威胁情报,包括STIX,OpenIoC,MAEC,JSON和CSV格式。每个进料样品被称为“脉冲”。
您可以通过接收某些预先过滤的数据来灵活地定义您的特定要求,并且还可以选择接收针对设备类型(如端点)量身定制的提要。如果相关数据福尔斯提要的参数范围内,则此附加数据将链接到已交付的记录中。
2-CTI4SOC
SOCRadar它拥有12个功能模块,是SOC团队的独特助手。
与传统的威胁情报平台不同,CTI4SOC由大数据提供支持,并以有组织和上下文的方式呈现分析师可以使用各种工具获得的所有数据。
有了CTI4SOC,SOC团队不需要浏览各种信息源来寻找真实有用的信息。该平台通过分析师的眼睛选择和过滤信息,为您提供正确的假设来开始研究。
该平台不仅汇编有用的信息,而且还将其呈现在可操作的环境中。它提供一键访问SOCRadar安全分析师和其他可信来源发布的威胁报告。
在当今不断变化的威胁环境中,一些威胁行为者可能只针对特定部门,并具有自己的独特特征。SOC分析师对这些对手的战术、技术、程序(TTP)、动机和行为模式的理解,通过帮助他们形成一个充分知情的观点,直接有助于调查过程。使用CTI4SOC,您可以将活跃的威胁参与者添加到监视列表中,以随时了解他们的活动。
SOCRadarThreat Hunting模块是SOC分析师在调查阶段之后最有价值的工具。从那里,安全人员可以通过搜索关键信息来扩展他们的工作,例如命令和控制(C2)中心、恶意软件、IP地址和域。CTI4SOC是一个API就绪的解决方案,允许所有这些可操作的数据在可能的攻击情况下随时可用。
3-DOCGuard
DOCGuard是一种恶意软件分析服务,与安全电子邮件网关(SEG)和SOAR解决方案集成。
该服务使用一种称为结构分析的新型静态分析。该方法将恶意软件分解为多个片段,并基于文件结构组件将它们传输到核心引擎。通过采用这种方法,DOCGuard可以明确地检测恶意软件,提取无F/P(无假阳性)的妥协指标(IoC),并以序列编码和文档加密的形式识别混淆和加密。
目前,支持的文件类型包括Microsoft Office文件,PDF,HTML,HTM,LNK,JScript,ISO,IMG,VHD,VCF和存档(.zip,.rar,.7z等)。结构分析的详细结果在GUI中的聚合视图中呈现,并且可以作为JSON报告下载。这些发现也可以通过API收集。
DOCGuard的突破性分析引擎使其能够在几秒钟内分析文件,并检测所有已知的攻击方法,而不会遗漏任何攻击方法。此外,它执行此分析,系统资源使用率低得惊人。DOCGuard有助于从各种来源(如SIEM和SOAR解决方案、PhishMe、Cofense等)自动验证警报。该服务提供快速的样本分析,并使用其API接口在几分钟内与您的网络安全生态系统无缝集成。您可以通过部署Docker容器并将其集成到您的网络安全基础设施中来轻松安装DOCGuard。
VirusTotal最近宣布,与DOCGuard集成的文档分析合作将允许社区对扫描文档采取另一种观点。
4-Shodan
GreyNoise为网络威胁情报(CTI)分析师和威胁猎人提供可见性和深层背景。它收集和分析互联网上的浏览活动数据,有助于减少分析威胁情报信息时的误报。GreyNoise收集有关Shodan等良性扫描程序以及SSH和Telnet蠕虫等恶意行为者的信息。此外,它还识别SOC分析人员可能遗漏的噪声数据。
GreyNoise可识别安全事件中的互联网浏览器和一般业务活动,从而实现更快、更安全的决策。无论您是使用它的查看器、API还是将GreyNoise数据集成到安全工具中,您都可以在安全日志中找到重要内容并重新开始工作。
