目录导航
CISA 发布了一份指南,其中包含可能对事件响应有价值的免费网络安全资源工具和服务。
但该指南分为几类:基本措施,如何减少“破坏性”网络攻击的可能性;检测入侵、事件响应和资源以最大限度地抵御破坏性攻击的步骤。
CISA简介
美国网络安全和基础设施安全局 (CISA) 负责监控、管理和降低该国关键基础设施的风险。该联邦机构还以发布与备受瞩目的数据泄露和漏洞披露有关的警报而闻名。
CISA发布的免费的网络安全服务和工具详情
作为我们降低美国关键基础设施合作伙伴和州、地方、部落和地区政府网络安全风险的持续使命的一部分,CISA 编制了一份免费网络安全工具和服务清单,以帮助组织进一步提高其安全能力。这个活动的存储库包括 CISA 提供的网络安全服务、广泛使用的开源工具,以及整个网络安全社区中私营和公共部门组织提供的免费工具和服务。CISA 将为组织实施一个流程,以在未来提交额外的免费工具和服务以纳入此列表。
该列表并不全面,可能会在未来添加时发生变化。CISA 采用中立的原则和标准来添加项目,并在确定所包含项目时保持唯一且不可审查的自由裁量权。CISA 不证明这些服务和工具对任何特定用例的适用性或有效性。CISA 不认可任何商业产品或服务。通过服务标志、商标、制造商或其他方式对特定商业产品、流程或服务的任何引用,并不构成或暗示 CISA 对其的认可、推荐或偏爱。
基本措施
所有组织都应采取某些基本措施来实施强大的网络安全计划:
- 修复软件中已知的安全漏洞。检查CISA 已知已利用漏洞 (KEV) 目录以了解贵组织使用的软件,如果列出,请根据供应商的说明将软件更新到最新版本。注意: CISA 不断更新 KEV 目录,其中包含已知的被利用漏洞。
- 实施多因素身份验证 (MFA)。尽可能使用多因素身份验证。MFA 是一种分层方法来保护您的在线帐户及其包含的数据。当您在在线服务(如电子邮件)中启用 MFA 时,您必须提供两个或多个身份验证器的组合,以在服务授予您访问权限之前验证您的身份。使用 MFA 可以保护您的帐户,而不仅仅是使用用户名和密码。为什么?因为即使一个因素(例如您的密码)被泄露,未经授权的用户也将无法满足第二次身份验证要求,最终阻止他们访问您的帐户。
- 停止不良做法。立即采取措施:
(1) 更换不再接收软件更新的报废软件产品;
(2) 更换任何依赖已知/默认/不可更改密码的系统或产品;
(3) 采用 MFA(见上文)对重要系统、资源或数据库进行远程或管理访问。 - 注册 CISA 的网络卫生漏洞扫描。通过发送电子邮件至漏洞@cisa.dhs.gov 注册此服务。一旦启动,该服务大部分是自动化的,几乎不需要直接交互。CISA 执行漏洞扫描并提供每周报告。在 CISA 收到所需的文件后,扫描将在 72 小时内开始,组织将在两周内开始接收报告。注意:漏洞扫描有助于保护面向 Internet 的系统免受弱配置和已知漏洞的影响,并鼓励采用最佳实践。
- 让您的东西远离搜索 (SOS)。虽然零日攻击引起了最多的关注,但通常会忽略对网络和物理安全的不太复杂的暴露。让您的东西远离搜索–SOS – 并减少任何人在基于 Web 的搜索平台上都可以看到的 Internet 攻击面。
CISA已知漏洞利用列表:
https://www.ddosi.org/cisa.html
免费服务和工具
在上述措施取得进展后,组织可以使用下面列出的免费服务和工具来完善其网络安全风险管理。这些资源根据CISA 见解中概述的四个目标进行分类:立即实施网络安全措施以防范关键威胁:
- 降低破坏性网络事件的可能性;
- 快速检测恶意活动;
- 有效应对已确认的事件;和
- 最大限度地提高弹性。
降低破坏性网络事件的可能性
| 服务 | 技能等级 | 所有者 | 描述 | 关联 |
|---|---|---|---|---|
| CISA 网络安全出版物 | 基本的 | CISA | CISA 通过电子邮件、RSS 提要和社交媒体向订阅者提供自动更新。订阅以在发布时收到 CISA 出版物的通知。 | https://www.cisa.gov/subscribe-updates-cisa |
| CISA 漏洞扫描 | 基本的 | CISA | 该服务通过对公共静态 IP 进行连续扫描以查找可访问的服务和漏洞来评估外部网络的存在。它提供每周漏洞报告和临时警报。有关详细信息,请参阅https://www.cisa.gov/cyber-resource-hub。 | [email protected] |
| CISA Web 应用程序扫描 | 基本的 | CISA | 该服务评估已知和发现的可公开访问网站的潜在错误和薄弱配置,以提供减轻 Web 应用程序安全风险的建议。有关详细信息,请参阅https://www.cisa.gov/cyber-resource-hub。 | [email protected] |
| CISA 网络钓鱼活动评估 | 基本的 | CISA | 该服务为确定人员对网络钓鱼攻击的潜在敏感性提供了机会。这是一个实践练习,旨在支持和衡量安全意识培训的有效性。有关详细信息,请参阅https://www.cisa.gov/cyber-resource-hub。 | [email protected] |
