6大主流的威脅情報源及應用特點分析
責編:gltian |2023-08-14 16:14:58威脅情報源(Threat intelligence feed)是一種提供關于最新網絡威脅和攻擊信息的數據流,其中涉及漏洞、惡意軟件、網絡釣魚以及其他惡意攻擊活動。這些數據由安全研究人員、行業監管機構以及專業安全廠商所共同創建,通常采用STIX/TAXII等標準格式,可以與EDR、SIEM、防火墻、威脅情報平臺和其他網絡安全工具有效集成,從而在極低的預算投入下,為企業安全團隊和分析師們提供實時威脅信息,以監控威脅指標(IoCs)、惡意域和其他網絡威脅。
在當今的互聯網時代,網絡攻擊事件頻繁發生,網絡威脅也日益增多。在此背景下,如何將威脅情報深度應用到企業的安全防護體系中就顯得尤為重要。如果被合理利用,各種威脅情報數據將能幫助分析師更準確了解安全事件的真相。威脅情報的來源范圍十分廣泛,以下是網絡安全行業中使用的常見情報類型:
01 威脅指標 (IOC) 源
包含與威脅行為者或惡意活動相關的特定工件,例如IP地址、域名、文件哈希和電子郵件地址。它提供了觀察到的最新IOC列表,安全產品可以使用它來檢測和阻止攻擊。
02 戰術威脅情報源
提供有關特定威脅及其戰術、技術和程序 (TTP) 的信息。它可以包括有關所使用的惡意軟件、攻擊媒介以及威脅行為者所使用的基礎設施的詳細信息。
03 戰略威脅情報源
提供了更廣泛的威脅態勢視圖,它包括對威脅行為者的動機、目標和策略的洞察。此外,它還可用于告知安全策略和政策,并在潛在威脅變成攻擊之前識別它們。
04 運營威脅情報源
提供有關主動針對組織的威脅的實時信息,它可用于確定安全警報和響應的優先級,并協調事件響應活動。
05 開源情報 (OSINT) 源
提供有關在社交媒體、新聞文章和論壇等公開來源中觀察到的威脅的信息。它可用于識別新出現的威脅并跟蹤威脅行為者的活動。
無論企業組織需要什么類型的威脅情報信息,都可以通過以下6個來源,找到一些公開可用的資源。
1.?AlienVault Open Threat Exchange
由線上社區驅動的威脅情報源
美國AT&T公司的AlienVault Open Threat Exchange(OTX)威脅情報源是目前全球最大、最全面的威脅情報社區之一,有來自140個國家的10萬多名參與者,每天提供超過1900萬個威脅指標。OTX是一個完全開放的威脅情報社區,將威脅研究和安全專業人員共享的專業知識免費開放給所有用戶。
除了讓所有類型的用戶都可以使用它的信息流外,OTX在數據訪問的便捷性和閱讀感受方面也做得很好。圖形化閱讀界面可以清楚地說明了威脅指標(IoC)的數量和類型,并提供報告來快速總結威脅及其影響。此外,OTX還共享有關威脅名稱、任何相關引用URL、標簽、攻擊者背景等方面的信息。
主要特點:
- 來自140個國家的10萬名參與者和貢獻者;
- 通過DirectConnect API與其他工具集成;
- 最全面的威脅情報解決方案之一;
- 每天發布的威脅指標超過1900萬個;
- 威脅檢索界面非常直觀,易于閱讀;
- 利用Pulse Wizard,用戶可以自動化地提取IoC。
不足:
- 雖然有免費的工具和集成,但OTX與AT&T的付費網絡安全產品配合更有效;
- 大規模眾包方法限制了情報質量的提升。
傳送門:
https://cybersecurity.att.com/open-threat-exchange
2.?abuse.?ch URLhaus?
適合惡意URL檢測
abuse. ch URLhaus項目可以將有關惡意url的情報數據編譯到用戶的數據庫中。盡管任何人都可以訪問這些免費的信息源及其生成的詳細數據庫,但abuse. ch公司特別指出,該解決方案更適合網絡運營商、互聯網服務提供商(ISP)、計算機應急響應小組(CERT)和域名管理機構的使用需求。
URLhaus威脅情報項目管理了三個主要的情報源,專注于特定的IP地址和域名異常情況監測。一般用戶可以直接從URLhaus網站獲取有關這些情報源的最新信息。然而,對于想要使用此工具來審查妥協指標或訪問可解析數據集的用戶,需要下載URLhaus API。此外,用戶還可以提交自己發現的惡意URL。
主要特點:
- URLhaus的三個主要情報源包括ASN源、國家源和TLD 源,主要用于跟蹤在線和離線的惡意URL;
- URLhaus提供了詳細的提交策略,以過濾掉無關惡意軟件的提交結果;
- 擁有全面的、定期更新的惡意軟件URL數據庫,有完善的標簽;
- URLhaus的API和下載選項非常廣泛和多樣,可以滿足不同的用戶偏好。
不足:
- 只有在URLhaus API中選擇使用數據集時,一些自定義功能才可用;
- 要通過網絡提交惡意軟件URL,用戶必須登錄Twitter、Google、LinkedIn或GitHub,但這些都是公開可見的。
傳送門:
3.?Proofpoint ET Intelligence
適合情境化的威脅信息
Proofpoint ET Intelligence項目通過全面的檢索方法來收集并整理威脅情報,可以根據豐富的應用場景來提供威脅情報信息,包括IP地址、域和其他IoC的當前和歷史元數據。此外,ET Intelligence還可以很好地分離、分類和評分IP地址和域名,并定期進行列表更新。
