Bedrohungsdaten mit OSINT analysieren Die 10 besten OSINT-Tools für 2023

Von Thomas Joos Lesedauer: 4 min |

Anbieter zum Thema

Mit Open Source Intelligence-Tools gibt es verschiedene Werkzeuge, mit denen sich öffentlich zugängliche Informationsquellen nutzen lassen, um Schwachstellen im eigenen Netzwerk zu identifizieren. Wir zeigen in diesem Beitrag 10 interessante Tools für 2023.

Wir stellen zehn OSINT-Tools vor, die auch für die Herausforderungen in 2023 eine wertvolle Hilfe sein können.
Wir stellen zehn OSINT-Tools vor, die auch für die Herausforderungen in 2023 eine wertvolle Hilfe sein können.
(Bild: Who is Danny - stock.adobe.com)

Wir haben bereits im Beitrag „Security mit Open Source – Teil 1“ einige interessante Tools im Bereich Open Source Intelligence (OSINT) erläutert. Im Beitrag „Security mit Open Source – Teil 2“ zeigen wir noch mehr Tools aus diesem Bereich, mit dem Admins umfassende Informationen erlangen und die Sicherheit in ihrem Netzwerk aktiv verbessern können. Im folgenden Beitrag zeigen wir weitere Tools, die auch für die Herausforderungen in 2023 eine wertvolle Hilfe sein können.

1. IBM X-Force Exchange: Bedrohungsdaten untersuchen und Frühwarnfeed nutzen

Mit der IBM-Plattform X-Force Exchange in der IBM-Cloud löassen sich Dateien, Anwendungen, IP-Adressen, URL, Indicators of Compromise (IOC) oder auch Sicherheitslücken genauer untersuchen. Der Dienst kann auch in SIEMS integriert werden. Dazu stehen APIs zur Verfügung, die im Rahmen der Online-Untersuchung von bestimmten Bedrohungen angezeigt werden.

IBM X-Force Exchange lässt sich ohne Anmeldung nutzen, aber auch mit einer kostenlosen IBM-ID über die IBM Cloud. Hier stellt IBM auch ein kostenloses Abonnement mit verschiedenen Möglichkeiten zur Verfügung. Unsere Schwesterseite CloudComputing-Insider hat die Möglichkeiten im Beitrag „IBM Cloud Free Tier – Speicher, Cluster und Datenbanken“ ausführlich behandelt. Das OSINT-Tools kann auch Dateien nach relevanten Inhalten untersuchen, die für die Security interessant sind. Neben der Untersuchung von Dateien und anderen Objekten bietet IBM X-Force Exchange auf verschiedene Frühwarnfeeds für Bedrohungen und aktuelle Schwachstellen.

2. MISP - Die kostenlose Malware Information Sharing Platform

MISP ist ein Open Source-Projekt, mit dem Unternehmen, Organisationen, Forscher und auch Anwender Informationen zu Malware sammeln und teilen können. Die Seite ist ideal für die Analyse von Malware-Angriffe und die Vorbereitung auf solche Angriffe. Mit der Seite lassen sich Indicator of Compromise (IOC) teilen und analysieren.

Bildergalerie
Bildergalerie mit 10 Bildern

Mit dem Projekt MISP können Korrelation, automatisierte Exporte für IDS oder SIEM, in STIX oder OpenIOC genutzt und mit anderen MISPs synchronisiert werden. Interessant ist die Plattform für die automatisierte Analyse von Bedrohungen und Malware. Oft werden ähnliche Organisationen vom gleichen Bedrohungsakteur in der gleichen oder in verschiedenen Kampagnen angegriffen. Teilnehmer an MISP können dadurch in einer Gemeinschaft solche Angriffe sehr frühzeitig erkennen und verhindern. Die gemeinsame Nutzung ermöglicht eine kollaborative Analyse. Darüber hinaus bietet MISP Metadaten-Tagging, Feeds, Visualisierung und ermöglicht durch offene Protokolle und Datenformate die Integration mit anderen Tools für weitere Analysen.