| CISA 远程渗透测试 | 基本的 | CISA | 该测试模拟现实世界对手的策略和技术,以识别和验证可利用的路径。该服务非常适合测试外围防御、外部可用应用程序的安全性以及利用开源信息的潜力。有关详细信息,请参阅https://www.cisa.gov/cyber-resource-hub。 | [email protected] |
| 免疫防病毒 | 基本的 | 思科 | Immunet 是用于 Microsoft Windows 的恶意软件和防病毒保护系统,它利用云计算来提供增强的基于社区的安全性。 | https://www.immunet.com/ |
| Cloudflare Unmetered 分布式拒绝服务保护 | 基本的 | Cloudflare | Cloudflare DDoS 保护可保护网站、应用程序和整个网络,同时确保合法流量的性能不受影响。 | https://www.cloudflare.com/plans/free/ |
| Cloudflare 通用安全套接字层证书 | 基本的 | Cloudflare | SSL(安全套接层)是用于在 Web 服务器和浏览器之间建立加密链接的标准安全技术。Cloudflare 允许任何互联网资产通过单击按钮使用 SSL。 | https://www.cloudflare.com/plans/free/ |
| Microsoft Defender 应用程序防护 | 基本的 | 微软 | 此功能通过在隔离浏览环境中打开 Microsoft Edge 来提供隔离浏览,以更好地保护设备和数据免受恶意软件的侵害。 | https://docs.microsoft.com/en-us/windows/security/threat-protection/microsoft-defender-application-guard/md-app-guard-overview |
| Windows 中的受控文件夹访问/勒索软件保护 | 基本的 | 微软 | Windows 中的受控文件夹访问通过保护设备上的文件夹、文件和内存区域免受不友好的应用程序未经授权的更改来帮助抵御勒索软件等威胁。 | https://docs.microsoft.com/en-us/microsoft-365/security/defender-endpoint/controlled-folders |
| Microsoft Defender 防病毒软件 | 基本的 | 微软 | 该工具用于保护和检测端点威胁,包括基于文件和无文件的恶意软件。内置于 Windows 10 和 11 以及 Windows Server 版本中。 | https://docs.microsoft.com/en-us/microsoft-365/security/defender-endpoint/microsoft-defender-antivirus-windows |
| 网络安全评估工具 (CSET) 和现场网络安全咨询 | 基本的 | CISA | 该工具可帮助组织保护其关键的国家网络资产。该工具为用户提供了一种系统且可重复的方法来评估其网络系统和网络的安全状况。它包括与所有工业控制和 IT 系统相关的高级和详细问题。 | https://github.com/cisagov/cset |
| CIS 硬件和软件资产跟踪器 | 基本的 | 互联网安全中心 | 该工具旨在帮助识别设备和应用程序。电子表格可用于跟踪硬件、软件和敏感信息。 | https://www.cisecurity.org/white-papers/cis-hardware-and-software-asset-tracking-spreadsheet/ |
| PGP | 基本的 | 开源 | 此工具使用公钥密码术加密电子邮件。 | https://www.openpgp.org/ |
| 适用于 Microsoft Windows 的 BitLocker | 基本的 | 微软 | 此工具对 Microsoft Windows 系统进行加密。 | https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bitlocker-how-to-deploy-on-windows-server |
| 广告拦截 | 基本的 | 开源 | 此工具可在浏览时阻止弹出广告、视频和其他不需要的内容。 | https://gcatoolkit.org/tool/adblock/ |
| 适用于 Android 的 Quad9 | 基本的 | 开源 | 此适用于 Android 设备的工具旨在帮助阻止用户访问含有病毒或其他恶意软件的已知网站。 | https://www.quad9.net/news/blog/quad9-connect-now-available-on-google-play/ |
| Quad9 | 基本的 | 开源 | 此工具旨在防止计算机和设备连接到恶意软件或网络钓鱼站点。 | https://quad9.net/ |
