2026-01-04 02:15:08 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本文介绍SANS讲师StevenHarris及其SEC497课程，重点涵盖开源情报收集与操作安全。文章详述了OSINT技能及OPSEC五步流程，强调使用傀儡账户、VPN和虚拟机等最佳实践以保护调查人员身份。通过案例分析揭示OPSEC失误后果，旨在指导学员在保障安全的前提下高效开展网络情报调查。 综合评分： 77 文章分类： 威胁情报,安全培训,安全意识

cover_image

【技巧】开源情报讲师史蒂文·哈里斯（Steven Harris）告诉你如何安全上网开展调查

丁爸情报分析师的工具箱

2025年6月11日 06:41 四川

史蒂文·哈里斯（Steven Harris）是在英格兰和威尔士注册的网络安全公司：Protection Group International Ltd（https://www.pgitl.com/）的网络威胁情报分析师；他还是SANS技术研究所（https://www.sans.edu/）（NSA网络防御学术卓越中心）的开源情报课程的教员；OSINT CURIO项目(https://www.osintcurio.us/)的董事会成员。史蒂文·哈里斯在其博客（https://nixintel.info/）上发表了不少开源情报相关的文章。

史蒂文·哈里斯（Steven Harris）的领英：

https://www.linkedin.com/in/steven-harris-71093a159/

史蒂文·哈里斯（Steven Harris）的X：

https://x.com/nixintel

史蒂文·哈里斯（Steven Harris）的开源情报书签：

https://start.me/p/rx6Qj8/nixintel-s-osint-resource-list

与该领域的许多人一样，史蒂文最初并不是从事安全或科技行业，大学毕业后，史蒂文·哈里斯加入了警察队伍，成为了一名侦探。随着时间的推移，互联网和数字技术在各类犯罪中的作用越来越大，他开始越来越有效地利用开源情报来破案。然而，开源情报的价值并非一直如此显而易见。就在大约十年前，史蒂文还因为使用推特寻找一起抢劫案的目击者而被上司训斥。幸运的是，时代已经改变了！

对他来说，最精彩的莫过于抓获那些对自己的行动安全引以为豪、装作永远抓不到的罪犯。他一直热爱这类案件的挑战，因为只要深入挖掘，就能找到他们身上的漏洞——总有一些数据点可以让你从中找到嫌疑人的身份和行踪。

他曾在英国执法部门担任调查员12年，运用开源情报（OSINT）和网络安全技能破获了一些极为棘手的案件。过去，他曾利用开源情报寻找失踪人员，揭露涉案金额达数百万英镑的网络诈骗分子，并判处参与恶意攻击、勒索和雇佣DDOS服务的罪犯。史蒂文还曾处理过数百起案件，运用互联网调查技能将虐童者定罪。如今，他运用同样的技能帮助世界各地的公司了解自身面临的各种网络安全风险，并帮助他们增强抵御能力。

作为SANS技术研究所《SEC497：实用开源情报 (OSINT) 课程》的老师，史蒂文·哈里斯认为这个领域有很多东西需要学习，而且内容经常变化。教授这门课程有助于他不断更新技能，他尤其喜欢边学边学。“如果我教你，你还能额外受益于我多年的实践经验、一些有用的轶事，以及我一路走来犯过的一些错误（这样你就不用再犯了！）”

学生必须能够离开课堂，立即将新学到的知识付诸实践。史蒂文·哈里斯发现，做到这一点的最佳方法是确保学生在实践实验室中得到指导，并用周一早上实际操作中用到的插图和示例来支持理论知识。

开源情报 (OSINT) 领域的资源、工具和技术数量庞大，而且变化频繁，有时甚至会让你感觉永远无法掌握。当你回到日常工作岗位，苦苦挣扎于解决问题时，史蒂文·哈里斯的课程教授的技能将确保你具备研究、实验和寻找解决方案的能力，以应对你所面临的一些挑战。

