- 综合排序
- 最热优先
- 最新优先
- 来自专栏Khan安全团队
开源情报收集:技术、自动化和可视化
这是情报数据的福音,但也是一个直接的发现,并且在报告中绝对值得一提。如果已删除粘贴,则值得检查 Google 的网络缓存和 Wayback Machine 的缓存版本。 社交媒体资料 在情报收集过程的这一点上,放松社交媒体通常是一个很好的计划。争吵可能是数十或数百个社交媒体资料对于早期侦察来说有点多。 Twitter 句柄也可以成为重要的情报来源,Twitter API 可以帮助验证配置文件。就像 LinkedIn 个人资料和电子邮件地址一样,这些句柄将在搜索 twitter.com 时返回。 一旦您开始与非常大的组织或其中包含不同组的组织打交道,情报收集就会变得复杂。但是,您必须从某个地方开始,而这个过程对我很有帮助。 收集到的数据对攻击者有价值,我认为仅此一点就对防御者有价值。 该项目是开源的,可以接受反馈。我鼓励防御者利用 ODIN 或其他工具/手动分析来可视化其外部网络以监控其资产并密切关注有关其组织和员工的公共数据。
3.3K10编辑于 2022-01-19 - 来自专栏金融安全
开源情报(OSINT)技术在打击金融犯罪的重要作用
开源情报(Open Source Intelligence, OSINT)——从公开可访问的数据中收集和分析得来的情报——已从一个辅助性工具演变为现代金融犯罪防御战略的核心支柱。 这要求机构的安全思维从简单的数据收集提升到战略性的反情报层面,即预测对手的侦察路径并提前加固相关环节。 第二部分:核心分析技术与方法论 收集海量的开源数据仅仅是第一步。 然而,在开源数据中,这些信息往往以非结构化文本的形式散落在新闻报道、社交媒体帖子、论坛讨论或泄露文件中。因此,首要任务是通过自然语言处理(NLP)技术将这些文本结构化。 第五部分:结论 开源情报(OSINT)及其分析技术已成为现代金融犯罪侦测不可或缺的一环。通过将外部公开数据与内部交易数据相结合,金融机构能够打破信息孤岛,获得对客户和风险事件的全方位视图。 关联分析(知识图谱)和文本挖掘等先进技术,使得从海量数据中识别个体异常和网络化犯罪成为可能。 与此同时,OpenCTI和MISP等开源情报平台为情报的结构化管理、分析和共享提供了强大的工具支持。
1.2K10编辑于 2025-11-27 - 来自专栏深度学习与python
OpenSSF 推出 Siren:用于开源威胁情报
译者 | 刘雅梦 策划 | Tina 开源安全基金会(OpenSSF)宣布了 Siren,这是一项“聚合和传播针对开源项目特有威胁情报的合作努力”。 该倡议是在 XZ Utils 入侵之后提出的,在该入侵中,开源项目显然需要更好的方式来传播和接收相关的威胁情报。 与企业威胁情报平台(Threat Intelligence Platforms,TIPs)一样,Siren 将提供一个共享战术、技术和程序(Tactics, Techniques and Procedures 这篇博客文章列出了 Siren 的主要特性,如下所示: 开源威胁情报(OSINT)与社区分享积极利用的公共漏洞和威胁。 作者介绍 Chris Swan 是 Atsign 的一名工程师,负责构建 atPlatform,这项技术可以让人们控制自己的数据,消除与当今互联网相关的摩擦和监视。
46310编辑于 2024-06-05 - 来自专栏网络安全技术点滴分享
事件响应中的开源情报技术(第二部分)
客户是一家在美国各地设有分支的金融机构,受到严格监管,技术和工作流程高度隔离。 这是确凿证据更是情报金矿!