| 谷歌安全浏览 | 基本的 | 谷歌 | 该工具集可识别网络上已知的网络钓鱼和恶意软件,并帮助通知用户和网站所有者潜在的危害。它被集成到许多主要产品中,并为网站管理员提供工具。 | https://safebrowsing.google.com |
| 盾牌计划 | 基本的 | 谷歌拼图 | Project Shield 是一项免费服务,可保护新闻、人权和选举监控网站免受 DDoS 攻击 | https://projectshield.withgoogle.com/landing |
| 谷歌验证码 | 基本的 | 谷歌 | reCAPTCHA 使用高级风险分析引擎和自适应挑战来防止恶意软件在用户网站上进行滥用活动。 | https://www.google.com/recaptcha/about/ |
| 网络风险 | 基本的 | 谷歌 | Web Risk API 是 Google Cloud 的一项用户保护服务,旨在降低针对用户生成内容的威胁风险。Web Risk API 允许组织将其环境中的 URL 与超过 100 万个不安全 URL 的存储库进行比较。 | https://cloud.google.com/web-risk |
| 谷歌安全指挥中心 | 基本的 | 谷歌 | 该工具通过评估用户的安全和数据攻击面来帮助用户加强安全态势;提供资产清单和发现;识别错误配置、漏洞和威胁;并帮助他们减轻和补救风险。 | https://cloud.google.com/security-command-center |
| 谷歌 OSS 模糊 | 基本的 | 谷歌 | OSS-Fuzz 旨在通过将现代模糊测试技术与可扩展的分布式执行相结合,使通用开源软件更加安全和稳定。 | https://google.github.io/oss-fuzz/ |
| Santa | 基本的 | 开源 | Santa 是 macOS 的二进制授权系统。 | https://santa.dev/ |
| Go Safe Web | 基本的 | 开源 | Go Safe Web 是一组库,用于在 Go 中编写默认安全的 HTTP 服务器。 | https://github.com/google/go-safeweb |
| 开源漏洞 (OSV) | 基本的 | 开源 | OSV 是开源项目的漏洞数据库和分类基础设施,旨在帮助开源维护者和开源消费者。 | https://osv.dev/ |
| 开源见解 | 基本的 | 开源 | Open Source Insights 是一个包含漏洞信息的可搜索依赖关系图。 | https://deps.dev/ |
| AllStar | 基本的 | 开源 | AllStar 是一个用于执行安全策略和权限的 GitHub 应用程序。 | https://github.com/ossf/allstar |
| 安全记分卡 | 基本的 | 开源 | 安全记分卡是开源安全健康指标的集合,允许用户在使用前评估开源包的安全实践。结果作为 Google Cloud 大查询数据集公开提供。 | https://github.com/ossf/scorecard |
| Tink | 基本的 | 开源 | Tink 是一个多语言、跨平台的开源库,它提供了安全、易于正确使用和难以误用的加密 API。 | https://github.com/google/tink |
| Google 网络安全行动小组 | 基本的 | 谷歌 | 该服务提供了许多安全资源,包括安全蓝图、白皮书、威胁报告和有关近期漏洞的信息。 | https://cloud.google.com/security/gcat |
| Tsunami 安全扫描仪 | 基本的 | 开源 | Tsunami 是一个通用的网络安全扫描器,带有一个可扩展的插件系统,用于以高可信度检测高严重性漏洞。 | https://github.com/google/tsunami-security-scanner |
| OpenDNS 主页 | 基本的 | 思科 | OpenDNS 会阻止网络钓鱼网站,这些网站试图通过伪装成合法网站来窃取您的身份和登录信息。 | https://signup.opendns.com/homefree/ |
| CrowdStrike CRT | 先进的 | CrowdStrike | CRT 是一个免费的社区工具,旨在帮助组织快速轻松地查看其 Azure AD 环境中的过多权限。CRT 有助于确定配置弱点并提供建议以降低此风险。 | https://www.crowdstrike.com/resources/community-tools/crt-crowdstrike-reporting-tool-for-azure/ |
| Tenable Nessus Essentials | 先进的 | Tenable | 这个免费版本的漏洞评估解决方案包括远程和本地(经过身份验证)安全检查、具有基于 Web 界面的客户端/服务器架构,以及用于编写您自己的插件或理解现有插件的嵌入式脚本语言。默认限制为 16 个主机。 | https://www.tenable.com/products/nessus/nessus-essentials |
| Alien Labs 开放威胁交换 (OTX) 端点安全 | 先进的 | AT&T 网络安全 | 该工具利用来自 Alien Labs OTX 的数据来帮助确定端点是否在重大网络攻击中受到损害。通过使用 OTX 扫描 IOC,快速了解所有端点上的威胁。 | https://cybersecurity.att.com/open-threat-exchange |
| Alien Labs 开放威胁交换 (OTX) | 先进的 | AT&T 网络安全 | OTX 提供对威胁研究人员和安全专业人员的全球社区的开放访问。它提供社区生成的威胁数据,支持协作研究,并使用来自任何来源的威胁数据自动更新安全基础设施的过程。OTX 使安全社区中的任何人都能够积极讨论、研究、验证和共享最新的威胁数据、趋势和技术。 | https://cybersecurity.att.com/open-threat-exchange |
| ClamAV | 先进的 | 思科 | ClamAV 是一种开源(通用公共许可证 [GPL])防病毒引擎,可用于各种情况,包括电子邮件和 Web 扫描以及端点安全。它为用户提供了许多实用程序,包括灵活且可扩展的多线程守护程序、命令行扫描程序和用于自动数据库更新的高级工具。 | http://www.clamav.net/ |
| Kali Linux 渗透测试平台 | 先进的 | Kali Linux 项目 | Kali Linux 包含数百个针对各种信息安全任务的工具,例如渗透测试、安全研究、计算机取证和逆向工程。 | https://www.kali.org/ |
| Cloudflare 零信任服务 | 先进的 | Cloudflare | Cloudflare 零信任服务是必不可少的安全控制措施,可在 3 个网络位置和多达 50 个用户中保护员工和应用程序的在线安全。服务包括:零信任网络访问;安全 Web 网关,到 IP/主机的专用路由;HTTP/S 检查和过滤器;网络防火墙即服务;DNS 解析和过滤器;和云访问安全代理。 | https://www.cloudflare.com/plans/free/ |
| Microsoft Sysinternals 安全实用程序 | 先进的 | 微软 | Sysinternals Security Utilities 是免费的、可下载的工具,用于诊断、故障排除和深入了解 Windows 平台。 | https://docs.microsoft.com/en-us/sysinternals/downloads/security-utilities |
| 内存完整性 | 先进的 | 微软 | Windows 中的内存完整性(也称为受 Hypervisor 保护的代码完整性 (HVCI))是一种 Windows 安全功能,它使恶意程序很难使用低级驱动程序劫持计算机。 | https://docs.microsoft.com/en-us/windows/security/threat-protection/device-guard/enable-virtualization-based-protection-of-code-integrity |
| RiskIQ 社区 | 先进的 | 微软 | RiskIQ 社区提供对互联网情报的免费访问,包括数以千计的 OSINT 文章和工件。社区用户可以通过攻击者基础设施数据来调查威胁,了解哪些数字资产在互联网上暴露,并绘制和监控他们的外部攻击面。 | https://community.riskiq.com/home |
| IBM X-Force 交换 | 先进的 | IBM | IBM X-Force Exchange 是一个基于云的威胁情报平台,允许用户使用、共享威胁情报并采取行动。它使用户能够对最新的全球安全威胁进行快速研究、汇总可操作的情报、咨询专家并与同行协作。 | https://www.ibm.com/products/xforce-exchange |
| Mandiant 攻击面管理 | 先进的 | Mandiant | 这种信息安全预警系统允许您: 通过基于图形的映射创建全面的可见性;了解资产何时发生变化以领先于威胁;并授权安全运营以减轻现实世界的威胁。 | https://www.mandiant.com/advantage/attack-surface-management/get-started |
| Mandiant威胁情报 | 先进的 | Mandiant | 免费访问 Mandiant 威胁情报门户可帮助用户了解最近的安全趋势、主动寻找威胁参与者并确定响应活动的优先级。 | https://www.mandiant.com/advantage/threat-intelligence/free-version |
| Splunk 合成对抗日志对象 (SALO) | 先进的 | Splunk | SALO 是一个用于生成合成日志事件的框架,无需基础设施或操作来启动导致日志事件的事件。 | https://github.com/splunk/salo |
