Bedrohungsdaten mit OSINT analysieren Die 10 besten OSINT-Tools für 2023
Anbieter zum Thema
Mit Open Source Intelligence-Tools gibt es verschiedene Werkzeuge, mit denen sich öffentlich zugängliche Informationsquellen nutzen lassen, um Schwachstellen im eigenen Netzwerk zu identifizieren. Wir zeigen in diesem Beitrag 10 interessante Tools für 2023.

Wir haben bereits im Beitrag „Security mit Open Source – Teil 1“ einige interessante Tools im Bereich Open Source Intelligence (OSINT) erläutert. Im Beitrag „Security mit Open Source – Teil 2“ zeigen wir noch mehr Tools aus diesem Bereich, mit dem Admins umfassende Informationen erlangen und die Sicherheit in ihrem Netzwerk aktiv verbessern können. Im folgenden Beitrag zeigen wir weitere Tools, die auch für die Herausforderungen in 2023 eine wertvolle Hilfe sein können.
:quality(80)/p7i.vogel.de/wcms/4f/88/4f8800a8000d2b2ef74bc1381c0a90f6/0110251928.jpeg)
Security-Insider Podcast – Folge 68
OSINT – wir klären auf
1. IBM X-Force Exchange: Bedrohungsdaten untersuchen und Frühwarnfeed nutzen
Mit der IBM-Plattform X-Force Exchange in der IBM-Cloud löassen sich Dateien, Anwendungen, IP-Adressen, URL, Indicators of Compromise (IOC) oder auch Sicherheitslücken genauer untersuchen. Der Dienst kann auch in SIEMS integriert werden. Dazu stehen APIs zur Verfügung, die im Rahmen der Online-Untersuchung von bestimmten Bedrohungen angezeigt werden.
IBM X-Force Exchange lässt sich ohne Anmeldung nutzen, aber auch mit einer kostenlosen IBM-ID über die IBM Cloud. Hier stellt IBM auch ein kostenloses Abonnement mit verschiedenen Möglichkeiten zur Verfügung. Unsere Schwesterseite CloudComputing-Insider hat die Möglichkeiten im Beitrag „IBM Cloud Free Tier – Speicher, Cluster und Datenbanken“ ausführlich behandelt. Das OSINT-Tools kann auch Dateien nach relevanten Inhalten untersuchen, die für die Security interessant sind. Neben der Untersuchung von Dateien und anderen Objekten bietet IBM X-Force Exchange auf verschiedene Frühwarnfeeds für Bedrohungen und aktuelle Schwachstellen.
2. MISP - Die kostenlose Malware Information Sharing Platform
MISP ist ein Open Source-Projekt, mit dem Unternehmen, Organisationen, Forscher und auch Anwender Informationen zu Malware sammeln und teilen können. Die Seite ist ideal für die Analyse von Malware-Angriffe und die Vorbereitung auf solche Angriffe. Mit der Seite lassen sich Indicator of Compromise (IOC) teilen und analysieren.
Mit dem Projekt MISP können Korrelation, automatisierte Exporte für IDS oder SIEM, in STIX oder OpenIOC genutzt und mit anderen MISPs synchronisiert werden. Interessant ist die Plattform für die automatisierte Analyse von Bedrohungen und Malware. Oft werden ähnliche Organisationen vom gleichen Bedrohungsakteur in der gleichen oder in verschiedenen Kampagnen angegriffen. Teilnehmer an MISP können dadurch in einer Gemeinschaft solche Angriffe sehr frühzeitig erkennen und verhindern. Die gemeinsame Nutzung ermöglicht eine kollaborative Analyse. Darüber hinaus bietet MISP Metadaten-Tagging, Feeds, Visualisierung und ermöglicht durch offene Protokolle und Datenformate die Integration mit anderen Tools für weitere Analysen.
3. Project Honey Pot - Verdächtige IP-Adressen analysieren
Mit dem Project Honey Pot können Unternehmen und Forscher an einer Community teilnehmen, in der verdächtige IP-Adressen und Statistiken zu verdächtigen Angriffen von diesen IP-Adressen dokumentiert werden. Dazu stellt das Projekt auch verschiedene Feeds zur Verfügung und im Dashboard des kostenlosen Dienstes sind umfassende Informationen zu sehen, woher aktuell die meisten Angriffe kommen. Dazu zeigt das Tool auch verdächtige IP-Adressen weltweit und im eigenen Land an. IP-Adressen lassen sich darüber hinaus analysieren, um festzustellen, ob diese bereits für verdächtiges Verhalten bekannt ist. Neben IP-Adressen lassen sich mit dem Dienst zusätzlich noch bekannte Spam-Server analysieren und deren IP-Adressen auslesen.
