ในโลกของความปลอดภัยทางไซเบอร์และการวิเคราะห์เครือข่ายที่พัฒนาอยู่ตลอดเวลา เครื่องมือที่มีประสิทธิภาพซึ่งรวบรวมข้อมูลจากหลายแหล่งเป็นสิ่งที่มีคุณค่าอย่างยิ่ง เครื่องมือคำสั่งใหม่ที่เรียกว่า wtfis (การเล่นคำที่ชาญฉลาดจากคำสั่ง whois แบบดั้งเดิม) ได้ดึงดูดความสนใจจากผู้เชี่ยวชาญด้านความปลอดภัยและนักวิเคราะห์ด้วยความสามารถในการรวบรวมข้อมูลที่ครอบคลุมเกี่ยวกับโดเมน FQDN หรือที่อยู่ IP โดยใช้บริการข่าวกรองแบบเปิด (OSINT) ต่างๆ
เครื่องมือที่สร้างมาเพื่อการใช้งานของมนุษย์
สิ่งที่ทำให้ wtfis แตกต่างจากเครื่องมืออื่นที่คล้ายกันคือการเน้นความอ่านง่ายสำหรับมนุษย์ เครื่องมือนี้นำเสนอข้อมูลในรูปแบบที่น่าดึงดูดด้วยแผงข้อมูลที่มีรหัสสีซึ่งทำให้ข้อมูลที่ซับซ้อนง่ายต่อการตีความ ปรัชญาการออกแบบนี้ตอบโจทย์นักวิเคราะห์ศูนย์ปฏิบัติการความปลอดภัย (SOC) ที่ต้องการประเมินภัยคุกคามที่อาจเกิดขึ้นอย่างรวดเร็ว
ผมประหลาดใจจริงๆ ที่ไม่มีใครสร้างสิ่งนี้มาก่อน นี่คือสิ่งที่นักวิเคราะห์ SOC ต้องการพอดี
อินเทอร์เฟซของเครื่องมือนี้จัดระเบียบผลลัพธ์เป็นแผงข้อมูลที่สะอาดและอ่านง่าย ซึ่งนำเสนอข้อมูลจากหลายแหล่งพร้อมกัน ช่วยขจัดความจำเป็นในการสืบค้นบริการต่างๆ ด้วยตนเองและนำผลลัพธ์มารวมกัน
แหล่งข้อมูลที่ครอบคลุม
wtfis รวมข้อมูลจากบริการด้านความปลอดภัยและข่าวกรองที่น่าเชื่อถือหลายแห่ง โดยหลักแล้ว เครื่องมือนี้ใช้ VirusTotal สำหรับการดึงข้อมูลหลัก แต่ยังสามารถดึงข้อมูลจาก P2Whois, IPWhois, Shodan, Greynoise, URLhaus และ AbuseIPDB ได้อีกด้วย การรวมแหล่งข้อมูลนี้ช่วยให้ผู้ใช้มีมุมมองแบบองค์รวมของสิ่งที่พวกเขากำลังตรวจสอบ รวมถึงคะแนนชื่อเสียง การแปลงที่อยู่ IP ข้อมูลตำแหน่งทางภูมิศาสตร์ พอร์ตที่เปิดอยู่ และสัญญาณของกิจกรรมที่อาจเป็นอันตราย
สำหรับผู้เชี่ยวชาญด้านความปลอดภัยที่ต้องตรวจสอบโดเมนหรือ IP ที่น่าสงสัยเป็นประจำ วิธีการใช้หลายแหล่งข้อมูลนี้ช่วยประหยัดเวลาอย่างมากเมื่อเทียบกับการตรวจสอบแต่ละบริการด้วยตนเอง
แหล่งข้อมูลที่ใช้โดย wtfis:
| บริการ | ใช้ในการค้นหา | จำเป็น | ระดับฟรี |
|---|---|---|---|
| Virustotal | ทั้งหมด | ใช่ | มี |
| P2Whois | โดเมน/FQDN | ไม่ | มี |
| IPWhois | ที่อยู่ IP | ไม่ | มี (ผ่านการลงทะเบียน) |
| Shodan | ที่อยู่ IP | ไม่ | ไม่มี |
| Greynoise | ที่อยู่ IP | ไม่ | มี (ผ่านการลงทะเบียน) |