GreyNoise集成可轻松丰富威胁情报平台(TIP)中的数据,并有助于消除CTI团队在获取不同情报来源时可能遇到的干扰和误报。威胁猎人可以让GreyNoise发现战术、技术和程序(TTP)中的异常模式,从而发现敌人的活动和基础设施。他们还可以使用灰噪声分析工具深入研究妥协指标(IoC),以加快调查时间轴。
5-Intezer
Intezer是一个旨在分析和调查警报的平台,就像经验丰富的安全分析师和逆向工程师一样。
多年来,Intezer对其专有代码分析引擎的功能进行了微调和扩展,以自动化SOC团队日益耗时或重复的任务。它超越了自动化剧本、沙箱或警报丰富功能,可以采取行动、做出明智的决策,并为您的团队提供事件响应建议。
Intezer的自主SOC平台可为您的团队全天候优先处理警报并调查威胁。通过利用自动化分析、智能建议和自动化补救,Intezer可帮助您的团队避免在误报、重复性分析任务以及处理过多高级别和耗时的警报上浪费时间。
Intezer Analyze是一个全功能的恶意软件分析平台,可以对任何类型的文件执行静态,动态和遗传代码分析。它有助于事件响应和SOC团队简化任何恶意软件相关事件的调查。用户可以跟踪恶意软件家族,提取IoC/MITRE TTP,并下载YARA签名。还有一个社区版本可供免费使用。
借助Intezer Transformations,恶意软件分析师和威胁研究人员可以快速获得有关任何可疑文件或端点的答案,在几秒钟内对可疑文件和机器进行分类,加快响应时间,并将多个恶意软件分析工具合并为一个。
Intezer能够实现及时、深入的报告,并被认为是一个“必备”,拥有一个专门的实例来上传潜在的敏感数据,并自动优先考虑和调查每个警报。该平台只提供已确认的严重威胁。轻松连接您的警报系统,在不改变日常运营的情况下实现即时价值。
6-MISP威胁共享
MISP以前称为恶意软件信息共享平台,是一个开源和免费的威胁情报平台,具有共享威胁信息的开放标准。它由CIRCL创建,提供收集、存储、分发和共享与网络安全事件和恶意软件分析相关的网络安全威胁的功能。nbsp;你好
MISP允许您将数据库中的危害指标(IoC)与恶意软件、攻击或活动的属性和指标相关联。它由SOC分析师、安全和ICT专业人员以及恶意软件逆向工程师设计,以支持他们的日常操作并有效地共享结构化信息。
随着MISP项目的扩展,它开始不仅涵盖恶意软件指标,还涵盖欺诈和漏洞信息。现在的名称是MISP,它包括核心MISP软件和无数的工具(PyMISP)和格式(核心格式,MISP分类法,警告列表)来支持MISP。MISP现在是一个由志愿者团队领导的社区项目。
MISP的目的是促进安全社区内外的结构化信息共享。MISP提供支持信息交换以及网络入侵检测系统(NIDS)、LIDS和日志分析工具SIEM的信息消费的功能。
MISP、恶意软件信息共享平台和威胁共享的主要功能包括:
- 高效的IoC和指标数据库,允许存储有关恶意软件样本、事件、攻击者和情报的技术和非技术信息。
- 自动关联以查找恶意软件、攻击活动或分析中的属性和指标之间的关系。
- 一种灵活的数据模型,可以表达复杂对象并将其链接在一起,以表达威胁情报、事件或链接项。
- 内置共享功能,可使用不同的分发模型促进数据共享。
- 直观的用户界面,供最终用户创建、更新事件和属性/指标并进行协作。
- 一个灵活的API,可将MISP与您自己的解决方案集成。MISP附带PyMISP,这是一个灵活的Python库,可以通过REST API访问MISP平台,允许您获取事件,添加或更新事件/属性,添加或更新恶意软件样本或搜索属性。nbsp;你好
- 可调整的分类法,根据您的分类方案或现有分类法对事件进行分类和标记。
- 被称为MISP星系的情报词典,包括现有的威胁行为者、恶意软件、RAT、勒索软件或MITRE ATT CK,可以轻松地与MISP中的事件和属性相关联。
