Розвідка загроз (аналітика загроз) – важливий компонент інформаційної безпеки. Він допомагає заздалегідь визначати, які загрози є найбільш небезпечними для конкретного користувача. Таким чином можна отримати уявлення про погрози, які будуть націлені або вже націлені на організацію, її співробітників, клієнтів та партнерів. Ці загрози можуть потенційно призвести до втрати доходів, репутації, перебоїв сервісів та інших негативних наслідків. Маючи аналітику загроз, організації можуть визначати пріоритети найімовірніших причин проблем, і спрямовувати наявні ресурси туди, де вони будуть найефективнішими. Сервіс керованої аналітики загроз допомагає випереджати зловмисників і захищати бізнес розумно, “обтяжуючи броню” не скрізь, а тільки там, куди доведеться наступний удар. Джерела інформації про загрози. “Спільне використання індикаторів компрометації. Отримання відомостей про шкідливу активність з журналів подій. Індикатори відкрито документуються та полегшують виявлення проблем, пов’язаних з аномаліями мережевого трафіку, скомпрометованими даними користувачів, підозрілими модифікаціями.”
Відкриті джерела. Найрізноманітніші ресурси, від традиційних ЗМІ до повідомлень у соціальних мережах, форумів з кібербезпеки, популярних блогів, сайтів вендорів тощо, використовуються нами для розвідки та аналізу. Паралельно виконується моніторинг бренду та захоплення доменів. Власна аналітика погроз. Різні загрози, спрямовані на наших клієнтів, допомагають нам побудувати велику базу даних загроз. Збираючи та корелюючи загрози наших клієнтів, ми збільшуємо та збагачуємо внутрішні алгоритми, а аналітики безпеки дізнаються більше про ландшафт загроз. Це, у свою чергу, надає вам актуальну інформацію для захисту вашого бізнесу.
Пасивно збирає список субдоменів із асоціацій сертифікатів ( crt.sh )
Активно запитує кожен субдомен для перевірки його існування (httprobe )
Активно робить скріншоти кожного субдомену (EyeWitness)
Примітка. Ви повинні встановити httprobe, pup та EyeWitness і змінити «DOMAIN_COM» на цільовий домен. Ви можете запускати цей сценарій одночасно у вікнах терміналу, якщо у вас є кілька цільових кореневих доменів
Створити букмарклет.
Right click your bookmark bar.
Click ‘Add Page’
Paste the above. Javascript in the ‘url’ box
Click ‘Save’
Букмарклет JavaScript для отримання всіх посилань на кінцеві точки веб-сторінки. Цей фрагмент коду можна використовувати для вилучення всіх кінцевих точок із DOM поточної веб-сторінки, включаючи всі зовнішні джерела сценаріїв, вбудовані на веб-сторінку.
Швидкий сканер вразливостей, який використовує шаблони .yaml для пошуку конкретних проблем.
certSniff — це засіб перевірки ключових слів прозорості сертифікатів, який я написав на Python. Він використовує бібліотеку certstream для спостереження за журналами створення сертифікатів, які містять ключові слова, визначені у файлі.
Ви можете налаштувати цей запуск за допомогою кількох ключових слів, пов’язаних із вашим доменом-жертвою, усі створені сертифікати будуть записані та можуть призвести до виявлення доменів, про які ви раніше не знали.
Хороший інструмент для грубої перевірки шляхів до файлів/папок на веб-сайті-жертві.
Інструмент, розроблений для виконання примусового перегляду, атаки, метою якої є перерахування та доступ до ресурсів, на які не посилається веб-додаток, але все ще доступні для зловмисника.
Feroxbuster використовує грубу силу в поєднанні зі списком слів для пошуку незв’язаного вмісту в цільових каталогах. Ці ресурси можуть зберігати конфіденційну інформацію про веб-програми та операційні системи, таку як вихідний код, облікові дані, внутрішня мережева адресація
Інструмент для пошуку корпоративної (цільової) інфраструктури, файлів і додатків у провідних хмарних провайдерів (Amazon, Google, Microsoft, DigitalOcean, Alibaba, Vultr, Linode)
Завантажте останню версію для вашої системи та стежте за використанням.
dnsrecon — це інструмент pyhton для перерахування записів DNS (MX, SOA, NS, A, AAAA, SPF і TXT) і може надати ряд нових пов’язаних хостів-жертв, до яких можна звернутись із пошуку в одному домені.
Програма, яка перевіряє, чи можна підробити домен. Програма перевіряє записи SPF і DMARC на наявність слабких конфігурацій, які дозволяють спуфінг. Крім того, він сповістить, якщо домен має конфігурацію DMARC, яка надсилає пошту або запити HTTP на невдалі електронні листи SPF/DKIM.
TruffleHog — це інструмент, який сканує репозиторії git і шукає високоентропійні рядки та шаблони, які можуть вказувати на наявність секретів, таких як паролі та ключі API. За допомогою TruffleHog ви можете швидко та легко знайти конфіденційну інформацію, яка могла бути випадково зафіксована та передана до сховища.
Dismap — це інструмент виявлення та ідентифікації активів. Він може швидко ідентифікувати протоколи та інформацію про відбитки пальців, наприклад web/tcp/udp, визначати типи активів і підходить для внутрішніх і зовнішніх мереж.