《SEC497：实用开源情报 (OSINT) 课程》内容介绍：

SEC497 是一门全面的开源情报 (OSINT) 培训课程，由一位拥有超过二十年经验的行业专家编写。该课程旨在教授您启动或进一步完善调查技能所需的最重要的技能、工具和方法。SEC497 将为 OSINT 领域的学员提供切实可行的信息，包括情报分析员、执法人员、网络威胁情报和网络防御人员、渗透测试人员、调查人员以及任何希望提升 OSINT 技能的人士。从新手到经验丰富的从业者，每个人都能从中找到适合自己的内容。

SEC497 专注于日常实用的技术。本课程旨在方便 OSINT 新手学习，同时为经验丰富的从业者提供久经考验的工具，帮助他们解决实际问题。课程重点关注系统如何运作以促进明智决策，并包含基于政府和私营部门实际场景的实践练习。我们将讨论前沿研究和异常值技术，不仅探讨可行性，还将实践操作！请深入研究下方课程大纲，详细了解所涵盖的主题。

什么是开源情报？

开源情报 (OSINT) 是指从网站、社交媒体和公共记录等各种来源收集和分析公开数据，以收集可操作信息的实践。OSINT 广泛应用于网络安全、执法和竞争情报领域，以增强决策和威胁评估能力。通过利用这些可自由访问的信息，组织无需采取任何侵入性措施即可获得关键洞察。

商业要点

本课程将帮助您的组织：

通过 OSINT 技术增强竞争情报
通过识别漏洞来改进风险管理
通过快速信息收集加强事件响应
识别并减轻来自公开数据的潜在威胁
简化数据收集和分析流程，提高运营效率

学到的技能

在实践良好 OPSEC 的同时，执行各种 OSINT 调查
创建傀儡账户
在互联网上查找信息，包括一些难以找到和已删除的信息
找到在线个人并检查他们的在线状态
了解并有效搜索暗网
为组织的网络防御、并购分析、渗透测试和其他关键领域创建准确的在线基础设施报告。
使用通常可以揭示谁拥有一个网站以及他们拥有或运营的其他网站的方法
了解可用的不同类型的泄露数据以及如何将其用于攻击和防御目的
有效收集和利用社交媒体数据
了解并使用面部识别和面部比较引擎
快速轻松地对大型数据集进行分类，了解其包含的内容
识别恶意文档和旨在泄露您位置的文档
实践开源情报培训

29 个独特的沉浸式动手实验

SEC497：高级事件响应技术课程提供独特而沉浸式的学习体验，将理论知识与丰富的实践操作相结合。该课程涵盖现代事件响应的基本主题，包括归因管理、潜在恶意软件处理以及金丝雀令牌的使用。学生将熟练掌握 Hunchly、Obsidian、Instant Data Scraper 等工具以及各种搜索技术。实验深入探讨元数据分析、反向图像搜索、面部识别、翻译服务和用户名研究。Keybase、电子邮件分析、Twitter 机器人分析、IP 地址研究、WHOIS、DNS 调查、Amass、Eyewitness、Censys 和 Shodan 也是课程的组成部分。其他实验包括云存储评估、商业智能、无线网络安全、批量数据分类以及使用 Tor 和 PGP 进行安全通信。该课程讲解了违规数据分析，帮助学生做好应对现实世界网络安全挑战的准备。

SEC497 的毕业设计是一场长达数小时的“挑战赛”活动，学员们将分成小组，为一个虚构的客户创建一份威胁评估报告。这项最终练习要求学员将课程中学习到的技能应用于多个真实场景。最终评估报告将提交给扮演客户的讲师，讲师将向每个小组提供反馈，以确保学员们准备好在真实场景中运用他们的高级事件响应技术。

第1部分：管理个人信息；处理潜在恶意软件；虚拟蜜罐工具（Canary Tokens）；网页捕捉工具（Hunchly）；知识管理工具(Obisidan)；Linux 命令行练习（可选）。

