Обзор средств поиска угроз (Threat Hunting)
KrakenПостоянно следить за кибербезопасностью просто необходимо. К счастью, есть еще несколько хороших инструментов кибербезопасности, которые можно посмотреть и опробовать.
Представленные инструменты кибербезопасности имеют простые в использовании панели управления, а большинство из них поддерживают доступ к API.
В этом обзоре представлены некоторые из лучших инструментов кибербезопасности для охотников за наводками и специалистов по кибербезопасности.
Топ-7 лучших средств для поиска угроз:
- Shodan
- Virustotal
- OTX Alienvault
- Wireshark
- Cyberwarzone Favicon MMH3
- TinEye
- MXToolbox
В большинстве случаев средства кибербезопасности должны ускорять процесс исполнения:
- Автоматизированное обнаружение угроз и реагирование на них
- Централизованный сбор логов
- Отчеты о соблюдении нормативных требований
- Форензика
- Анализ киберугроз
Мы включили инструменты, которые использую сам.
Мне нравится доступность этих инструментов и то, что поддерживаются API-запросы.
Поисковая система Shodan
Shodan.io - это очень мощный инструмент кибербезопасности.
Вы можете охотиться с помощью огромного списка доступных запросов.
Вы можете быстро найти серверы Cobalt Strike C2, уязвимые системы, открытые каталоги и многое другое.
В лучшем случае Shodan можно использовать для поиска и мониторинга ИТ-инфраструктуры.
Virustotal
Это один из крупнейших онлайновых репозиториев вредоносных программ.
Virustotal позволяет любому желающему использовать более 50 антивирусных систем, включенных в систему "песочницы" (вредоносных программ).
Поиск можно осуществлять по хэшу, домену или URL-адресу, а при наличии отчета можно получить множество подробных сведений, которые помогут выполнить действия по обеспечению кибербезопасности, например:
- создание правил YARA
- создание правил XDR
- обновление брандмауэров
- создание отчетов о ландшафте угроз
OTX Alienvault
Онлайн-сообщество Alienvault делится подробностями (импульсами) о кибератаках, которые включают в себя информацию о IOC и ссылки на блоги и статьи, посвященные вредоносному ПО и кибератакам.
Alienvault бесплатна для использования, а сообщество также предоставляет доступ к API.
Wireshark
Wireshark есть в каждом списке в Интернете.
Этот инструмент анализа сетевого трафика позволяет быстро получить доступ к перехваченным (или потоковым) сетевым данным, сделать их видимыми и создать фильтры (которые могут быть сигнатурными для обнаружения вредоносного ПО).
Многие решения XDR и средства мониторинга кибербезопасности фактически хранят сетевые данные в виде PCAP.
Эти PCAP-файлы можно открыть в программе Wireshark, поэтому этот инструмент необходим для любого оружия.
SNORT
SNORT - это мощная система предотвращения вторжений (IPS).
При правильной настройке и использовании SNORT становится частью процесса обеспечения кибербезопасности.
SNORT имеет открытый исходный код, и сообщество, поддерживающее его, очень активно.
SNORT может обнаруживать различные типы атак, работает на любой платформе и часто используется для анализа сетевого трафика в режиме реального времени.
SNORT также является отличным инструментом кибербезопасности, хорошо зарекомендовавшим себя на протяжении многих лет.
TinEye
С помощью TinEye любой человек может искать изображения в Интернете.
TinEye используется для обнаружения фишинговых атак и поддельных профилей.
TinEye был создан для тестирования различных методов и приемов выявления совпадающих изображений в Интернете.
API TinEye хорошо документирован и может быть включен в любую программу.
MXtoolbox
MXtoolbox - один из тех сайтов, которые никогда не исчезают (к счастью).
На нем представлен список инструментов, которые каждый может использовать для проведения активного поиска.
Сайт включает в себя инструмент для проверки черных списков IP-адресов и доменов, что позволяет любому аналитику по кибербезопасности быстро проверить внешние черные списки.
Запросы, которые можно выполнить в MXtoolbox;
- MX Lookup
- поиск черных списков
- проверка DMARC
- проверка работоспособности веб-сайта
- Проверка электронной почты
- Поиск DNS
- Проверка анализа заголовков
CIRCL AIL
AIL - это модульная структура, созданная CIRCL для анализа потенциальных утечек информации из источников неструктурированных данных.
Это означает, что в AIL могут быть добавлены и направлены произвольные каналы и источники.
Система AIL является гибкой и может быть расширена для других целей.
Заключение
Кибербезопасность - это постоянная задача. Необходимо постоянно проверять сеть на наличие угроз, уязвимостей и принимать меры по их устранению.
Проактивный подход, при котором используются соответствующие средства кибербезопасности для моделирования атак, исправления уязвимостей для предотвращения взлома сети и быстрого выявления угроз, поможет вам не упустить их и оперативно реагировать на них.
Подписывайтесь на нас:
Telegram: https://t.me/kraken_sec
VK: https://vk.com/kraken.security
Академия: https://kraken-academy.ru/
Лаборатория: https://kraken-security.ru