對比本文中所列出的其他5個解決方案,Proofpoint ET Intelligence是情報信息覆蓋度最全面的解決方案,但它的使用價格也是非常昂貴的,適合那些對企業級威脅解釋和調查溯源感興趣的用戶。
應用特點:
- 訪問有關IP、域和其他IoC的歷史元數據;
- 可搜索的威脅情報門戶,附帶趨勢、時間戳、威脅類型和漏洞利用工具包標簽,以及相關的樣本;
- 支持TXT、CSV、JSON和壓縮格式;
- 可以與多種網絡安全工具和威脅情報平臺(如Splunk、QRadar、anomaly和ArcSight)集成;
- 情報檢索頁面中包括了高度清晰的彩色編碼圖表 。
不足:
- 目前市場上最昂貴的威脅情報源之一,而且價格還在持續上漲;
- 可能與其他網絡安全工具存在重疊的功能。
傳送門:
https://www.proofpoint.com/us/products/advanced-threat-protection/et-intelligence
4.?Spamhaus
適合電子郵件安全和反垃圾郵件
Spamhaus是為電子郵件服務系統提供威脅情報源和黑名單的專業服務商,其威脅情報源項目目前已覆蓋了30多億用戶。用戶可以訪問并應用針對郵件攻擊策略、漏洞利用、垃圾郵件問題的阻止列表,還可以在黑名單中修復不正確的垃圾郵件列表,訪問實時的ISP新聞和信息,并閱讀有關反垃圾郵件的最佳實踐文檔。
Spamhaus公司目前擁有六個主要威脅情報源和威脅列表,并以此為基礎構建了一個全面的電子郵件安全解決方案;事實上,它通常被認為是精確、實時的惡意郵件過濾和防護解決方案。Spamhaus的大部分功能和DNSBL源都是免費提供給用戶的。然而,需要更大規模的商業垃圾郵件過濾的用戶和網站將需要訂閱Spamhaus的Datafeed Query Service(DQS)。
應用特點:
- 超過30億用戶收件箱受到Spamhaus威脅情報源和黑名單的保護,是目前應用最廣泛的互聯網垃圾郵件和惡意軟件攔截工具之一;
- 具有詳細的FAQ指南,可為用戶提供專業指導;
- Spamhaus已經將它的SBL、XBL和PBL解決方案打包成一個解決方案:Spamhaus Zen,用戶只需要使用一個DNSBL工具;
- Spamhaus有一個安全的ROKSO LEA門戶,可以更安全地訪問有關垃圾郵件操作的機密記錄。
不足:
- 某些特性功能只有付費升級到Datafeed Query Service才能使用;
- 一些公共IP地址會被Spamhaus誤列入黑名單,修正的過程也比較繁瑣。
傳送門:
5.?SANS: Internet Storm Center
適合于了解和解釋威脅行為
SANS是一家全球性的網絡安全培訓與研究機構,其所屬的Internet Storm Center(ISC)項目是目前市場上值得信賴的威脅情報源之一。這也是一個完全建立在開放協作基礎上的情報源社區,由一些威脅情報志愿者處理日常威脅監控和文檔。除了一些日常性的情報收集處理程序之外,ISC能夠從企業用戶處獲取到防火墻和入侵檢測系統等安全工具的運營數據。
ISC的獨特性體現在多個方面:首先,其專有的傳感器網絡和報告設置模仿能夠為未知威脅提供早期預警。此外,ISC還關注如何為解決這些威脅提供程序指導。
應用特點:
- 從50多個國家的50萬個監控傳感器中獲取信息;
- 由志愿者對所監測到的安全事件進行處理分析,并經常更新入侵檢測數據庫;
- ISC團隊可根據用戶的要求生成自定義的全局威脅態勢報告;
- 由具有多年經驗的網絡安全專業人員組成;
- ISC的分布式傳感器網絡能夠快速識別網絡各個角落的新威脅。
不足:
- 將工具集成到專用網絡和專有系統的能力非常有限;
- 專家團隊的規模較小,可能會導致分析報告的質量和深度難以統一。
傳送門:
6.?FBI InfraGard
最適合關鍵基礎設施的安全性
InfraGard是由美國聯邦調查局(FBI)組織開展并運行的一個網絡情報源項目,旨在與其他政府機構以及企業組織建立網絡威脅信息共享網絡。企業組織可以從FBI的內部情報信息、經驗培訓和最佳實踐中受益,同時FBI和其他政府機構也可以第一時間洞察美國關鍵基礎設施的安全態勢和威脅指標。InfraGard項目可以免費申請加入,但需要會員資格才能訪問InfraGard資源。
InfraGard的威脅情報資源分為了商業設施、運營商、關鍵制造業、國防工業基地、市政服務、能源、金融服務、政府設施、醫療保健和公共衛生等16個領域,通過重點領域劃分,目前可為企業組織提供具有行業特性的定制化威脅情報和安全防護提示。
應用特點:
- 威脅咨詢、情報公報、分析報告和漏洞評估由聯邦調查局和其他政府機構與私營部門成員共享;
- 實現了監管機構和企業組織之間的雙向威脅情報分享;
- 16種不同的專門威脅源使用戶能夠專注于與其特定部門相關的威脅;
- 將政府機構的專業知識和企業組織專業人員相結合,成員可以獲得針對性的安全培訓和資源。
不足:
- 會員制服務模式,在一定程度上偏離了傳統的威脅情報工作;
- 只專注于美國的基礎設施領域,不適合美國以外的企業和全球化公司使用。
傳送門: