什么是开源网络情报？有什么特点？

在所有的威胁情报子类型中，开源网络智能(OSINT)可能是使用最广泛的智能，这是有意义的。毕竟，最重要的是它是免费的。谁能说不呢？

不幸的是，与其他主要类型(人类智能、信号智能和地理空间智能，仅举几个例子)一样，开源网络智能被广泛误解和滥用。

在本文中，富云数据将介绍开源网络智能的基本知识，包括它的使用方式以及收集和分析它的工具和技术。

什么是开放源码网络智能？[

在我们研究开放源码网络智能的共同来源和应用之前，了解它的真正含义是很重要的。

根据美国公法，开放源码网络情报：

及时收集、分析和分发给适当的受众
以满足具体的情报要求

此处重点强调的重要短语是“可公开的”

，“开放源码”一词具体指可供公众使用的信息。如果您需要任何专门知识、工具或技术来访问一段信息，那么您就不能合理地将其看作是开源的。

重要的是，开放源码信息不限于使用主搜索引擎可以找到的信息。使用Google可以找到的网页和其他资源无疑构成了开源信息的巨大来源，但它们远非唯一的来源。

首先，使用大型搜索引擎无法找到很大一部分互联网(据谷歌前首席执行官埃里克施密特(EricSchmitt)称，超过99%)。这个所谓的“深度网络”是指大量的网站、数据库、文件等，以及google，Bing，yah。
OO或任何其他形式的索引(由于各种原因，包括登录页面或收费墙的存在)都不能被索引。你会想到的搜索引擎。尽管如此，许多深层Web内容仍然可以被认为是开源的，因为它很容易被公众使用。

此外，使用传统搜索引擎以外的在线工具可以找到许多免费的在线信息。稍后将更详细地描述这一点，但作为一个简单的示例，您可以使用Shodan和sensys等工具来查找ip地址、网络、开放端口和网络摄像头。
如果现有的开放源码信息是：

发布或向公众广播(例如，新闻媒体内容)
，则打印机和几乎所有连接到因特网的其他一切信息都可以通过订阅或购买向公众提供(例如普查数据)

(例如，
任何临时观察员都可以通过访问任何地点或参加向公众开放的任何活动
，在公开会议
中看到或听到
公开
。这时，你可能会想，“伙计，这是很多信息。”
.“

你说得对.我们谈论的是数量惊人的信息，其增长速度比任何人都想要的要快得多。即使我们把它缩小到一个单一的信息来源，比如Twitter)，我们也必须每天应对数亿个新的数据点。
作为一名情报分析员，拥有如此大量的信息既是一件幸事，也是一场灾难。一方面，您可以访问您可能需要的几乎所有东西，但另一方面，您必须能够在一个无休止的数据流中真正找到它。

我如何使用开源智能？

因为我们
现在我们已经了解了开源网络智能的基本知识，我们可以看到它通常是如何使用的。

有两个常见的用例：

1.黑客和渗透试验

安全专业人员使用开放源码网络情报来查明网络中的潜在弱点，以便在受到威胁之前加以补救。

常见的弱点包括意外泄露

敏感信息，例如通过社交媒体
打开端口或不安全的互联网连接设备的未修补软件
，例如运行公共CMS产品旧版本的网站

]资产被泄露或暴露，例如贴在垃圾箱

2上的专有代码。确定外部威胁

，正如我们在过去多次讨论过的那样，因特网是了解组织最紧迫威胁的一个极好的信息来源。从确定哪些新的漏洞被积极利用以拦截即将到来的攻击中的威胁参与者，开源网络智能使安全专业人员能够优先安排他们的时间和资源，以应对当今最重要的威胁。

在大多数情况下，这类工作要求情报分析员在采取行动之前识别和关联多个数据点，以核实威胁。例
例如，虽然一条具有威胁性的推文可能不会引起注意，但如果同一条推文与已知活跃于某一特定行业的威胁群体相关联，则将从不同的角度看待这些推文。

开放源码网络智能最重要的一点是，它通常与其他智能子类型一起使用。来自封闭源的信息，如内部遥测、封闭黑暗网络社区和外部信息共享社区，通常用于过滤和验证开源网络信息。有多种工具可以帮助分析人员执行这些功能，我们将在后面讨论。

开放源码网络情报技术

既然我们已经介绍了开放源码网络智能的使用，现在是时候看看可以用来收集和处理开放源码信息的一些技术了。

首先，您必须有一个明确的策略和框架来获取和使用开源网络智能。不建议从发现任何有趣或有用的角度来研究开放源码网络智能，正如我们已经讨论过的那样，通过开放源码提供的大量信息只会使您不知所措。

相反，你必须确切地知道你想要达到什么目标(例如，找出并修复网络中的弱点)，并将你的精力投入到实现目标上。
这些目标。

第二，您必须确定一组收集和处理开放源码信息的工具和技术。再一次，可用的信息量如此之大，以至于手工处理甚至效率低下。

从广义上说，开放源码网络信息的收集可分为两类：被动收集和主动收集。

被动收集通常涉及使用威胁情报平台(TIP)将各种威胁源组合到一个可访问的位置。虽然这是从手工收集情报的一个重要步骤，但信息超载的风险仍然很高。比如有记录的未来。
更高级的威胁智能解决方案通过使用人工智能、机器学习和自然语言处理，自动解决根据组织的特定需求确定警报优先级和取消警报的过程。

主动收集是使用各种技术寻找具体见解或信息。对于安全专业人员来说，这种收集通常有两个原因之一：

被动收集警报突出显示了潜在的威胁，
情报收集工作的重点非常具体，例如渗透测试

开放源码情报工具

最后，我们将介绍
介绍一些最常用的收集和处理开源网络智能的工具。

虽然有许多免费和有用的工具可供安全专业人员和威胁参与者使用，但一些最常用(和被滥用)的开放源码网络情报工具是搜索引擎，如Google。

正如我们所解释的，安全专业人员面临的最大问题之一是正常的，善意的用户意外地向互联网泄露敏感资产和信息的规律性。有一系列名为“google dork”的高级搜索功能，可以用来识别它们的公开信。
利息和资产。

Google询问者根据每天使用IT专业人员和黑客来执行他们的工作来查询搜索操作员。常见的示例包括“filetype：”(将搜索结果缩小到特定的文件类型)和“site：”(只返回指定网站或域的结果)。

除了搜索引擎之外，实际上还有数百种工具可用来查明网络弱点或暴露的资产。例如，您可以使用Wappalyzer来识别网站上使用的技术，然后将结果与Splotus或国家脆弱性联系起来
对数据库进行合并，以确定是否存在任何相关漏洞。此外，您还可以使用更高级的威胁智能解决方案(如RecordFuture)来确定漏洞是否正在被积极利用或包含在任何有效的利用工具包中。

当然，这里提供的例子只是开放源码网络情报工具可能使用的一小部分，而且有大量免费和先进的工具可用于查找和分析开放源码信息。它的通用功能包括：

元数据搜索
代码搜索
人和身份调查
电话号码研究

电子邮件搜索和核实 相关社会媒体帐户 图像分析 地理空间研究和制图 无线网络检测和数据包分析