第2部分：搜索；即时数据抓取；元数据；反向图像搜索；面部识别；翻译。

第3部分：研究用户名；加密通信（Keybase）；电子邮件；Twitter；Twitter 机器人分析。

第4部分：IP 地址研究；WHOIS；DNS；安全工具Amass 和 Eyewitness；物联网搜索工具Censys 和 Shodan；Buckets挑战

第5部分：商业信息；无线信号；批量数据分类；Tor和PGP加密；泄露数据。

第6部分：挑战赛

教学大纲摘要

第1部分：开源情报（OSINT）和操作安全（OPSEC）基础知识：安全、有效的信息收集和分析。

第2部分：基本 OSINT 技能：Web 基础知识、搜索技术和图像分析。

第3部分：调查人员：隐私、用户名、电子邮件和社交媒体分析。

第4部分：调查网站和基础设施：IPS、DNS、WHOIS 和云分析。

第5部分：自动化、暗网和大型数据集：OSINT 技术和工具。

第6部分：挑战赛——协作威胁评估挑战。

什么是操作安全（OPSEC）？

OPSEC 代表“运营安全/操作安全”，该术语源自美国军方。自推出以来，OPSEC 已被许多组织和部门采用，用于在军事以外的各种情况下保护敏感信息。OPSEC 的目标是防止敏感信息落入对手之手，主要通过拒绝访问数据来实现。首先，我们要识别可能被泄露的数据，然后采取措施减少对这些数据的利用，并将风险降至最低。

对某些人来说，拥有更完善的OPSEC程序可能意味着防止不良行为者在线识别您的身份或了解您的居住和工作地点。然而，有些人可能由于您的工作需要而需要更多保护。这两者都意味着审查您的整体数字足迹，包括您在网上留下的痕迹、您在社交媒体上与家人和朋友的联系，甚至您在网上发布的可能泄露您位置的图片。试想一下：威胁行为者可能会利用您在网上分享的信息，在您外出度假时闯入您的家，而他们可能知道这一点，因为您分享的照片表明您正在与家人度假。

良好的运营安全可能包括调整个人在线行为并应用最佳安全实践。这意味着保护敏感数据，防止其被对手收集和滥用。

OPSEC 失败的一个例子：

罗斯·乌布利希（Ross Ulbricht）是暗网市场“丝绸之路”（Silk Road）的创始人兼管理员。该市场贩卖毒品和武器，被认为是当时最大的暗网市场。在丝绸之路论坛上，乌布利希被称为“可怕的海盗罗伯茨”。他犯下的数次运营安全错误之一是在2011年，当时他在一个论坛上发布了一个招聘“比特币社区IT专业人士”的职位，并鼓励应聘者写信给[email protected]。乌布利希犯下的数次运营安全错误最终导致他被捕，目前正在服无期徒刑。

什么是 OPSEC 流程？

OPSEC 是一个分析过程，需要评估敏感信息的潜在威胁、漏洞和风险。

五步 OPSEC 流程：

识别敏感数据——了解您的敏感信息可能是什么。
威胁评估——识别潜在的网络安全威胁，即思考对手可能会利用您的哪些漏洞。
漏洞分析——确定您的漏洞和/或安全弱点。
风险评估——衡量与每个先前发现的漏洞有关的风险级别。
采取对策——制定对策以尽量减少已识别的风险。

每个人的OPSEC都会有所不同，这取决于他们在做什么、他们是谁以及他们从事什么类型的活动。您可以问自己一些问题，以便更好地理解这一点并确定您当前的威胁模型：您想要保护哪些信息？例如，家庭住址、工作地点、家庭成员和资产。

对手查看你的网络足迹能得到什么？谁会想获取这些信息？可能是你不认识的人在网上寻找软目标，也可能是你申请工作时，招聘人员在社交媒体上找到你，看看你发了什么帖子，以此来了解你的性格。