20300编辑于 2025-07-24 - 来自专栏网络安全技术点滴分享
theHarvester:强大的开源情报收集工具
它执行开源情报(OSINT)收集,帮助确定域名的外部威胁态势。该工具通过使用多个公共资源(baidu、yahoo、zoomeye、duckduckgo等)收集名称、电子邮件、IP、子域名和URL。 -p 8080 # 使用自定义速率限制 uv run restfulHarvest --rate-limit "10/minute" 典型使用场景 渗透测试侦察: 收集目标域名的所有公开信息 威胁情报 #or uv run restfulHarvest -H 0.0.0.0 -p 8080 theHarvester是一个功能全面、扩展性强的OSINT收集工具,适用于安全专业人员在进行渗透测试和威胁情报收集时使用
35111编辑于 2025-11-13 - 来自专栏FreeBuf
盘点:14款顶级开源情报工具合集
开源情报(OSINT)定义 开源情报是指合法地从公开和可公开获得的资源中收集数据和信息的做法。 OSINT操作——无论是由IT安全专家、恶意行为者还是民族国家支持的情报人员所实施——使用先进的技术来搜索海量的可见数据,以找到满足他们需求的信息。 以下都是用于开源情报的一些顶级工具,我们将为大家介绍它们各自擅长的领域,以及各自的独到之处和能够为企业组织的网络安全工作带来的具体价值。 Maltego Maltego通过使用开源情报技术查询诸如DNS记录、whois记录、搜索引擎、社交网络、各种在线API和元数据提取之类的源,来找到这些信息之间的链接。 因此,建议使用开源情报工具的相关企业或研究人员可以提前制定相应相关行为准则,合法、有边界地规范工具使用行为,从而更好地做好安全防御。 精彩推荐
6.3K10编辑于 2023-03-30 腾讯云轻量级威胁情报技术指南
摘要 本文旨在解析轻量级威胁情报技术的核心价值与实施挑战,并提供详细的操作指南。文章还将对比通用方案与腾讯云方案的差异,并以实际案例展示腾讯云产品的优势。 技术解析 核心价值与典型场景 轻量级威胁情报技术能够帮助企业快速识别和响应网络威胁,减少资源占用,提升系统性能。它适用于需要即时安全监控和响应的中小型企业,以及对性能要求较高的云服务环境。 操作指南 实施流程 步骤1:选择威胁情报源 选择一个可靠的威胁情报源是实施轻量级威胁情报的第一步。腾讯云提供的威胁情报服务可以作为首选,因为它提供了实时更新的情报数据。 原理说明:威胁情报源的选择基于数据的覆盖范围、更新频率和准确性。 操作示例:注册腾讯云账户并选择适合的威胁情报服务。 步骤2:集成威胁情报 将腾讯云的威胁情报服务集成到现有的安全架构中。 结论 通过本文的技术解析和操作指南,企业可以有效地实施轻量级威胁情报技术,并利用腾讯云产品的优势,提高安全防护效率和降低成本。
26500编辑于 2025-08-04- 来自专栏网络安全攻防
【威胁情报】威胁情报基本介绍
,威胁情报备受重视~ 安全情报 安全情报从情报类型上可以划分为如下几个方面: 资产情报:主要用于确认企业自身的资产 事件情报: 对于已经发生的安全事件的报道 漏洞情报:软硬件的各种已知或未知的漏洞情报 技术威胁情报(Technical Threat Intelligence):技术威胁情报主要是失陷标识,可以自动识别和阻断恶意攻击行为,当前业内更广泛应用的威胁情报主要还是在技术威胁情报层面 威胁情报根据数据本身可以分为 Hash值、IP地址和域名,其次是网络/主机特征、攻击工具特征,对攻击者影响最大的是TTPs(战术、技术和行为模式)类型的威胁情报: HASH值:指样本、文件的HASH值,比如:MD5和SHA系列,由于 生命周期 威胁情报生命周期是一个循环的过程,其主要包含以下阶段: 情报计划:情报计划包括威胁情报对应的安全风险点(包括业务安全、IT资产安全等)、对应情报大类(包括战术情报、战略情报、运营情报、技术情报 )、情报小类(包括但不限于pDNS情报、Whois情报、钓鱼网站情报、黑产情报)以及闭环跟进流程,完整的情报计划可以达到指导现有安全体系建设和改进方向的作用 情报收集:情报收集是对所有相关安全情报的收集
