鑒于不斷變化的形勢，跟上網(wǎng)絡(luò)安全的發(fā)展已成為一項挑戰(zhàn)。這包括新發(fā)現(xiàn)的漏洞、新的攻擊方法以及新興網(wǎng)絡(luò)攻擊者使用的策略、技術(shù)和程序 (TTP)。因此，獲取資源和工具來協(xié)助完成這些耗時的任務(wù)并獲取可操作的信息變得越來越困難。

對于安全專業(yè)人員來說，擁有先進的知識是至關(guān)重要的促成因素。在考慮高級版本之前，可能有必要嘗試使用可提供經(jīng)過驗證的及時信息的免費威脅情報源。

許多 CTI（網(wǎng)絡(luò)威脅情報）工具在情報周期的不同階段都證明是有用的。雖然這些工具不能成為一體化解決方案，但除了促進自動化數(shù)據(jù)收集、存儲、共享和分析之外，與 SR CTI 解決方案一起可以節(jié)省許多中小型企業(yè)無法承受的大量財務(wù)投資。

為了解決這個問題，我們編制了一份我們認(rèn)為對于將 CTI 納入安全運營最有幫助的10 個最佳工具和來源的列表。這些選項至少免費提供部分功能。

1- AlienVault 開放威脅交換

AlienVault Open Threat Exchange (OTX) 提供對全球威脅研究人員和安全專家社區(qū)的開放訪問。它提供社區(qū)生成的威脅數(shù)據(jù)，促進協(xié)作研究，并自動執(zhí)行使用任何來源的威脅數(shù)據(jù)更新安全基礎(chǔ)設(shè)施的過程。

該平臺是最初的眾包威脅情報庫，并且仍然是最好的平臺之一，每天處理超過1900 萬條新的妥協(xié)指標(biāo) (IoC) 記錄。該服務(wù)免費使用，并提供各種格式的威脅情報，包括 STIX、OpenIoC、MAEC、JSON 和 CSV 格式。每個飼料樣本被稱為“脈沖”。

您可以通過接收某些預(yù)先過濾的數(shù)據(jù)來靈活地定義您的特定要求，并且還可以選擇接收針對設(shè)備類型（例如端點）定制的源。如果相關(guān)數(shù)據(jù)超出您的 Feed 參數(shù)范圍，則此附加數(shù)據(jù)將鏈接到所交付的記錄中。

AlienVault 組（威脅參與者）頁面

2-CTI4SOC

SOCRadar 的全新獨立 CTI 解決方案CTI4SOC是下一代威脅情報平臺，旨在促進 SOC 分析師的工作。它擁有 12 個功能模塊，是 SOC 團隊的得力助手。

與傳統(tǒng)威脅情報平臺不同，CTI4SOC由大數(shù)據(jù)提供支持，并以有組織和上下文的方式呈現(xiàn)分析人員可以使用各種工具獲取的所有數(shù)據(jù)。

借助 CTI4SOC，SOC 團隊無需瀏覽各種信息源來尋找真實且有用的信息。該平臺通過分析師的眼睛選擇和過濾信息，為您提供正確的假設(shè)來開始您的研究。

該平臺不僅編譯有用的信息，而且將其呈現(xiàn)在可操作的環(huán)境中。它提供對 SORadar 安全分析師和其他可信來源發(fā)布的威脅報告的一鍵訪問。

在當(dāng)今不斷變化的威脅格局中，一些威脅行為者可能只針對特定部門并具有自己的顯著特征。SOC 分析師對這些對手的戰(zhàn)術(shù)、技術(shù)、程序 (TTP)、動機和行為模式的理解可以幫助他們形成明智的觀點，從而直接有助于調(diào)查過程。借助 CTI4SOC，您可以將活躍的威脅參與者添加到監(jiān)視列表中，以隨時掌握他們的活動。

SOCRadar威脅搜尋模塊是 SOC 分析師在調(diào)查階段后最有價值的工具。從那里，安全人員可以通過搜索關(guān)鍵信息來擴展他們的工作，例如命令和控制 (C2) 中心、惡意軟件、IP 地址和域。CTI4SOC 是一個 API 就緒解決方案，可在發(fā)生可能的攻擊時隨時提供所有這些可操作的數(shù)據(jù)。

SORadar 網(wǎng)絡(luò)威脅情報/威脅搜尋模塊

3-文檔衛(wèi)士

DOCGuard是一項惡意軟件分析服務(wù)，與安全電子郵件網(wǎng)關(guān) (SEG) 和 SOAR 解決方案集成。

該服務(wù)利用一種稱為結(jié)構(gòu)分析的新型靜態(tài)分析。該方法將惡意軟件分解成碎片，并將它們轉(zhuǎn)移到基于文件結(jié)構(gòu)組件的核心引擎。通過采用這種方法，DOCGuard 可以明確地檢測惡意軟件，提取無 F/P（無誤報）的妥協(xié)指標(biāo) (IoC)，并以序列編碼和文檔加密的形式識別混淆和加密。