你在哪里过度暴露自己？你在所有社交媒体上都设置了隐私设置吗？你在网上发布什么内容？这些问题或许能帮助你做出评估。

为什么 OPSEC 很重要？

我们每个人都有不为公众所知的信息，如果没有，我们就不会用密码保护设备、锁门或退出邮箱。你的在线足迹透露了你的很多信息，其中一些你可能不想让任何人知道。

为什么 OPSEC 对 OSINT 调查人员很重要？

开源情报调查员必须具备良好的运营安全 (OPSEC) 保障。这意味着他们应避免使用个人社交媒体账户进行调查。这样做是为了维护他们的隐私和安全，并确保调查的完整性。创建研究账户是为了隔离开源情报调查，确保开源情报调查员的个人生活与工作生活分离。必须强调将开源情报调查员的真实身份与研究账户分开的重要性。

进行 OSINT 调查的人员可能会犯 OPSEC 错误，包括：

网络归因（访问目标网站但不改变其足迹）
使用个人账户和设备进行 OSINT 调查研究
意外与目标互动（在社交资料上点赞、评论、加为好友）

那些不进行开源情报 (OSINT) 研究的人也可能会犯一些运营安全 (OPSEC) 方面的错误，包括在网上过度分享个人信息，而运营安全 (OPSEC) 不力的一个例子就是在网上留下未使用的社交媒体资料（尤其是包含旧照片和其他过去发布过的信息）。需要理解的一般规则是，我们可能会犯错，而我们的目标应该始终是减少这些错误的影响。

良好 OPSEC 的最佳实践

每个人都应该了解的基础知识：

使用强大且独特的密码。不要根据宠物、孩子、配偶等的名字设置密码。
使用密码管理器或使用密码笔记本
在您的电子邮件/社交账户上启用双因素身份验证。
为您的所有设备安装最新的软件和应用更新
空闲时激活屏幕锁定
不要让你的设备无人看管
使用网络摄像头盖和隐私过滤器
使用加密电子邮件服务，例如 Proton Mail
使用 Proton Drive 等加密云存储
调整社交媒体平台上的隐私设置
使用安全的搜索引擎，如 search.brave.com 或 startpage.com
如果您在咖啡店、酒店或机场使用公共 Wifi，请使用虚拟专用网络 (VPN)
下载前检查应用程序请求的权限
向自己和家人/朋友普及网络隐私和安全知识

给 OSINT 调查员的额外提示：

避免使用个人设备和社交媒体资料进行开源情报 (OSINT) 调查。请使用马甲（研究账户）。
使用专用设备和账户进行调查，以避免交叉污染和损害调查。
使用付费虚拟专用网络 (VPN) 来隐藏您的 IP 地址。网站所有者可以查看哪些 IPS 访问了他们的网站。目标用户可能会查看谁访问了他们的个人网站。但这不适用于社交媒体研究，因为只有社交媒体公司才能看到 IP 地址。
使用虚拟机 (VM) 为您的开源情报 (OSINT) 研究设置沙盒，并确保虚拟机与您的计算机操作系统一起用作操作系统。即使您点击了恶意软件，您的设备也不会受到影响。
想想你的设备指纹（访问目标网站时网络计算机的 IP 地址）。你想让追踪者难以追踪到你。这意味着要采取措施掩盖我们的个人身份信息 (PII)。
考虑您进行研究的时间/日期（9-5？） – 调整设置以匹配目标的时区。
审查您使用的 OSINT 开源工具。
制定关于如何进行在线研究的标准操作程序 (SOP)。
避免在社交媒体上发布您的安全许可。

值得注意的是，OPSEC是一个持续的过程，需要不断评估、调整和改进，以应对不断变化的威胁和漏洞。例如，你可能会换一份工作，需要重新评估你的威胁模型。因此，经常思考这个问题并在必要时重新评估至关重要。它不是一次性的活动，而是一种思维模式和一套应该融入日常运营的实践。

长按识别下面的二维码可加入星球

里面已有万余篇资料供给下载

越早加入越便宜

续费五折优惠

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：丁爸情报分析师的工具箱《【技巧】开源情报讲师史蒂文·哈里斯（Steven Harris）告诉你如何安全上网开展调查》