| URLhaus | ทั้งหมด | ไม่ | มี |
| AbuseIPDB | ที่อยู่ IP | ไม่ | มี |
คุณสมบัติหลัก:
- ผลลัพธ์ที่อ่านง่ายสำหรับมนุษย์พร้อมแผงสีที่แบ่งตามรหัส
- ลดการเรียกใช้ API เพื่อหลีกเลี่ยงการชนกับข้อจำกัดอัตรา
- ไฮเปอร์ลิงก์ที่คลิกได้ในเทอร์มินัล (เมื่อรองรับ)
- ผลลัพธ์ที่ปรับแต่งได้ด้วยตัวเลือกคำสั่งต่างๆ
- รองรับ Docker สำหรับการใช้งานในรูปแบบคอนเทนเนอร์
ข้อพิจารณาด้านความเป็นส่วนตัวและ API
สมาชิกบางคนในชุมชนได้แสดงความกังวลเกี่ยวกับผลกระทบด้านความเป็นส่วนตัวของเครื่องมือ โดยระบุว่าต้องใช้คีย์ API สำหรับบริการต่างๆ โดยคีย์ API ของ VirusTotal เป็นสิ่งจำเป็น แม้ว่าข้อกำหนดนี้เป็นส่วนหนึ่งของฟังก์ชันการทำงานของเครื่องมือ ผู้ใช้ในการสนทนาได้ชี้ให้เห็นว่าการขอคีย์เหล่านี้ไม่จำเป็นต้องใช้ข้อมูลส่วนบุคคลมากนัก
เครื่องมือนี้ถูกออกแบบมาโดยคำนึงถึงประสิทธิภาพการใช้งาน API โดยทำการเรียกใช้ให้น้อยที่สุดเพื่อลดการชนกับโควต้าและข้อจำกัดอัตราสำหรับบัญชีระดับฟรี ข้อพิจารณานี้ทำให้ wtfis เหมาะสำหรับการใช้งานปกติโดยไม่จำเป็นต้องสมัครสมาชิกแบบพรีเมียมสำหรับบริการพื้นฐาน
การตั้งค่าและการปรับแต่ง
การเริ่มต้นใช้งาน wtfis เกี่ยวข้องกับการติดตั้งเครื่องมือ (มีให้ใช้ผ่านตัวจัดการแพ็คเกจเช่น brew และ conda) และการกำหนดค่าคีย์ API ที่จำเป็นผ่านตัวแปรสภาพแวดล้อมหรือไฟล์การกำหนดค่า แม้ว่าผู้ใช้บางรายจะระบุว่ากระบวนการตั้งค่านี้อาจค่อนข้างยุ่งยากเนื่องจากจำนวนคีย์ API ที่อาจต้องใช้ พวกเขายอมรับว่าเป็นสิ่งจำเป็นเมื่อพิจารณาถึงฟังก์ชันการทำงานของเครื่องมือ
เครื่องมือนี้มีตัวเลือกการปรับแต่งหลายอย่าง รวมถึงความสามารถในการตั้งค่าอาร์กิวเมนต์เริ่มต้นผ่านตัวแปรสภาพแวดล้อม ควบคุมจำนวนการแสดงผลการแปลง IP และสลับการใช้แหล่งข้อมูลเฉพาะ ความยืดหยุ่นนี้ช่วยให้ผู้ใช้สามารถปรับแต่งผลลัพธ์ตามความต้องการเฉพาะและคีย์ API ที่มีอยู่
ในอุตสาหกรรมที่ประสิทธิภาพและการรวบรวมข้อมูลอย่างครอบคลุมมีความสำคัญ wtfis ดูเหมือนจะตอบสนองความต้องการที่ไม่เคยมีใครแก้ไขมาก่อน โดยการรวมแหล่งข้อมูล OSINT หลายแหล่งเข้าด้วยกันในอินเทอร์เฟซเดียวที่เป็นมิตรกับมนุษย์ ตามที่สมาชิกชุมชนคนหนึ่งแนะนำอย่างเหมาะสม หากคุณกำลังมองหาคำย่อที่ไม่หยาบคาย บางทีคำว่า What's That Funny Internet Site? อาจเหมาะสม
อ้างอิง: wtfis