3. Project Honey Pot - Verdächtige IP-Adressen analysieren

Mit dem Project Honey Pot können Unternehmen und Forscher an einer Community teilnehmen, in der verdächtige IP-Adressen und Statistiken zu verdächtigen Angriffen von diesen IP-Adressen dokumentiert werden. Dazu stellt das Projekt auch verschiedene Feeds zur Verfügung und im Dashboard des kostenlosen Dienstes sind umfassende Informationen zu sehen, woher aktuell die meisten Angriffe kommen. Dazu zeigt das Tool auch verdächtige IP-Adressen weltweit und im eigenen Land an. IP-Adressen lassen sich darüber hinaus analysieren, um festzustellen, ob diese bereits für verdächtiges Verhalten bekannt ist. Neben IP-Adressen lassen sich mit dem Dienst zusätzlich noch bekannte Spam-Server analysieren und deren IP-Adressen auslesen.

4. Botscout - Verdächtige Bots im Internet erkennen und blockieren

Botscout hilft dabei Skripte und Bots aus dem Internet zu erkennen, die versuchen die eigenen Webdienste und Cloud-Infrastrukturen anzugreifen oder sich automatisiert zu registrieren. Bots lassen sich mit dem Dienst zuverlässig blockieren, zumindest ein Teil der bekannten Bots. Der Dienst speichert IP-Adressen, Namen, Verhalten, E-Mail-Adressen und Signaturen der Bots. Dazu kommt eine API für Botscout, die in die eigenen Webdienste eingebunden werden kann, um Bots zu blockieren.

5. Blueliv Threat Exchange Network - Schutz vor aktuellen Bedrohungen

Das Threat Exchange Network von Blueliv ist ein Netzwerk zum austauschen von Informationen zu aktuellen Bedrohungen. Teilnehmer der Community teilen die Bedrohungsdaten in ihrem Netzwerk mit anderen Teilnehmern und erhalten wiederum die Informationen der anderen Teilnehmer. Dadurch ist es möglich die eigenen Aktionen gegen bekannte Threats zu verbessern und sich auf noch unbekannte Angriffe vorzubereiten. Der Dienst zeigt darüber hinaus Karten an, auf denen Länder und IP-Adressen zu sehen sind, von denen aktuelle Angriffe ausgehen.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

6. APTnotes - Sammlung öffentlicher Quellen zu Malware- und Cyberangriffe

APTnotes ist ein Projekt, das auf GitHub zur Verfügung steht. Die Aufgabe der Lösung ist es Informationen aus öffentlich zugänglichen Quellen auszulesen und zentral zur Verfügung zu stellen. Die Daten sind in einem Cloud-Speicher abgelegt. Hier lassen sich die Quellen als CSV- oder JSON-Daten herunterladen und dadurch in eigene SIEMS oder andere Lösungen importieren.

7. Pulsedive: Einfache Threat Intelligence

Über den Webdienst Pulsedive lassen sich Daten zu Webseiten oder IP-Adressen abrufen. Der Dienst kann parallel in Shodan, VirusTotal oder AbuseIPDB integriert werden. Mit dem Dienst können dadurch schnell umfassende Informationen anzeigen lassen. Dadurch werden Angreifer schnell identifiziert.

Bildergalerie
Bildergalerie mit 10 Bildern

8. Mr. Looquer IOC Feed - Dual-Stack Feed für IPv4- und Ipv6-Angriffe

Der Dienst Mr. Looquer IOC Feed bietet einen Bedrohungs-Feed, der sich auf Systeme mit Dual-Stack konzentriert. Der Dienst liefert daher Feeds für IPv6 und für IPv4. Hier lassen sich IOCs herunterladen, aus denen hervorgeht welche Angriffe über die beiden Protokoll laufen. Dazu kommt eine Bedrohungsdatenbank, die für eigene Systeme heruntergeladen werden kann. Der Download von IOCs kann auf Basis verschiedener Länder erfolgen. Dazu stehen die Daten als JSON oder als CSV zur Verfügung.

9. ThreatIngestor - Aggregieren von IOCs aus verschiedenen Feeds

Mit dem Tool ThreatIngestor lassen sich Daten aus verschiedenen IOC-Feed aggregieren und dadurch effektiver aus verschiedenen Quellen nutzen. Dazu kann das Tool auch RSS-Feeds nutzen sowie Quellen wie Twitter oder andere Informationen.

10. Phishing-Angriffe erkennen mit PhishTank

Über den Dienst PhishTank können Admins aber auch Anwender aktuelle Phishing-Angriffe und deren Quellen analysieren. Hier sind die Webseiten und Informationen zu den Phishing-Angriffen zu finden. Teilnehmer der Community können auch selbst Informationen und Webseiten zu Phishing-Angriffen übermitteln.

(ID:49231918)