目前，支持的文件類型包括 Microsoft Office 文件、PDF、HTML、HTM、LNK、JScript、ISO、IMG、VHD、VCF 和存檔（.zip、.rar、.7z 等）。結(jié)構(gòu)分析的詳細(xì)結(jié)果顯示在 GUI 中的聚合視圖中，并且可以作為 JSON 報告下載。這些發(fā)現(xiàn)也可以通過 API 收集。

DOCGuard 的突破性分析引擎使其能夠在幾秒鐘內(nèi)分析文件并檢測所有已知的攻擊方法，而不會遺漏任何攻擊方法。此外，它執(zhí)行此分析時系統(tǒng)資源使用率低得驚人。DOCGuard 有助于實現(xiàn)來自各種來源的警報驗證的自動化，例如 SIEM 和 SOAR 解決方案、PhishMe、Cofense 等。該服務(wù)提供快速樣本分析，并使用其 API 接口在幾分鐘內(nèi)與您的網(wǎng)絡(luò)安全生態(tài)系統(tǒng)無縫集成。您可以通過部署 Docker 容器并將其集成到您的網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施中來輕松安裝 DOCGuard。

DOCGuard 免費文件分析頁面

VirusTotal 最近宣布，與 DOCGuard 集成的文檔分析合作將使社區(qū)能夠以另一種方式看待掃描文檔。

VirusTotal 樣本文檔分析

4- GREYNOISE

GreyNoise為網(wǎng)絡(luò)威脅情報 (CTI) 分析師和威脅追蹤人員提供可見性和深層背景。它收集并分析整個互聯(lián)網(wǎng)上的瀏覽活動數(shù)據(jù)，有助于在分析威脅情報信息時減少誤報。GreyNoise 收集有關(guān)Shodan等良性掃描程序以及 SSH 和 Telnet 蠕蟲等惡意行為者的信息。此外，它還可以識別SOC 分析師可能錯過的噪聲數(shù)據(jù)。

GreyNoise 可識別安全事件中的互聯(lián)網(wǎng)瀏覽器和一般業(yè)務(wù)活動，從而實現(xiàn)更快、更安全的決策。無論您使用其查看器、API 還是將 GreyNoise 數(shù)據(jù)集成到您的安全工具中，您都可以在安全日志中找到重要內(nèi)容并繼續(xù)工作。

GreyNoise 集成可輕松豐富威脅情報平臺 (TIP) 中的數(shù)據(jù)，并有助于消除 CTI 團隊在獲取不同情報源時容易遇到的噪音和誤報。威脅追蹤者可以讓 GreyNoise 發(fā)現(xiàn)戰(zhàn)術(shù)、技術(shù)和程序 (TTP) 中的異常模式，從而發(fā)現(xiàn)敵人的活動和基礎(chǔ)設(shè)施。他們還可以使用灰噪聲分析工具深入研究妥協(xié)指標(biāo) (IoC)，以加快調(diào)查進度。

GreyNoise 標(biāo)簽趨勢頁面

5- INTEZER

Intezer是一個旨在像經(jīng)驗豐富的安全分析師和逆向工程師一樣分析和調(diào)查警報的平臺。

多年來，Intezer 不斷調(diào)整和擴展其專有代碼分析引擎的功能，為 SOC 團隊自動執(zhí)行日益耗時或重復(fù)的任務(wù)。它超越了自動化劇本、沙盒或警報豐富，可以采取行動、做出明智的決策，并為您的團隊提供事件響應(yīng)建議。

Intezer 的自我導(dǎo)向 SOC 平臺可以為您的團隊確定警報的優(yōu)先級并全天候 (24/7) 調(diào)查威脅。通過利用自動分析、智能建議和自動修復(fù)，Intezer 可以幫助您的團隊避免將時間浪費在誤報、重復(fù)性分析任務(wù)以及處理過多的高級且耗時的警報上。

Intezer Analytics是一款一體化惡意軟件分析平臺，可以對任何類型的文件執(zhí)行靜態(tài)、動態(tài)和遺傳代碼分析。它可以幫助事件響應(yīng)和 SOC 團隊簡化對任何惡意軟件相關(guān)事件的調(diào)查。用戶可以跟蹤惡意軟件家族、提取 IoC/MITRE TTP 并下載 YARA 簽名。還有一個社區(qū)版本可供免費使用。

借助 Intezer Transformations，惡意軟件分析師和威脅研究人員可以快速獲得有關(guān)任何可疑文件或端點的答案，在幾秒鐘內(nèi)對可疑文件和機器進行分類，加快響應(yīng)時間，并將多種惡意軟件分析工具合并為一個。

