為了有效應(yīng)對(duì)不斷發(fā)展的網(wǎng)絡(luò)安全新威脅，專業(yè)安全分析師需要在正確的時(shí)間獲取到充分的威脅情報(bào)信息。而在互聯(lián)網(wǎng)上存在很多開(kāi)源情報(bào)（Open-Source Intelligence、OSINT）信息，其中開(kāi)源是指公開(kāi)可用，無(wú)需購(gòu)買即可獲取和分發(fā)的信息；而情報(bào)是指獲取和應(yīng)用知識(shí)的能力。

開(kāi)源威脅情報(bào)通過(guò)綜合收集匯總從明網(wǎng)、深網(wǎng)和暗網(wǎng)中獲取的信息，可以在極低的預(yù)算投入下，給企業(yè)安全團(tuán)隊(duì)和分析師們提供以下方面的威脅信息：

• 威脅分子。
• 惡意威脅分子的動(dòng)機(jī)和能力。
• 攻擊采用的戰(zhàn)術(shù)、技術(shù)和程序（TTP）。
• 目標(biāo)行業(yè)或技術(shù)。
• 漏洞和漏洞利用代碼。
• 攻陷指標(biāo)（IoC）。

在這個(gè)信息大爆炸的時(shí)代，開(kāi)源威脅情報(bào)對(duì)于深度依賴有效信息獲取的安全防護(hù)工作顯得尤為重要。如果被合理利用，這些數(shù)據(jù)將能幫助分析師更準(zhǔn)確了解事件的真相。無(wú)論企業(yè)組織需要什么類型的開(kāi)源威脅情報(bào)，都可以通過(guò)以下9個(gè)來(lái)源，找到一些公開(kāi)可用的資源。

1、CISA官方網(wǎng)站

在美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）的官網(wǎng)上，有專門的網(wǎng)絡(luò)安全資訊和新聞事件的報(bào)道頁(yè)面，其中提供了大量的威脅情報(bào)信息。作為美國(guó)政府網(wǎng)絡(luò)安全信息共享的核心平臺(tái)，CISA官網(wǎng)的許多頁(yè)面上還提供了可擴(kuò)展的附件下載服務(wù)，有效補(bǔ)充了CISA自動(dòng)指標(biāo)共享（AIS）的開(kāi)源威脅情報(bào)內(nèi)容。

通過(guò)查閱CISA官網(wǎng)，安全分析師可以獲取到以下類型的威脅情報(bào)信息：

• 最新的漏洞警報(bào)。
• 威脅分析報(bào)告。
• 網(wǎng)絡(luò)安全公告。
• ICS公告。

傳送門：https://www.cisa.gov/news-events/cybersecurity-advisories?page=0。

2、Red Canary

Red Canary是一個(gè)專業(yè)的網(wǎng)絡(luò)安全博客，提供了關(guān)于新活動(dòng)集群、惡意軟件變種和威脅活動(dòng)的文章。該平臺(tái)會(huì)定期發(fā)布一些網(wǎng)絡(luò)安全研究報(bào)告，包括如下：

• 年度性威脅檢測(cè)報(bào)告。
• 年度性安全趨勢(shì)預(yù)測(cè)和要點(diǎn)報(bào)告。
• 月度性威脅情報(bào)洞察文章。
• 此外，它還提供了深入研究分析各種威脅（包括IoC）的技術(shù)分享文章。

傳送門：https://redcanary.com/topic/threat-intelligence/。

3、SANS互聯(lián)網(wǎng)風(fēng)暴中心

SANS是一家全球性的網(wǎng)絡(luò)安全培訓(xùn)與研究機(jī)構(gòu)，其所屬的互聯(lián)網(wǎng)風(fēng)暴中心團(tuán)隊(duì)，會(huì)定期為安全專業(yè)人員提供各種最新的威脅情報(bào)和工具資源。該互聯(lián)網(wǎng)風(fēng)暴中心由行業(yè)中的志愿者運(yùn)營(yíng)，主要可以提供如下情報(bào)信息：

• Infocon：一個(gè)標(biāo)以色碼的跟蹤器，反映惡意活動(dòng)和可能的連接中斷；
• 播客：關(guān)于各種主題的安全知識(shí)和動(dòng)態(tài)分享，附有額外資源的鏈接；
• 日記：討論各種安全應(yīng)用問(wèn)題和威脅的技術(shù)blog；
• 數(shù)據(jù)：關(guān)于威脅活動(dòng)的檢測(cè)與記錄列表，包括每天所報(bào)告威脅的數(shù)量、目標(biāo)和來(lái)源，顯示當(dāng)前安全攻擊活動(dòng)類型的地圖，以及主要的攻擊源頭IP；
• 工具：附有額外的資源和工具，以在獲取開(kāi)源威脅情報(bào)時(shí)提供幫助；
• 儀表板：顯示當(dāng)前主要安全威脅活動(dòng)的可視化界面。

傳送門：https://isc.sans.edu/。

4、Pulsedive

Pulsedive是一個(gè)較受歡迎的免費(fèi)威脅情報(bào)平臺(tái)，用戶可以在這個(gè)平臺(tái)上去搜索、掃描和完善他們已經(jīng)初步掌握的部分IP、URL、域及其他IoC等信息。

用戶可以基于以下任意組合進(jìn)行關(guān)鍵指標(biāo)搜索：

• 情報(bào)的價(jià)值。
• 情報(bào)的類型。
• 安全風(fēng)險(xiǎn)。
• 上一次看到的時(shí)間戳。
• 情報(bào)出處和來(lái)源。
• 情報(bào)的特性和屬性。