| Splunk 攻击检测收集器 (ADC) | 先进的 | Splunk | 该工具简化了从博客或 PDF 中收集 MITRE ATT&CK ®技术并将 ATT&CK TTP 映射到 Splunk 检测内容的过程。 | https://github.com/splunk/attack-detections-collector |
| Splunk 攻击范围 | 先进的 | Splunk | 该工具可在可重复的支持云的(或本地)实验室中启用模拟攻击,重点是 Atomic Red Team 集成。 | https://github.com/splunk/attack_range |
| Splunk 培训 | 先进的 | Splunk | Splunk Training 是一个免费的托管平台,用于按需培训,提供针对特定攻击和现实场景的动手实践。 | https://bots.splunk.com |
| VMware Carbon Black 用户交流 | 先进的 | VMware | Carbon Black User Exchange 提供对全球安全专业人员社区共享的实时威胁研究数据的访问。 | https://community.carbonblack.com/ |
| 炭黑 TAU Excel 4 宏观分析 | 先进的 | VMware | 该工具针对 Excel 4.0 宏技术测试端点安全解决方案。 | https://github.com/carbonblack/excel4-tests |
| parosproxy | 先进的 | 开源 | 这个基于 Java 的工具用于查找 Web 应用程序中的漏洞。它包括一个网络流量记录器、网络蜘蛛、哈希计算器和一个扫描仪,用于测试常见的网络应用程序攻击,例如 SQL 注入和跨站点脚本。 | https://www.parosproxy.org/ |
| SANS 讲师的网络安全工具 | 先进的 | SANS | 该网站包含指向网络安全讲师构建的一系列开源工具的链接。 | https://www.sans.org/tools/ |
| Windows Management Instrumentation 命令行 | 先进的 | 微软 | WMI 命令行 (WMIC) 实用程序为 Windows Management Instrumentation (WMI) 提供命令行界面。WMIC 与现有的 shell 和实用程序命令兼容。 | https://docs.microsoft.com/en-us/windows/win32/wmisdk/wmic |
| letsencrypt | 先进的 | 开源 | 此工具提供免费的数字证书,为网站启用 HTTPS (SSL/TLS)。 | https://letsencrypt.org/getting-started/ |
| hping | 先进的 | 开源 | 此工具组装并发送自定义 ICMP、UDP 或 TCP 数据包,然后显示任何回复。它可用于执行安全评估。 | http://www.hping.org/ |
| aircrack-ng | 先进的 | 开源 | Aircrack 是一套用于测试无线网络密码强度的工具。 | https://www.aircrack-ng.org/ |
| Nikto | 先进的 | 开源 | Nikto 是一款开源 (GPL) 网络服务器扫描程序,可针对多个项目(包括危险文件和程序)对网络服务器执行漏洞扫描。Nitko 检查过时版本的 Web 服务器软件。它还检查服务器配置错误以及它们可能引入的任何可能的漏洞。 | https://cirt.net/nikto2 |
| w3af | 先进的 | 开源 | W3af 是一个用于查找和利用 Web 应用程序漏洞的灵活框架,具有数十个 Web 评估和利用插件。 | http://w3af.org/ |
| VMware 融合播放器 | 先进的 | VMware | 该工具允许 Mac 用户在虚拟机中运行 Windows、Linux、容器、Kubernetes 等,而无需重新启动。 | https://customerconnect.vmware.com/web/vmware/evalcenter?p=fusion-player-personal |
| Secureworks PhishInSuits | 先进的 | 安全工程 | PhishInSuits (pis.py) 工具针对 BEC 攻击等场景进行安全评估和测试控制框架。它将这种非法同意攻击的变体与基于 SMS 的网络钓鱼相结合,以模拟 BEC 活动,并包括自动数据泄露功能。 | https://github.com/secureworks/PhishInSuits |
| Secureworks WhiskeySAML | 先进的 | 安全工程 | WhiskeySAML 工具可自动远程提取 ADFS 签名证书。WhiskeySAML 然后使用此签名证书发起 Golden SAML 攻击并模拟目标组织内的任何用户。 | https://github.com/secureworks/whiskeysamlandfriends |
| 协同过滤器 | 先进的 | 安全工程 | 该工具旨在通过 Burp Collaborator 通过 DNS 泄露盲目的远程代码执行输出。 | https://github.com/0xC01DF00D/Collabfiltrator |
| O365喷雾 | 先进的 | 安全工程 | 该工具是一款针对Microsoft Office 365的用户名枚举和密码喷洒工具。 | https://github.com/0xZDH/o365spray |
| Tachyon | 先进的 | 安全工程 | Tachyon 是一种快速的 Web 应用程序安全侦察工具。它旨在通过添加报告页面或泄漏内部数据的脚本(也称为“盲”爬取)来爬取 Web 应用程序并查找剩余或未编制索引的文件。它从命令行使用并针对特定域。Tachyon 使用内部数据库快速构建这些盲查询。 | https://github.com/delvelabs/tachyon |
| Vane2 | 先进的 | 安全工程 | Vane2 是一个 WordPress 站点漏洞扫描器。它旨在针对 WordPress 网站并识别相应的 WordPress 版本及其安装的插件,以便报告每个网站的已知漏洞。 | https://github.com/delvelabs/vane2 |
| Batea | 先进的 | 安全工程 | Batea 是用于渗透测试和网络侦察的机器学习的实际应用。它使用地图报告并使用基于机器学习算法异常检测系列的上下文驱动的网络设备排名框架。Batea 的目标是允许安全团队使用 nmap 扫描报告自动过滤大型网络中有趣的网络资产。 | https://github.com/delvelabs/batea |
| Checkov | 先进的 | Palo Alto网络 | 此工具可扫描基础架构即代码 (IaC)、容器映像、开源包和管道配置以查找安全错误。凭借数百个内置策略,Checkov 可以在开发人员工具(CLI、IDE)和工作流(CI/CD 管道)中发现代码中的错误配置和漏洞。 | https://github.com/bridgecrewio/checkov |
| Palo Alto Networks Unit 42 – 可操作的威胁对象和缓解措施 (ATOM) | 先进的 | Palo Alto网络 | ATOMs 是几个常见威胁对手观察到的行为的免费存储库,映射到 MITRE ATT&CK 框架。ATOM 可以按目标扇区、区域或恶意软件进行过滤,以便于信息共享和部署推荐的安全缓解措施。 | https://unit42.paloaltonetworks.com/atoms/ ; |
| 谷歌集群模糊 Google ClusterFuzz | 先进的 | 谷歌 | ClusterFuzz 是一个可扩展的模糊测试基础设施,可以发现软件中的安全性和稳定性问题。它也是 Google OSS-Fuzz 的 fuzzing 后端。ClusterFuzz Lite 是基于 ClusterFuzz 的简单 CI 集成模糊测试。 | https://google.github.io/clusterfuzz/ |
采取措施快速检测潜在入侵
| 服务 | 技能等级 | 所有者 | 描述 | 关联 |
|---|---|---|---|---|
| Microsoft Defender 防病毒软件 | 基本的 | 微软 | 该工具可保护和检测端点威胁,包括基于文件和无文件的恶意软件。内置于 Windows 10 和 11 以及 Windows Server 版本中。 | https://docs.microsoft.com/en-us/microsoft-365/security/defender-endpoint/microsoft-defender-antivirus-windows |
| 微软安全扫描仪 | 基本的 | 微软 | Microsoft Safety Scanner 是一种扫描工具,旨在从 Windows 计算机中查找和删除恶意软件。它可以运行扫描以查找恶意软件并尝试逆转已识别威胁所做的更改。 | https://docs.microsoft.com/en-us/windows/security/threat-protection/intelligence/safety-scanner-download |
| Windows 恶意软件删除工具 | 基本的 | 微软 | 此工具由 Microsoft 按月发布,作为 Windows 更新的一部分或作为独立工具。它可用于查找和删除特定的普遍威胁并扭转他们所做的更改。 | https://support.microsoft.com/en-us/topic/remove-specific-prevalent-malware-with-windows-malicious-software-removal-tool-kb890830-ba51b71f-39cd-cdec-73eb-61979b0661e0 |