2.8K10编辑于 2023-03-29 - 来自专栏FreeBuf
开源情报之美国关键基础设施全方位调研
前言 本文是国外的一篇关于美国关键基础设施的开源情报研究的介绍。我们也在知识星球(开源网络空间情报)上第一时间分享了这篇帖子。 另一方面,开源情报还可以用于从定位照片拍摄地到追踪特定的个人等不同类型的调查。它还能与人类智能(HUMINT)、地理空间智能(GEOINT)、网络智能(CYBINT)等其他智能技术进行结合。 在这项研究中,我使用开源情报来收集和可视化美国大约26,000个暴露的ICS设备的地理位置和技术信息。 ? 关键基础设施 我们很难去界定什么是“关键基础设施”。 美国宇航局在Unsplash上空拍摄的照片 开源情报和关键基础设施 了解开源情报的基本原理和关键基础设施部门之后,我们就可以将这两者结合起来,收集一个国家关键资产的情报。 受开源情报影响最严重的组织机构如下: ? 受开源情报影响最严重的城市: ? 开放的端口: ?
1.9K10发布于 2019-11-01 - 来自专栏FreeBuf
GasMasK:一款功能强大的开源网络情报工具
关于GasMasK GasMasK是一款功能强大的开源网络情报工具,该工具由多种信息收集工具构成,可以算得上是广大安全研究人员的一把“瑞士军刀”了。 在该工具的帮助下,我们可以轻松执行开源网络情报收集工作。 gasmask.py -i censys -r API密钥更新样例(censys.io) python gasmask.py -i censys -u 许可证协议 本项目的开发与发布遵循GPL-3.0开源许可证协议
1.2K50编辑于 2023-02-24 - 来自专栏网络安全技术点滴分享
威胁情报宝典:掌握可操作情报的艺术
可操作威胁情报的宝典:学习这门艺术嘿,朋友,欢迎回来!今天,我们将深入探讨MITRE ATT&CK框架。这个框架是网络威胁情报的“圣经”。 它提供了一个通用语言,用于描述和分类基于真实世界观察的对手战术、技术和程序。它由MITRE公司创建,该公司是一家运营着联邦资助的研发中心的非营利组织。 ATT&CK框架用于分析和理解威胁行为者用于入侵、渗透和从系统或网络中窃取信息的战术和技术。该框架由一个矩阵组成,该矩阵列出了攻击者使用的各种战术和技术,例如初始访问、持久化、权限提升和数据窃取。
10510编辑于 2025-12-30 - 来自专栏FreeBuf
TIGMINT:一款功能强大的开源情报GUI软件框架
关于TIGMINT TIGMINT是一款功能强大的开源情报GUI软件框架,该工具针对Twitter、Instagram和地理标记应用设计。 TIGMINT通过实现抽象机制以隐藏其背后技术细节的复杂性,可以帮助广大研究人员更加方便地进行网络调查活动。 TIGMINT引入了多种不同的针对社交媒体情报的分析技术,并且还提供了一个简单的入侵式Web接口以帮助用户与之进行交互。
96810发布于 2021-10-11 - 来自专栏FreeBuf
Mitaka:针对开源情报收集任务的浏览器扩展
今天给大家介绍的是一款针对开源情报收集任务的浏览器扩展,这款扩展名叫Mitaka,希望该工具可以给广大研究人员的OSINT搜索研究提供帮助。 ?