Intezer 可實現(xiàn)及時、深入的報告，并被認(rèn)為是“必備”，擁有專用實例來上傳潛在敏感數(shù)據(jù)并自動確定優(yōu)先級并調(diào)查每個警報。該平臺僅提供已確認(rèn)的嚴(yán)重威脅。輕松連接您的警報系統(tǒng)，在不改變?nèi)粘＿\營的情況下實現(xiàn)即時價值。

Intezer 分析頁面

6-MISP 威脅共享

MISP，以前稱為惡意軟件信息共享平臺，是一個開源、免費的威脅情報平臺，具有共享威脅信息的開放標(biāo)準(zhǔn)。它由CIRCL創(chuàng)建，提供收集、存儲、分發(fā)和共享與網(wǎng)絡(luò)安全事件和惡意軟件分析相關(guān)的網(wǎng)絡(luò)安全威脅的功能。 

MISP 允許您將數(shù)據(jù)庫中的妥協(xié)指標(biāo) (IoC) 與惡意軟件、攻擊或活動的屬性和指標(biāo)相關(guān)聯(lián)。它由 SOC 分析師、安全和 ICT 專業(yè)人員以及惡意軟件逆向工程師設(shè)計，旨在支持他們的日常運營并有效共享結(jié)構(gòu)化信息。

隨著MISP 項目的擴展，它開始不僅涵蓋惡意軟件指標(biāo)，還涵蓋欺詐和漏洞信息?，F(xiàn)在的名稱是 MISP，其中包括核心 MISP 軟件和大量支持 MISP 的工具 (PyMISP) 和格式（核心格式、MISP 分類法、警告列表）。MISP 現(xiàn)在是一個由志愿者團隊領(lǐng)導(dǎo)的社區(qū)項目。

MISP 的目的是促進安全社區(qū)內(nèi)外的結(jié)構(gòu)化信息共享。MISP 提供支持信息交換以及網(wǎng)絡(luò)入侵檢測系統(tǒng) (NIDS)、LIDS 和日志分析工具 SIEM 信息消耗的功能。

MISP、惡意軟件信息共享平臺和威脅共享的主要功能包括：

• 高效的 IoC 和指標(biāo)數(shù)據(jù)庫，允許存儲有關(guān)惡意軟件樣本、事件、攻擊者和情報的技術(shù)和非技術(shù)信息。
• 自動關(guān)聯(lián)以查找惡意軟件、攻擊活動或分析的屬性和指標(biāo)之間的關(guān)系。
• 一種靈活的數(shù)據(jù)模型，可以表達復(fù)雜的對象并將其鏈接在一起以表達威脅情報、事件或鏈接的項目。
• 內(nèi)置共享功能，方便使用不同的分發(fā)模型共享數(shù)據(jù)。
• 直觀的用戶界面，供最終用戶創(chuàng)建、更新和協(xié)作處理事件和屬性/指標(biāo)。
• 靈活的 API，可將 MISP 與您自己的解決方案集成。MISP 附帶 PyMISP，這是一個靈活的 Python 庫，可通過其 REST API 訪問 MISP 平臺，允許您獲取事件、添加或更新事件/屬性、添加或更新惡意軟件樣本或搜索屬性。 
• 可調(diào)整的分類法，可根據(jù)您的分類方案或現(xiàn)有分類法對事件進行分類和標(biāo)記。
• 稱為 MISP 星系的情報字典，其中包括現(xiàn)有的威脅行為者、惡意軟件、RAT、勒索軟件或 MITRE ATT&CK，可以輕松與 MISP 中的事件和屬性關(guān)聯(lián)。

MISP 事件查看模塊

7- OpenCTI – 開放網(wǎng)絡(luò)威脅情報平臺 

OpenCTI項目是一個適用于所有級別的開放網(wǎng)絡(luò)威脅情報的統(tǒng)一平臺，是一個旨在促進網(wǎng)絡(luò)威脅情報信息處理和共享的工具。它是計算機應(yīng)急響應(yīng)小組 (CERT-EU) 和法國國家網(wǎng)絡(luò)安全局 (ANSSI) 合作的產(chǎn)物。

OpenCTI 是一個開源平臺，使組織能夠管理其網(wǎng)絡(luò)威脅情報信息 (CTI) 和可觀察數(shù)據(jù)。它的創(chuàng)建是為了存儲、組織和可視化有關(guān)網(wǎng)絡(luò)威脅的技術(shù)和非技術(shù)信息。