| MSTICpy | 基本的 | 微软 | MSTICPy 是一个与 SIEM 无关的 Python 工具包,供安全分析师协助调查和威胁搜寻。它主要设计用于 Jupyter 笔记本。 | https://msticpy.readthedocs.io/en/latest/ |
| 谷歌安全浏览 | 基本的 | 谷歌 | 该服务可识别网络上已知的网络钓鱼和恶意软件,并帮助通知用户和网站所有者潜在的危害。它被集成到许多主要产品中,并为网站管理员提供工具。 | https://safebrowsing.google.com |
| Mandiant 红队和调查工具 | 先进的 | 曼迪安特 | 这些工具旨在确认和调查可疑的安全威胁。 | https://github.com/Mandiant |
| 用于系统日志的 Splunk Connect | 先进的 | 斯普伦克 | 该工具用于将基于 syslog 的数据导入 Splunk,包括数据过滤和解析功能。 | https://splunkbase.splunk.com/app/4740/#/overview |
| 企业日志搜索和归档 (ELSA) | 先进的 | 开源 | Enterprise Log Search and Archive (ELSA) 是用于传入系统日志的三层日志接收器、归档器、索引器和 Web 前端。 | https://github.com/mcholste/elsa |
| Mandiant Azure AD 调查员 | 先进的 | Mandiant | 此存储库包含一个 PowerShell 模块,用于检测可能是 UNC2452 和其他威胁参与者活动指标的工件。一些指标是妥协的“高保真”指标;其他工件是所谓的“双重用途”工件。双重用途工件可能与威胁参与者活动有关,但也可能与合法功能有关。 | https://github.com/mandiant/Mandiant-Azure-AD-Investigator |
| VirusTotal | 先进的 | 谷歌 | VirusTotal 使用 70 多种防病毒扫描程序和 URL/域阻止列表服务以及各种工具检查项目,以从研究内容中提取信号。用户可以通过浏览器从计算机中选择一个文件并将其发送到 VirusTotal。提交可以使用基于 HTTP 的公共 API 以任何编程语言编写脚本。 | https://support.virustotal.com/hc/en-us/articles/115002126889-How-it-works |
| Netfilter | 先进的 | 开源 | Netfilter 是在标准 Linux 内核中实现的数据包过滤器。用户空间 iptables 工具用于配置。它支持包过滤(无状态或有状态)、多种网络地址和端口转换(NAT/NAPT),以及用于第三方扩展的多个 API 层。它包括许多用于处理不规则协议的不同模块,例如 FTP。 | https://www.netfilter.org/ |
| Wireshark | 先进的 | 开源 | Wireshark 是一个开源的多平台网络协议分析器,它允许用户检查来自实时网络或磁盘上捕获文件的数据。该工具可以交互式地浏览捕获数据,深入研究所需的数据包细节级别。Wireshark 具有多种功能,包括丰富的显示过滤语言和查看重建的 TCP 会话流的能力。它还支持数百种协议和媒体类型。 | https://www.wireshark.org/ |
| Ettercap | 先进的 | 开源 | Ettercap 是针对 LAN 上的中间对手攻击的套件,包括嗅探实时连接、动态内容过滤和许多其他功能。它支持对许多协议(包括加密协议)的主动和被动剖析,并包括许多用于网络和主机分析的功能。 | http://ettercap.sourceforge.net/ |
| Kismet | 先进的 | 开源 | Kismet 是一个基于控制台 (ncurses) 的 802.11 第 2 层无线网络检测器、嗅探器和入侵检测系统。它通过被动嗅探来识别网络,并且可以在隐藏(非信标)网络正在使用时对其进行解密。它可以通过嗅探 TCP、UDP、ARP 和 DHCP 数据包自动检测网络 IP 块,以 Wireshark/tcpdump 兼容格式记录流量,甚至在下载的地图上绘制检测到的网络和估计范围。 | https://www.kismetwireless.net/ |
| Snort | 先进的 | 思科 | 该网络入侵检测和防御系统对 IP 网络进行流量分析和数据包记录。通过协议分析、内容搜索和各种预处理器,Snort 检测到数以千计的蠕虫、漏洞利用尝试、端口扫描和其他可疑行为。Snort 使用一种灵活的基于规则的语言来描述它应该收集或传递的流量,以及一个模块化的检测引擎。相关的免费基本分析和安全引擎 (BASE) 是用于分析 Snort 警报的 Web 界面。 | https://www.snort.org/ |