用戶還可以基于以下組合方式搜索威脅信息：

• 威脅的名稱。
• 威脅的別名。
• 威脅的類別。
• 威脅的風(fēng)險(xiǎn)級(jí)別。
• 威脅的來(lái)源和出處。
• 威脅的特性。

傳送門：https://pulsedive.com/。

5、PhishTank

PhishTank由思科公司所屬的Talos威脅情報(bào)團(tuán)隊(duì)負(fù)責(zé)運(yùn)營(yíng)，這是一個(gè)主要針對(duì)網(wǎng)絡(luò)釣魚(yú)方面數(shù)據(jù)和信息的開(kāi)放性聯(lián)合研究項(xiàng)目。安全分析人員可以在該平臺(tái)上執(zhí)行以下操作：

• 提交可疑的釣魚(yú)郵件。
• 對(duì)所提交的內(nèi)容進(jìn)行跟蹤和關(guān)注。
• 驗(yàn)證其他用戶提交的內(nèi)容。

用戶還可以根據(jù)目標(biāo)品牌或ASN搜索網(wǎng)絡(luò)釣魚(yú)檔案，以確定可疑的網(wǎng)絡(luò)釣魚(yú)攻擊是否是真實(shí)有效的，此外，用戶可以按照在線、離線等狀態(tài)進(jìn)行結(jié)果的篩選。由于PhishTank還提供了API和RSS情報(bào)源選項(xiàng)，因此相關(guān)情報(bào)數(shù)據(jù)共享起來(lái)會(huì)非常容易。

傳送門：https://www.phishtank.com/。

6、VirusTotal

VirusTotal是一款專門針對(duì)新型惡意軟件威脅的特征分析工具，可以聚合來(lái)自反病毒工具和在線掃描引擎的數(shù)據(jù)，以便用戶及時(shí)發(fā)現(xiàn)那些被主流反病毒工具遺漏的惡意軟件。VirusTotal經(jīng)常更新惡意軟件特征，以提供更準(zhǔn)確的特征分析數(shù)據(jù)。

通過(guò)VirusTotal工具，用戶可以全面分析可疑軟件的文件、域、IP、URL等信息。一旦當(dāng)反病毒分析引擎確定提交的文件為惡意文件時(shí)，VirusTotal會(huì)及時(shí)通知用戶，并顯示檢測(cè)標(biāo)簽。

目前，VirusTotal可以給安全分析師提供以下威脅情報(bào)信息和工具：

• API腳本和客戶端庫(kù)。
• YARA規(guī)則。
• 桌面應(yīng)用程序。
• 瀏覽器擴(kuò)展。
• 移動(dòng)應(yīng)用程序。

傳送門：https://www.virustotal.com/gui/home/search。

7、 torBot

torBot是一種可以自動(dòng)抓取和識(shí)別匿名網(wǎng)絡(luò)Tor上不同服務(wù)的工具，因此可以有效幫助安全研究人員應(yīng)對(duì)Tor網(wǎng)絡(luò)的復(fù)雜性和匿名性。據(jù)OWASP網(wǎng)站聲稱，最新版的torBot工具目前已實(shí)現(xiàn)了以下情報(bào)獲取和分析功能：

• Onion抓取器。
• 從網(wǎng)站獲取電子郵件。
• 將抓取信息保存到JSON文件。
• 抓取自定義域。
• 檢查網(wǎng)絡(luò)連接是否正常。
• 內(nèi)置情報(bào)信息自動(dòng)更新器。

傳送門：https://link.springer.com/chapter/10.1007/978-981-15-0146-3_19。

8、IntelligenceX  Telegram搜索引擎

IntelligenceX創(chuàng)辦于2018年，其獨(dú)立開(kāi)發(fā)和運(yùn)營(yíng)維護(hù)了一套Telegram搜索引擎和信息數(shù)據(jù)庫(kù)。作為一種威脅情報(bào)搜索引擎，IntelligenceX  Telegram搜索引擎的特點(diǎn)是可以支持特定的搜索詞，比如電子郵件地址、域、URL、IP、CIDR（無(wú)類別域間路由）、BTC地址和IPFS哈希等。這讓IntelligenceX可以收集到廣泛的開(kāi)源威脅情報(bào)信息，其來(lái)源全面覆蓋了深網(wǎng)、暗網(wǎng)上的共享數(shù)據(jù)、whois數(shù)據(jù)以及已經(jīng)泄露的數(shù)據(jù)信息等。

IntelligenceX  Telegram搜索引擎通過(guò)智能化的搜索模式，可以給分析人員提供來(lái)自Telegram的以下信息：頻道、用戶、用戶組以及機(jī)器人程序等。

傳送門：https://intelx.io/tools?tab=telegram。

9、微軟

微軟公司在提供高級(jí)威脅情報(bào)方面一直處于非常領(lǐng)先的地位，一是因?yàn)橥{分子會(huì)將微軟公司的軟件產(chǎn)品和服務(wù)作為主要的攻擊目標(biāo)，二是因?yàn)槲④浽诰W(wǎng)絡(luò)安全威脅研究方面有非常深厚的積累和資源。目前，在微軟定期更新的威脅情報(bào)社群中，包含有大量來(lái)自該公司安全專家團(tuán)隊(duì)的安全研究成果和最新的威脅活動(dòng)情報(bào)信息。

微軟情報(bào)社區(qū)涉及的情報(bào)主題和類型主要包括：

• 對(duì)主流威脅團(tuán)伙及其當(dāng)前活動(dòng)的深入分析。
• 新的網(wǎng)絡(luò)釣魚(yú)攻擊類型研究和展示。
• 基于不同類型環(huán)境的威脅特點(diǎn)分析。
• 網(wǎng)絡(luò)攻擊發(fā)展趨勢(shì)和洞察報(bào)告。

傳送門：https://www.microsoft.com/en-us/security/blog/microsoft-security-intelligence/。