Maltego: программа для поиска киберпреступников и визуальных расследований

22 мая 2022

ПО Maltego, что это и где используется

Maltego знает все! Это мощное программное обеспечение по сбору информации (OSINT) c открытым исходным кодом. Программа позволяет проводить поиск информации в профилях социальных сетей, по адресам электронной почты, по номерам телефонов и не только.

Такая информация будет доступна любому человеку, компании для решения профессиональных вопросов. С помощью Maltego можно определить геолокацию киберпреступников, узнать личные данные. В судебных расследованиях, криминалистике это ПО станет отличным помощником. Мошенники могут использовать разные схемы обмана – атаковать спамом, регистрировать фишинговые домены, взламывать учетные записи и пр. Программа Maltego способна выявлять преступников. Часто ПО помогает журналистам искать нужную информацию, например при расследованиях. Программа полезна для правоохранительных органов, частных детективов. Это Java-приложение анализирует ссылки в графическом виде, работает на всех операционных системах (Windows, Mac, Linux).

Анализ осуществляется посредством запроса записей DNS, whois, поисковых систем, разнообразных API, получением метаданных. Результаты предоставляются в широком многообразии графических макетов. Таким образом, есть возможность группировать данные для визуального отображения взаимосвязей.

Поиск киберпреступников, как сфера применения программы

В условиях повышенной актуальности кибербезопасности важно работать над уменьшением рисков. С ПО Maltego получите детальную информацию о преступниках и защитите свое предприятие от киберугроз. Использование программы позволит увеличить скорость и точность сложных расследований SOC. Все данные представлены в одном пользовательском интерфейсе, предусмотрена интеграция внутренней информации (Splunk, ServiceNow, ELK). В программу можно интегрировать стороннее ПО Threat Intel Feed, такое как CrowdStrike, Recorded Future, Flashpoint. Анализ данных происходит быстро, а именно идентификация релевантных сведений из уведомлений SIEM, дополнение другими данными для расследования. Вы также сможете оценивать, является ли оповещение SIEM ложным срабатыванием, или есть угроза. Maltego Machines позволит автоматизировать повторяющиеся расследования. Благодаря возможности обмена графиками в реальном времени сотрудничайте и коммуницируйте с вашей командой. В программе можно делиться обзором угроз и отчетом о расследовании внутри компании.

Программное обеспечение Maltego способно улучшить ложноположительную идентификацию предупреждений, которые предоставляются системами безопасности. Анализ с использованием Maltego усовершенствует правила обнаружения SIEM с помощью новых TTP, IOC. В программе легко визуализировать данные из систем SIEM для анализа. Общие графы узлов помогут создавать отчеты для разных команд и заинтересованных лиц. Вы также сможете выявлять первопричины и устранять APT, неизвестные уязвимости в системе безопасности, представляющие угрозу корпоративной сети. С Maltego упрощается выполнение повседневных задач, таких как тестирование на проникновение, контекстуализация данных об угрозах.

Что умеет программа Maltego: функциональные возможности

Поиск, извлечение данных

Одна из основных функций программы – сбор информации среди 58 источников Maltego Transform Hub. На графике Вы сможете просматривать до 1 млн объектов. В процессе можно подключать публичные разведки по открытым источникам (OSINT), коммерческие и Ваши собственные исходные данные.

Объединение

Структурируйте информацию в один график, и все это произойдет в автоматическом режиме. Данные из различных источников объединяются в логическое действие «Point-and-click». В программе предусмотрены алгоритмы регулярных выражений для автоматического определения типов сущностей. Графический интерфейс имеет понятную структуру, что позволит конечный результат сделать богаче.

Визуальное отображение

Для определения шаблонов Вы сможете выбрать один из макетов, например, блочный, иерархический, круговой, органический. На массивных графиках есть возможность обнаруживать закономерности. График можно аннотировать и экспортировать для дальнейшего использования. Maltego интересна пользователям еще и тем, что предлагает около 60 интеграций данных от более чем 35 партнеров.

Как выглядит программа, принципы работы

Как Вы уже поняли, Maltego ищет в открытых источниках информацию, все найденное объединяет в схемы и выстраивает логические взаимосвязи. В работе для этого используется три элемента: Entities (объект), Transforms (процесс) и Links (связи).

Объектом, как правило, выступают люди, организация, информация, компьютер, сайт и пр.

Transforms - метод, с помощью которого программа интерпретирует данные. Например, выгрузка информации из социальных сетей на определенный граф.

Links предназначены для соединения объектов и формирования логической связи.

Все элементы размещены на рабочей области. На панели управления раскладкой графов доступны настройки для изменения визуального представления графа.

В окне отображения графа содержится схематическая версия графа в миниатюре. Это окно полезно для анализа больших графов, поскольку позволяет ориентироваться в разных их частях. 

Текстовый вывод операций Transforms подразумевает результат выполнения активных запущенных процессов. При наличии ошибок, в этом окне они будут видны.

Теперь о принципе работы программы. Выбираете объект из левой части интерфейса, вкладка «Infrastructure», перетягиваете на рабочее пространство. В свойствах можете менять URL сайта и другие критерии. Кликнув правой кнопкой мыши по объекту, запускаете процесс Transform для получения всей информации (e-mail адреса, номера телефонов, файлы и пр). Для сохранения графика нажмите на значок Maltego - Save Graph. Чтобы сохранить и загрузить результаты, воспользуйтесь вкладкой Import/Export на панели управления. Импортировать график можно в удобном формате – в виде рисунка, таблицы или pdf.

Сравнительные характеристики тарифных планов