第三部分:情报资源
欢迎回到我们关于后gdpr世界中的安全调查的博客系列。在过去的两个职位中,安全研究员,Emily Hacker,专注于进行调查和建立基于非注册者的连接。在这篇文章中,我将重点介绍基于osint的方法和信息共享。
开源情报资源
开源工具和方法对研究人员来说一直很重要,其中许多途径根本不受GDPR的影响。Twitter等社交媒体平台、供应商报告、指标共享平台、钓鱼源和发布到GitHub上的工具只是情报分析师可以继续调查事件的众多方式中的一小部分。
推特是业界讨论当前安全趋势的最爱,也是活动的温床。安全研究人员会定期发布未经记录的ioc和调查结果,所以在Twitter上搜索与当前案件相关的ioc通常是值得的。根据您调查的敏感性,您甚至可以考虑向社区询问他们可能拥有的任何信息。
知名供应商,政府资源(us - cert),以及SANS Internet Storm Center (ISC)持续了解最新的威胁,并及时做好招聘信息分析。虽然你的调查目前可能没有涉及到任何大规模的活动,但你还是有必要看看最近的行业报告,看看是否有类似的行为或指标。
恶意软件分析服务,如VirusTotal、Malwr和Hybrid analysis,是社区来源数据的宝库。这些报告通常包含社区评论,试图丰富已经提供的自动化分析。请记住,您不需要仅使用文件散列来搜索这些平台,但也可以搜索IP地址和域。众所周知,VirusTotal有很多友好的机器人帐户,其唯一目的是用浓缩标记上传的文件。
在调查一个域时,检查它是否具有数字证书是很重要的,因为它们包含的数据可能允许您将参与者基础设施链接在一起(如上所述“基于非注册人的连接”)。像Censys和crt.sh这样的网站是提供证书信息的宝贵资源。证书可以帮助提供一些连接参与者资产的细节,因为它们可以在不同的地方使用相同的信息。
有这么多的OSINT工具在那里,这将是一个密集的努力,试图覆盖他们所有,但像OSINT框架和Github上的OSINT列表这样的资源是调查的绝佳起点。
信息共享
网络安全专业人员获取信息的最重要方式之一是参与各种信息共享小组和使用威胁情报平台。通过积极参与这些小组,研究人员可以分享和接收有价值的情报,否则他们可能无法获得这些情报。像ISACs这样的私营团体,像Infragard这样的政府团体,以及成员运营的共享团体都是有价值的信息来源。
虽然前两类群组很容易找到和加入,但小型成员操作的共享群组则有意隐藏得更多。识别这些类型的团体的最好方法是通过网络-参加会议,培训和聚会,找出哪些团体可能是有益的加入。
在技术层面上,大多数这些关系涉及STIX/TAXII提要和/或威胁情报平台,例如MISP和开放威胁交换.这些平台的优势在于它们能够在组织之间使用分层访问(如红绿灯协议)实现程序化数据共享。如果您的组织目前缺乏威胁共享平台,那么您可能会失去安全数据的宝库。即使你有一个付费的威胁情报平台,像MISP这样的免费工具也极有可能拥有不同的数据集,并且更灵活地与其他组织共享数据。请记住,这些平台也是您为安全社区做出贡献的机会。
结论
虽然GDPR影响了许多分析师历来进行调查的方式,但仍有几种方法可以发现威胁行为者的踪迹。通过使用领域风险评分,基于非注册人的指标OSINT,以及参与信息共享组织,分析人员可以识别有用的指标,以产生情报并保护他们的组织。
工具和资源
VirusTotal:https://www.virustotal.com/#/home/upload
Malwr:https://malwr.com/
混合分析:https://www.hybrid-analysis.com/
Censys:https://censys.io/
Crt.sh:https://crt.sh/
OSINT框架:https://osintframework.com/
很棒的OSINT:https://github.com/jivoi/awesome-osint
MISP:https://www.misp-project.org/
AlienVault开放威胁交换:https://www.alienvault.com/open-threat-exchange