7-OpenCTI -开放式网络威胁情报平台
OpenCTI项目是一个面向所有级别的开放式网络威胁情报的统一平台,是一个旨在促进信息处理和共享的工具,用于网络威胁情报目的。它是计算机应急响应小组(CERT-EU)和法国国家网络安全局(ANSSI)合作的产物。
OpenCTI是一个开源平台,使组织能够管理其网络威胁情报信息(CTI)和可观察信息。它的创建是为了存储,组织和可视化有关网络威胁的技术和非技术信息。
使用基于STIX2标准的信息模式进行数据结构化。它被设计为一个现代的Web应用程序,包括一个GraphQL API和一个面向用户体验(UX)的前端。它还可以与其他工具和应用程序集成,如MISP,TheHive,MITRE ATT CK等。
该威胁情报平台包含的一些关键要素如下:
- OpenCTI通过基于STIX 2标准的统一数据模型提供关联的运营和战略情报信息。nbsp;你好
- 自动化工作流程:该引擎自动得出逻辑结论,以提供见解和实时连接。
- 与信息技术生态系统集成:它的开源设计可以与任何本地或第三方系统轻松集成。nbsp;你好
- 智能数据可视化允许分析师使用各种显示选项直观地表示实体及其连接,包括嵌套关系。& nbsp;你好
- 分析工具:每一条信息和指标都与其主要来源相关联,以便于分析、评分和纠正。
OpenCTI是一个框架,包括Python或Go API接口和强大的Web接口。
8-PhishTank
PhishTank是一个免费的社区网站和协作平台,任何人都可以提交,验证,跟踪和共享网络钓鱼数据。它提供了一个全面的验证网络钓鱼URL流,可用于保护组织免受网络钓鱼攻击。PhishTank作为网络钓鱼验证系统运行,使用户能够提交或评级可疑网站,并提供开放的API。
该平台提供了一个来源于人工报告的可疑网络钓鱼URL列表,并且在可用时还包含外部源。虽然PhishTank是一项免费服务,但有时可能需要注册API密钥。
9-普尔塞迪夫
Pulsedive是一个免费的社区威胁情报平台,它利用开源源,丰富了妥协指标(IoC),并通过风险评分算法来运行它们,以提高数据的质量。它允许用户提交,搜索,扫描和丰富IP,URL和域。此外,它还使用户能够关联和更新从威胁情报源导出的IoC,并列出风险因素,解释为什么某些IoC被认为具有更高的风险。该平台提供威胁和威胁活动的高级视图。
用户可以根据以下条件的任意组合搜索指标:值、类型、风险、上次看到的时间戳、威胁源、属性和属性。此外,他们还能够根据以下标准的任意组合搜索威胁:威胁名称、别名、类别、风险、上次看到的时间戳、源和威胁属性。
10-VirusTotal
VirusTotal使用70多种防病毒扫描程序和URL/域阻止服务检查项目,沿着从分析内容中提取信号的众多工具。任何用户都可以使用浏览器从计算机中选择文件并将其发送到VirusTotal。该平台提供了多种文件提交方法,包括主要的公共Web界面,桌面安装程序,浏览器扩展和编程API。Web界面在公共提交方法中具有最高的筛选优先级。可以使用基于HTTP的公共API以任何编程语言提交。同样,URL可以通过各种方式提交,包括VirusTotal网页、浏览器扩展和API。
当提交文件或URL时,将与发件人以及使用结果来改进其自身安全状况的审查合作伙伴共享基础结果。因此,通过向VirusTotal提交文件、URL和域,您将为提高全球安全级别做出贡献。
这种基本分析也是许多其他功能的基础,包括允许用户对文件和URL进行评论并相互共享笔记的网络。VirusTotal在检测恶意内容和识别误报方面非常有用。此外,当防病毒解决方案将提交的文件识别为恶意文件并显示检测标签时,VirusTotal会通知用户。此外,大多数URL扫描器将区分网站类型,包括恶意软件、网络钓鱼和可疑网站。
暂无评论内容