1.4K30发布于 2019-11-01 - 来自专栏网络安全技术点滴分享
持久性与瞬时性威胁情报的技术解析
瞬时性威胁情报在本期Black Hills信息安全网络研讨会中,John Strand再次剖析了他为何厌恶威胁情报……但同时也重点介绍了一些专注于持久性威胁情报的创新项目。 这至关重要,因为许多情报源仅包含域名、哈希值和IP地址。然而,通过持久性威胁情报,我们能够识别那些高度有效但难以拦截的攻击技术。例如:应用白名单滥用连接配置文件(RITA!) John还分享了一些基于ELK栈处理攻击的开源项目。 7:38 – 痛苦金字塔模型 10:55 – 替代方案探讨 14:56 – 技术对话实录 19:10 – 攻击技术难点分析 22:21 – ATT&CK宾果游戏 24:33 – 迭代式攻击模拟 27:35 – 开源工具介绍(Sigma/Atomic Threat Coverage/PlumHound) 32:03 – 威胁模拟警告 36:59 – MITRE评分卡 45:49 – 技术视角拓展
24910编辑于 2025-08-28 多源情报接入技术指南及腾讯云解决方案
摘要 本文将深入解析多源情报接入技术的核心价值、挑战,并提供详细的操作指南,以实现高效、安全的情报数据集成。同时,通过对比分析和实际案例,展示腾讯云产品在此领域的优化方案和优势。 技术解析 核心价值与典型场景 多源情报接入技术允许组织从多个来源收集和分析情报,以获得更全面的威胁视角。这种技术在网络安全领域尤为重要,可以帮助企业及时发现和响应各种威胁。 典型场景包括网络安全监控、事件响应和安全运营中心(SOC)的情报共享。 3大关键挑战 数据一致性:不同来源的数据格式和标准不一致,导致数据整合困难。 操作示例:使用腾讯云的威胁情报平台,可以快速识别和接入多个数据源。 数据集成与标准化 原理说明:将不同格式的数据转换为统一格式,以便于分析和存储。 客户实践:某金融公司通过腾讯云的多源情报接入技术,成功减少了50%的网络攻击事件。 通过本文的技术指南和解决方案推荐,企业可以更有效地实现多源情报的接入和分析,提升网络安全防护能力。
32310编辑于 2025-08-04- 来自专栏网络安全技术点滴分享
2025年12月网络威胁情报与技术动态
网络威胁情报与技术动态概述某威胁情报部门是一个全球性的威胁研究团队,结合专有的数据分析和机器学习技术,分析全球最大、最多样化的威胁数据集合之一。 研究团队提供战术威胁情报,为弹性的威胁检测与响应提供支持,即使组织的攻击面扩大、技术演变、对手改变其战术、技术和程序。 这次攻击代表了开源生态系统的系统性风险,因为即使一个被入侵的依赖项也可能在数千个下游项目中级联传播。 开放威胁情报交换平台开放威胁情报交换平台是全球最大的开放威胁情报共享社区之一,由来自全球140个国家的33万名威胁研究人员组成,他们每天在平台上发布威胁信息。威胁情报团队验证、分析并丰富这些威胁情报。 平台成员受益于集体研究,可以为社区做出贡献、分析威胁、创建公共和私人威胁情报共享群组等。新的威胁情报推送威胁情报团队根据其研究和发现,持续在平台上发布新的威胁情报推送。
23110编辑于 2026-01-14 - 来自专栏FreeBuf
威胁情报怎么用?