數(shù)據(jù)結(jié)構(gòu)化是使用基于STIX2 標(biāo)準(zhǔn)的信息模式來執(zhí)行的。它被設(shè)計為一個現(xiàn)代 Web 應(yīng)用程序，包括 GraphQL API 和面向用戶體驗 (UX) 的前端。它還可以與其他工具和應(yīng)用程序集成，例如 MISP、TheHive、MITRE ATT&CK等。

該威脅情報平臺包含的一些關(guān)鍵要素如下：

•  OpenCTI 通過基于 STIX2 標(biāo)準(zhǔn)的統(tǒng)一數(shù)據(jù)模型提供鏈接的運營和戰(zhàn)略情報信息。 
• 自動化工作流程：引擎自動得出邏輯結(jié)論，以提供見解和實時連接。
• 與信息技術(shù)生態(tài)系統(tǒng)集成：其開源設(shè)計可以與任何本機或第三方系統(tǒng)簡單集成。 
• 智能數(shù)據(jù)可視化允許分析師使用各種顯示選項直觀地表示實體及其連接，包括嵌套關(guān)系。 
• 分析工具：每條信息和指標(biāo)都與其來源相關(guān)聯(lián)，以方便分析、評分和糾正。

OpenCTI是一個包含 Python 或 Go API 接口以及強大的 Web 界面的框架。

8-網(wǎng)絡(luò)釣魚坦克

PhishTank是一個免費的社區(qū)網(wǎng)站和協(xié)作平臺，任何人都可以在其中提交、驗證、跟蹤和共享網(wǎng)絡(luò)釣魚數(shù)據(jù)。它提供了經(jīng)過驗證的網(wǎng)絡(luò)釣魚 URL 的全面流，可用于保護組織免受網(wǎng)絡(luò)釣魚攻擊。PhishTank 作為網(wǎng)絡(luò)釣魚驗證系統(tǒng)運行，使用戶能夠提交或評級可疑網(wǎng)站并提供開放的 API。

該平臺提供了來自人工報告的可疑網(wǎng)絡(luò)釣魚 URL 列表，并且還包含可用的外部源。雖然 PhishTank 是一項免費服務(wù)，但有時可能需要注冊 API 密鑰。

PhishTank 統(tǒng)計頁面

9-PULSEDIVE

Pulsedive是一個免費的社區(qū)威脅情報平臺，它利用開源源，豐富妥協(xié)指標(biāo) (IoC)，并通過風(fēng)險評分算法運行它們以提高數(shù)據(jù)質(zhì)量。它允許用戶提交、搜索、掃描和豐富 IP、URL 和域。此外，它使用戶能夠關(guān)聯(lián)和更新來自威脅情報源的 IoC，并列出風(fēng)險因素，解釋為什么某些 IoC 被認(rèn)為風(fēng)險較高。該平臺提供威脅和威脅活動的高級視圖。

用戶可以根據(jù)以下條件的任意組合搜索指標(biāo)：值、類型、風(fēng)險、上次查看時間戳、威脅源、屬性和屬性。此外，他們還能夠根據(jù)以下條件的任意組合搜索威脅：威脅名稱、別名、類別、風(fēng)險、上次查看時間戳、源和威脅屬性。

脈沖潛水分析頁面

10-VIRUSTOTAL

VirusTotal使用70 多個防病毒掃描程序和 URL/域阻止服務(wù)以及眾多從分析內(nèi)容中提取信號的工具來檢查項目。任何用戶都可以使用瀏覽器從計算機中選擇文件并將其發(fā)送到 VirusTotal。該平臺提供多種文件提交方法，包括主要公共 Web 界面、桌面安裝程序、瀏覽器擴展和編程 API。在公眾提交方式中，網(wǎng)絡(luò)界面具有最高的篩選優(yōu)先權(quán)?？梢允褂没?HTTP 的公共 API 以任何編程語言進行提交。同樣，可以通過多種方式提交 URL，包括 VirusTotal 網(wǎng)頁、瀏覽器擴展和 API。

提交文件或 URL 后，基礎(chǔ)結(jié)果將與發(fā)送者以及使用結(jié)果來改善自身安全狀況的審核合作伙伴共享。因此，通過向 VirusTotal 提交文件、URL、域，您可以為提高全局安全級別做出貢獻。

這種基本分析還可以作為許多其他功能的基礎(chǔ)，包括允許用戶評論文件和 URL 以及相互共享筆記的網(wǎng)絡(luò)。事實證明，VirusTotal 在檢測惡意內(nèi)容和識別誤報方面非常有用。此外，當(dāng)防病毒解決方案將提交的文件識別為惡意文件并顯示檢測標(biāo)簽時，VirusTotal會通知用戶。此外，大多數(shù) URL 掃描器都會區(qū)分網(wǎng)站類型，包括惡意軟件、網(wǎng)絡(luò)釣魚和可疑網(wǎng)站。

VirusTotal 公共頁面