4. Botscout - Verdächtige Bots im Internet erkennen und blockieren
Botscout hilft dabei Skripte und Bots aus dem Internet zu erkennen, die versuchen die eigenen Webdienste und Cloud-Infrastrukturen anzugreifen oder sich automatisiert zu registrieren. Bots lassen sich mit dem Dienst zuverlässig blockieren, zumindest ein Teil der bekannten Bots. Der Dienst speichert IP-Adressen, Namen, Verhalten, E-Mail-Adressen und Signaturen der Bots. Dazu kommt eine API für Botscout, die in die eigenen Webdienste eingebunden werden kann, um Bots zu blockieren.
:quality(80)/p7i.vogel.de/wcms/4f/88/4f8800a8000d2b2ef74bc1381c0a90f6/0110251928.jpeg)
Security-Insider Podcast – Folge 68
OSINT – wir klären auf
5. Blueliv Threat Exchange Network - Schutz vor aktuellen Bedrohungen
Das Threat Exchange Network von Blueliv ist ein Netzwerk zum austauschen von Informationen zu aktuellen Bedrohungen. Teilnehmer der Community teilen die Bedrohungsdaten in ihrem Netzwerk mit anderen Teilnehmern und erhalten wiederum die Informationen der anderen Teilnehmer. Dadurch ist es möglich die eigenen Aktionen gegen bekannte Threats zu verbessern und sich auf noch unbekannte Angriffe vorzubereiten. Der Dienst zeigt darüber hinaus Karten an, auf denen Länder und IP-Adressen zu sehen sind, von denen aktuelle Angriffe ausgehen.
6. APTnotes - Sammlung öffentlicher Quellen zu Malware- und Cyberangriffe
APTnotes ist ein Projekt, das auf GitHub zur Verfügung steht. Die Aufgabe der Lösung ist es Informationen aus öffentlich zugänglichen Quellen auszulesen und zentral zur Verfügung zu stellen. Die Daten sind in einem Cloud-Speicher abgelegt. Hier lassen sich die Quellen als CSV- oder JSON-Daten herunterladen und dadurch in eigene SIEMS oder andere Lösungen importieren.
7. Pulsedive: Einfache Threat Intelligence
Über den Webdienst Pulsedive lassen sich Daten zu Webseiten oder IP-Adressen abrufen. Der Dienst kann parallel in Shodan, VirusTotal oder AbuseIPDB integriert werden. Mit dem Dienst können dadurch schnell umfassende Informationen anzeigen lassen. Dadurch werden Angreifer schnell identifiziert.
8. Mr. Looquer IOC Feed - Dual-Stack Feed für IPv4- und Ipv6-Angriffe
Der Dienst Mr. Looquer IOC Feed bietet einen Bedrohungs-Feed, der sich auf Systeme mit Dual-Stack konzentriert. Der Dienst liefert daher Feeds für IPv6 und für IPv4. Hier lassen sich IOCs herunterladen, aus denen hervorgeht welche Angriffe über die beiden Protokoll laufen. Dazu kommt eine Bedrohungsdatenbank, die für eigene Systeme heruntergeladen werden kann. Der Download von IOCs kann auf Basis verschiedener Länder erfolgen. Dazu stehen die Daten als JSON oder als CSV zur Verfügung.
9. ThreatIngestor - Aggregieren von IOCs aus verschiedenen Feeds
Mit dem Tool ThreatIngestor lassen sich Daten aus verschiedenen IOC-Feed aggregieren und dadurch effektiver aus verschiedenen Quellen nutzen. Dazu kann das Tool auch RSS-Feeds nutzen sowie Quellen wie Twitter oder andere Informationen.
10. Phishing-Angriffe erkennen mit PhishTank
Über den Dienst PhishTank können Admins aber auch Anwender aktuelle Phishing-Angriffe und deren Quellen analysieren. Hier sind die Webseiten und Informationen zu den Phishing-Angriffen zu finden. Teilnehmer der Community können auch selbst Informationen und Webseiten zu Phishing-Angriffen übermitteln.
:quality(80)/p7i.vogel.de/wcms/b6/a8/b6a8bfb874ff46d181feeaed1af32941/0106697835.jpeg)
Security mit Open Source – Teil 1
Die besten OSINT-Tools
:quality(80)/p7i.vogel.de/wcms/f4/0b/f40b7a104fed1c27ffc34585df3ac99c/0107548658.jpeg)
Security mit Open Source – Teil 2
OSINT-Tools für Hosts, Ports und mehr
(ID:49231918)