威胁情报(和攻击者相关)、漏洞情报(和脆弱点相关)、资产情报(内部IT业务资产和人的信息),都属于情报的范畴,但作用和生产维护方法都不同,需要明确区分。 言归正传,下面就具体谈谈威胁情报的种类。基于整体应用场景,我们可以将情报分为3类:以自动化检测分析为主的战术情报、以安全响应分析为目的的运营级情报,以及指导整体安全投资策略的战略情报。 安全狩猎是一个基于已知技战术手法(TTP:技术、工具、过程)发现未知威胁事件,同时获得进一步黑客技战术相关信息的过程。 这类情报往往通过基于安全事件的分析报告,或者特定的技战术手法数据库得到,国际上在这方面已经有较多的进展,包括了各类开源或限定范围的来源可以提供这样的信息,而国内相对较少,并且一些安全事件报告因为这样那样的问题 但面临一个问题,如何让对具体攻防技术并不清楚的业务管理者得到足够的信息,来确定相关的安全投资等策略?这时候如果CSO手中有战略层面的情报,就会成为有力的武器。
5.1K60发布于 2018-02-24 - 来自专栏网络安全攻防
威胁情报共享方式
,不能覆盖诸如匿名网络、网络跳板、僵尸网络、暗网、网络隐蔽信道等对抗溯源的技术机制的描述,从而无法为深入的攻击溯源自动化分析能力提供支持 威胁情报表达格式交换机制过于复杂,不利于快速普及应用,同时也会增加威胁情报的分析处理负载 IP/DNS/URL等信息、安全攻击事件信息、恶意代码活动及特征信息、僵尸网络活动信息、0day/nday漏洞信息、黑客及其组织的TTP(策略技术和过程)信息等方面 轻量型威胁情报共享利用框架将威胁情报信息统一采用 ,也可以用于跟外部机构之间的威胁情报交换 控制主机溯源分析主要是寻找和定位发起攻击事件的主控机器,主要是利用威胁情报数据进行关联分析以实现对采用隐匿技术机制的攻击行为进行溯源分析,例如:僵尸网络、网络跳板 、工作习惯分析等方面,通过基于大数据的共享利用分析可以实现对攻击者的刻画、对攻击行为的关联分析,从而为揭示攻击过程提供有效值的信息 文末小结 面向攻击溯源的威胁情报共享利用技术可为攻击溯源提供一定的技术基础 ,但其在实际应用中的效果严重依赖于所获得威胁情报的数量和质量,只有配套建立面向攻击溯源的威胁情报共享机制才能确保获得用于攻击溯源的威胁情报信息,否则威胁情报共享技术也将成为空中楼阁 参考链接 https
2.6K11编辑于 2023-03-29 - 来自专栏腾讯安全
技术干货|威胁情报如何在SOC场景中发挥最大价值
在威胁情报应用越来越广泛的背景下,如何让威胁情报发挥最大价值也是每个企业的关注点。 7月22日,腾讯安全威胁情报技术专家閤燕山做客产业安全公开课,以“威胁情报在SOC中运用的最佳实践”为主题,从告警孵化、内网失陷分析、去误报场景、溯源分析、主动防御和专项情报六大实践场景来解读威胁情报的应用 用于告警孵化实践中的威胁情报,其更新频率可达到日级别,平均生命周期在7天左右。 场景二:内网失陷分析 腾讯威胁情报根据场景不同分为入站情报和出站情报。 4.JPG 场景六:专项情报 威胁情报可以提供和客户属性相关的行业情报、本企业相关的定制情报,如:企业暴露面、最新漏洞情报、信息泄露情报、黑灰产、DNS劫持、仿冒APP&网站等。 点击威胁情报在SOC中运用的最佳实践,看威胁情报在SOC中运用的最佳实践。
1.4K11发布于 2021-08-02 - 来自专栏网络安全技术点滴分享
网络安全威胁情报月报:攻击追踪与检测技术剖析
威胁情报更新摘要威胁情报团队结合全球威胁研究人员和数据科学家,并利用数据分析和机器学习专有技术,分析全球最大、最多样化的威胁数据集合之一。 研究团队提供战术威胁情报,为有韧性的威胁检测和响应提供动力——即使组织的攻击面扩大、技术演进、对手改变其战术、技术和程序。 本更新提供最新的威胁新闻,包括对某安全平台检测的最新更新,以及发布在开放威胁情报交换平台上的新威胁情报,该平台是全球最大的开放威胁情报共享社区之一。 这次攻击对开源生态系统构成了系统性风险,因为即使一个被泄露的依赖项也可能在数千个下游项目中级联传播。 威胁情报团队对此威胁情报进行验证、分析和丰富。开放威胁情报交换的成员受益于集体研究,可以为社区做出贡献、分析威胁、创建公共和私人威胁情报共享群组等。
16710编辑于 2026-01-20
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号