| sqlmap | 先进的 | 开源 | sqlmap 是一个开源渗透测试工具,可自动检测和利用 SQL 注入漏洞并接管后端数据库服务器。它具有广泛的功能,从数据库指纹识别到从数据库中获取数据以及访问底层文件系统和通过带外连接执行操作系统命令。 | http://sqlmap.org/ |
| RITA | 先进的 | 开源 | Real Intelligence Threat Analytics (RITA) 是一个开源框架,用于通过网络流量分析检测命令和控制通信。RITA 框架摄取 Zeek 日志或转换为 Zeek 日志的 PCAP 以进行分析。 | https://www.activecountermeasures.com/free-tools/rita/ |
| Secureworks Dalton | 先进的 | 安全工程 | Dalton 是一个允许用户使用定义的规则集和/或定制规则针对他们选择的网络传感器运行网络数据包捕获的系统。Dalton 在一个系统中涵盖 Snort/Suricata/Zeek 分析。 | https://github.com/secureworks/dalton |
确保组织准备好应对入侵事件
| 服务 | 技能等级 | 所有者 | 描述 | 关联 |
|---|---|---|---|---|
| GRR 快速反应 | 基本的 | 谷歌 | GRR Rapid Response 是一个专注于远程实时取证的事件响应框架。GRR 的目标是以快速、可扩展的方式支持取证和调查,使分析师能够快速分类攻击并远程执行分析。 | https://grr-doc.readthedocs.io |
| 微软 PsExec | 先进的 | 微软 | PsExec 是一个轻量级的 telnet 替代品,它允许用户在其他系统上执行进程(完成与控制台应用程序的完全交互),而无需手动安装客户端软件。PsExec 的用途包括在远程系统上启动交互式命令提示和远程启用工具,例如 IpConfig,否则它们无法显示有关远程系统的信息。 | https://docs.microsoft.com/en-us/sysinternals/downloads/psexec |
| VMware 工作站播放器 | 先进的 | VMware | 此工具在 Windows 或 Linux PC 上运行单个虚拟机。它可以在设置环境来分析恶意软件时使用。 | https://www.vmware.com/products/workstation-player/workstation-player-evaluation.html |
| VMware ESXi – 免费 | 先进的 | VMware | 设置环境以分析恶意软件时可以使用此工具。它是一个裸机管理程序,直接安装在物理服务器上,提供对底层资源的直接访问和控制。它可用于有效地划分硬件以整合应用程序。 | https://www.vmware.com/products/esxi-and-esx.html |
| dTimeWolf | 先进的 | 谷歌 | dTimeWolf 是一个用于编排取证收集、处理和数据导出的开源框架。 | https://dftimewolf.readthedocs.io |
| Turbinia | 先进的 | 谷歌 | Turbinia 是一个用于部署、管理和运行分布式取证工作负载的开源框架。 | https://turbinia.readthedocs.io |
| Timesketch | 先进的 | 开源 | Timesketch 是一个用于协作取证时间线分析的开源工具。使用草图,用户及其合作者可以轻松地组织时间线并同时对其进行分析。 | https://timesketch.org/ |
最大限度地提高组织对破坏性网络事件的抵御能力
| 服务 | 技能等级 | 所有者 | 描述 | 关联 |
|---|---|---|---|---|
| Windows 自动备份 | 基本的 | 微软 | 此工具设置 Windows 10 和 11 操作系统的自动备份。 | https://support.microsoft.com/en-us/windows/backup-and-restore-in-windows-352091d2-bb9d-3ea3-ed18-52ef2b88cbef |
| 谷歌备份与同步 | 基本的 | 谷歌 | 此工具可备份 Windows 或 Mac 计算机上的文件。注意:它不允许用户恢复他们的系统;它只保存文件的副本。 | https://support.google.com/drive/answer/7638428 |
| Microsoft 威胁建模工具 | 先进的 | 微软 | 该工具旨在通过用于可视化系统组件、数据流和安全边界的标准符号,使开发人员更容易进行威胁建模。 | https://www.microsoft.com/en-us/securityengineering/sdl/threatmodeling |
| 微软 SecCon 框架 | 先进的 | 微软 | 该框架旨在帮助确定端点强化建议的优先级。 | https://github.com/microsoft/SecCon-Framework |
转载请注明出处及链接