Обзор средств поиска угроз (Threat Hunting)

Kraken

Постоянно следить за кибербезопасностью просто необходимо. К счастью, есть еще несколько хороших инструментов кибербезопасности, которые можно посмотреть и опробовать.

Представленные инструменты кибербезопасности имеют простые в использовании панели управления, а большинство из них поддерживают доступ к API.

В этом обзоре представлены некоторые из лучших инструментов кибербезопасности для охотников за наводками и специалистов по кибербезопасности.

Топ-7 лучших средств для поиска угроз:

Shodan
Virustotal
OTX Alienvault
Wireshark
Cyberwarzone Favicon MMH3
TinEye
MXToolbox

В большинстве случаев средства кибербезопасности должны ускорять процесс исполнения:

Автоматизированное обнаружение угроз и реагирование на них
Централизованный сбор логов
Отчеты о соблюдении нормативных требований
Форензика
Анализ киберугроз

Мы включили инструменты, которые использую сам.

Мне нравится доступность этих инструментов и то, что поддерживаются API-запросы.

Поисковая система Shodan

Shodan.io - это очень мощный инструмент кибербезопасности.

Вы можете охотиться с помощью огромного списка доступных запросов.

Вы можете быстро найти серверы Cobalt Strike C2, уязвимые системы, открытые каталоги и многое другое.

В лучшем случае Shodan можно использовать для поиска и мониторинга ИТ-инфраструктуры.

Virustotal

Это один из крупнейших онлайновых репозиториев вредоносных программ.

Virustotal позволяет любому желающему использовать более 50 антивирусных систем, включенных в систему "песочницы" (вредоносных программ).

Поиск можно осуществлять по хэшу, домену или URL-адресу, а при наличии отчета можно получить множество подробных сведений, которые помогут выполнить действия по обеспечению кибербезопасности, например:

создание правил YARA
создание правил XDR
обновление брандмауэров
создание отчетов о ландшафте угроз

OTX Alienvault

Онлайн-сообщество Alienvault делится подробностями (импульсами) о кибератаках, которые включают в себя информацию о IOC и ссылки на блоги и статьи, посвященные вредоносному ПО и кибератакам.

Alienvault бесплатна для использования, а сообщество также предоставляет доступ к API.

Wireshark

Wireshark есть в каждом списке в Интернете.

Этот инструмент анализа сетевого трафика позволяет быстро получить доступ к перехваченным (или потоковым) сетевым данным, сделать их видимыми и создать фильтры (которые могут быть сигнатурными для обнаружения вредоносного ПО).

Многие решения XDR и средства мониторинга кибербезопасности фактически хранят сетевые данные в виде PCAP.

Эти PCAP-файлы можно открыть в программе Wireshark, поэтому этот инструмент необходим для любого оружия.

SNORT

SNORT - это мощная система предотвращения вторжений (IPS).

При правильной настройке и использовании SNORT становится частью процесса обеспечения кибербезопасности.

SNORT имеет открытый исходный код, и сообщество, поддерживающее его, очень активно.

SNORT может обнаруживать различные типы атак, работает на любой платформе и часто используется для анализа сетевого трафика в режиме реального времени.

SNORT также является отличным инструментом кибербезопасности, хорошо зарекомендовавшим себя на протяжении многих лет.

TinEye

С помощью TinEye любой человек может искать изображения в Интернете.

TinEye используется для обнаружения фишинговых атак и поддельных профилей.

TinEye был создан для тестирования различных методов и приемов выявления совпадающих изображений в Интернете.

API TinEye хорошо документирован и может быть включен в любую программу.

MXtoolbox

MXtoolbox - один из тех сайтов, которые никогда не исчезают (к счастью).

На нем представлен список инструментов, которые каждый может использовать для проведения активного поиска.

Сайт включает в себя инструмент для проверки черных списков IP-адресов и доменов, что позволяет любому аналитику по кибербезопасности быстро проверить внешние черные списки.

Запросы, которые можно выполнить в MXtoolbox;

MX Lookup
поиск черных списков
проверка DMARC
проверка работоспособности веб-сайта
Проверка электронной почты
Поиск DNS
Проверка анализа заголовков

CIRCL AIL

AIL - это модульная структура, созданная CIRCL для анализа потенциальных утечек информации из источников неструктурированных данных.

Это означает, что в AIL могут быть добавлены и направлены произвольные каналы и источники.

Система AIL является гибкой и может быть расширена для других целей.

Заключение

Кибербезопасность - это постоянная задача. Необходимо постоянно проверять сеть на наличие угроз, уязвимостей и принимать меры по их устранению.

Проактивный подход, при котором используются соответствующие средства кибербезопасности для моделирования атак, исправления уязвимостей для предотвращения взлома сети и быстрого выявления угроз, поможет вам не упустить их и оперативно реагировать на них.