开源情报是指对公开可用信息的收集和分析,可以从媒体网站、杂志期刊以及论坛社区等多个来源获取。目前,开源情报已经成为网络安全分析的关键因素之一,安全分析师通过使用开源情报可以更准确地识别应用系统漏洞,同时也可以更好地了解和应对威胁攻击者,以及他们的攻击策略和常用手法。
由于开源情报信息的数量庞大,而且还在不断增多,手动检索开源情报无疑是一项非常艰巨的任务,有太多的记录和数据需要处理。幸好,市场上存在许多专业的搜索引擎工具,可以帮助安全分析师自动化完成各种信息的搜集。本文整理了目前最受安全分析师喜爱的11种开源情报搜索引擎,并对其主要应用特点进行了分析。
ONYPHE搜索引擎可以全面扫描互联网,并为各种网络防御引擎收集开源网络威胁情报数据。ONYPHE还可以主动扫描互联网上的联网设备,并将扫描所得的数据与从网站URL收集而来的信息相互对照。经过数据处理后,它会将这些数据通过API及查询语言来提供查询服务。
网络安全分析师主要使用ONYPHE来识别和收集受攻击设备方面的信息,可以通过IP地址、域、地理位置数据和inetnum详细信息等关键词来检索ONYPHE的数据库。
Shodan是一款功能强大的OSINT工具,Shodan可以监控和搜索的网络数据范围令人震惊。它也是少数能够检查操作技术(OT)的引擎之一。如果没有像Shodan这样的工具,想要在部署IT和OT的行业中收集开源情报会存在很大的缺失。
Shodan创建账号是免费的,但是可以免费查询到的信息少得可怜。如果要进一步查询更多的信息,用户需要购买Shodan的会员服务。除了个人版本,Shodan还推出了小型企业版和企业高级版的收费版本,其中小型企业可扫描多达65,536个IP地址,并返回多达两千万个结果;企业高级版提供无限的返回结果以及每月最多327,680个IP扫描,还包括漏洞搜索过滤器和高级支持等服务。
Censys Search是一个基于网络的搜索引擎,其创建之初的目的主要是用作学术研究,自身定位也是一个公益项目,由密歇根大学和Rapid7公司合作完成。Censys官网上这样定义该搜索引擎:“Censys Search是一款搜索引擎,它允许计算机科学家了解组成互联网的设备和网络。Censys由互联网范围的扫描驱动,使得研究人员能够找到特定的主机,并能够将设备、网站和证书的配置和部署信息创建到一个总体报告中。”像Shodan一样,它会在互联网上搜索服务器以及联网设备,提供每个设备的详细信息,包括操作系统、IP地址和敞开端口。此外,它还能够识别联网的工业控制系统和平台。
PublicWWW是一种强大的数字化威胁活动研究资源,它还可以通过查询恶意活动库来帮助安全研究人员识别与恶意软件活动相关的网站。对于想要通过源代码搜索相关网站信息的使用者来说,这个搜索引擎工具将是不二选择。用户可以在CSS、HTML或JS代码中搜索关键字、字母数字片段或代码特征。
ZoomEye是由我国安全公司知道创宇(Knownsec Inc.)创建的搜索引擎。最初上线时,很多人将ZoomEye视为国内版本的Shodan,但实际上ZoomEye和Shodan还是有差别的,因为ZoomEye除了设备指纹的扫描以外,还增加了对域名和Web服务器的指纹扫描,包括前端框架、后端框架、服务端语言、服务器操作系统、网站容器、内容管理系统和数据库等。ZoomEye 拥有两大探测引擎:Xmap 和 Wmap,通过持续性地探测、识别,可有效标识出互联网设备及网站所使用的服务及组件。安全分析师可以通过ZoomEye方便地了解网络资产分布情况及漏洞的危害范围等信息。
FOFA是另一款由我国网络安全企业华顺信安推出的网络空间搜索引擎,它通过进行网络空间资产测绘,能够帮助安全分析师迅速进行网络资产匹配,例如进行漏洞影响范围分析、应用分布统计、应用流行度排名统计等。通过不断检测全球互联网资产,FOFA目前已积累了超过40亿个资产和35万条指纹规则,其搜索功能可以涵盖各种数字化资产,包括摄像头、打印机、操作系统和数据库。用户还可以通过该引擎搜索IP、域和主机等资产对象。
GreyNoise搜索引擎让安全分析师可以准确知道谁在浏览互联网。这使他们能够识别出针对性扫描和随机扫描,以加强防御机制。GreyNoise利用了先进的机器学习算法来检测和分类网络活动,可以准确区分出是干扰性活动还是针对性恶意活动。只需输入IP地址或关键字,GreyNoise Visualizer就会生成相关信息。GreyNoise还拥有API,以便将其信息无缝整合到用户现有的安全应用程序和基础设施中。
Hunter是一款对使用者非常友好的搜索引擎,使用户能够轻松找到并验证与特定人员、域或公司相关的电子邮件地址,即便非专业人员也能轻松使用。例如,用户只要输入一家组织的名称后,会看到与该域关联的经过验证的电子邮件列表,包括它们的活动状态及邮件来源。它还会显示用户的名称、职位和社交媒体账号。
BinaryEdge是一种基于机器学习的安全情报信息搜索引擎,旨在收集、分析和分类公共互联网数据,以生成实时威胁情报和报告。该搜索引擎能够全面收集各种网络信息,包括敞开端口和易受攻击的服务、影响IP的漏洞、无效的SSL证书以及可访问的远程桌面数据等。此外,它还支持验证企业的电子邮件账户,以识别潜在的数据泄漏威胁。
Have I Been Pwned由知名网络安全讲师Troy Hunt创建的免费开源情报信息检索网站,该网站收集了大量被拖库的数据库,可供用户查询自己的个人信息是否因数据泄露受到损害。用户只需在搜索框中输入要查询的姓名或电话号码,它就会搜索泄露数据库以查看对应的凭据是否已遭泄露。如果发现相关泄露事件,下滑页面就可以看到泄漏的信息。
WiGLE搜索引擎致力于收集全球各地的Wi-Fi热点,目前已涵盖了超过10亿个无线网络。该搜索引擎可以为用户提供和无线热点相关的各种数据,包括MAC地址、SSID、GPS坐标、Wi-Fi安全类型以及蜂窝塔数据。WiGLE目前被安全分析师广泛应用于搜索和收集本地Wi-Fi热点方面的数据,从而更好地监控不安全的网络及可能造成的危害。