Badanie cyberincydentów dziś rzadko ogranicza się do analizy jednego złośliwego pliku, podejrzanej wiadomości e-mail czy pojedynczego adresu IP. W rzeczywistych atakach cyberprzestępcy wykorzystują całe łańcuchy powiązanych ze sobą domen, serwerów, adresów e-mail, kont użytkowników, stron phishingowych, usług chmurowych oraz skompromitowanej infrastruktury. Dlatego dla specjalisty ds. bezpieczeństwa informacji ważne jest nie tylko zebranie danych, ale także szybkie zrozumienie, w jaki sposób te dane są ze sobą powiązane.
Właśnie w tym miejscu szczególnie przydatne stają się narzędzia do analizy wizualnej i OSINT. Pomagają one przekształcić rozproszone informacje w czytelny schemat, na którym widać, jakie domeny są powiązane z określonymi adresami IP, które adresy e-mail mogą być zaangażowane w atak oraz gdzie przecinają się infrastruktura przestępców, wycieki danych i cyfrowy ślad firmy.
Maltego to jedno z najbardziej znanych narzędzi do tego typu analizy. Służy do zbierania, porównywania i wizualizacji danych pochodzących ze źródeł otwartych oraz podłączanych źródeł zewnętrznych. Dzięki niemu analitycy mogą tworzyć grafy powiązań, weryfikować hipotezy, wykrywać ukryte zależności i szybciej zrozumieć pełny obraz incydentu.
W tym artykule wyjaśnimy, czym jest Maltego, jak działa, jakie dane pozwala analizować oraz dlaczego jest to narzędzie przydatne w badaniu cyberincydentów, analizach OSINT i zadaniach z obszaru threat intelligence.
Czym jest Maltego?
Maltego to platforma do wizualnej analizy danych, badań OSINT oraz cyberwywiadu. Jej głównym zadaniem jest pomoc specjalistom w szybkim znajdowaniu powiązań między różnymi obiektami cyfrowymi: domenami, adresami IP, adresami e-mail, organizacjami, osobami, profilami społecznościowymi, stronami internetowymi, serwerami, rekordami DNS oraz innymi encjami.
W przeciwieństwie do zwykłego wyszukiwania informacji Maltego nie pokazuje jedynie pojedynczych wyników. Narzędzie tworzy graf powiązań, na którym można zobaczyć, w jaki sposób jeden obiekt łączy się z innym. Na przykład analityk może rozpocząć dochodzenie od podejrzanej domeny, a następnie znaleźć powiązane adresy IP, subdomeny, adresy e-mail, certyfikaty, inne strony działające w tej samej infrastrukturze oraz możliwe punkty styku ze znanymi wskaźnikami zagrożeń.
Główna wartość Maltego polega na tym, że pomaga pracować z dużą ilością rozproszonych danych w czytelnej, wizualnej formie. Zamiast ręcznie zbierać informacje z różnych źródeł i przenosić je do arkuszy kalkulacyjnych, specjalista może korzystać z automatycznych transformacji danych i od razu widzieć wynik na interaktywnym schemacie. Jest to szczególnie przydatne podczas badania cyberincydentów, gdy ważne jest szybkie zrozumienie skali problemu, weryfikacja hipotez oraz określenie, które elementy infrastruktury mogą być ze sobą powiązane.
Licencjonowanie i porównanie pakietów Maltego
Maltego jest licencjonowane w modelu subskrypcyjnym. Dla biznesu oznacza to, że firma kupuje dostęp do platformy na określony czas, uzyskuje prawo do korzystania z potrzebnych produktów Maltego, dostęp do danych, kredyty do pracy ze źródłami, wsparcie oraz możliwość rozszerzania funkcjonalności zgodnie ze swoimi zadaniami.
Przy wyborze licencji warto zwracać uwagę nie tylko na liczbę użytkowników, ale także na scenariusze zastosowania. Na przykład do podstawowej analizy OSINT, badania phishingu, sprawdzania domen, adresów IP i przygotowywania raportów często wystarczający będzie pakiet Professional. Jeśli jednak Maltego ma być wykorzystywane przez większy zespół, do pracy rozproszonej, z rozszerzonym dostępem do danych oraz szczególnymi wymaganiami dotyczącymi wdrożenia, szkolenia i wsparcia, lepiej rozważyć wariant Enterprise. W przypadku takich zadań firmy zwykle wcześniej oceniają wymagania dotyczące infrastruktury, formatu wdrożenia i poziomu kontroli nad danymi, w tym rozważają opcję Maltego Enterprise On-Premise, jeśli rozwiązanie ma działać w bardziej zamkniętym środowisku korporacyjnym.
Osobną rolę odgrywają Maltego Credits oraz transformacje. Kredyty są wykorzystywane do dostępu do danych w ramach Maltego Data, natomiast transformacje pomagają pozyskiwać i wzbogacać informacje z różnych źródeł. W zależności od zadań firmy można dobrać odpowiednią liczbę kredytów, podłączyć potrzebne źródła danych oraz dokupić transformacje do analizy domen, adresów IP, DNS, wycieków danych, profili społecznościowych, danych threat intelligence i innych obszarów.
| Kryterium | Maltego Professional | Maltego Enterprise |
|---|---|---|
| Dla kogo jest przeznaczony | Indywidualni analitycy, specjaliści OSINT, małe zespoły, firmy z segmentu SMB | Duże firmy, zespoły SOC, działy threat intelligence, organizacje państwowe, segment enterprise |
| Główny scenariusz użycia | Codzienne dochodzenia, OSINT, analiza domen, adresów IP, e-maili, kampanii phishingowych i śladu cyfrowego | Zakrojone na szeroką skalę dochodzenia, praca zespołowa, zaawansowany cyberwywiad, monitoring, złożone scenariusze korporacyjne |
| Liczba użytkowników | Odpowiedni dla pojedynczych specjalistów i małych zespołów, oficjalnie wskazywany do 5 użytkowników z rozliczeniem za stanowisko | Przeznaczony dla zespołów od 5 użytkowników wzwyż |
| Dostęp do Maltego Graph | Tak, do analizy powiązań i tworzenia grafów na podstawie różnych zestawów danych | Tak, z rozszerzonymi możliwościami dla dużych zespołów i złożonych dochodzeń |
| Maltego Search | Tak, do szybkich wyszukiwań OSINT | Tak, jako część rozszerzonej konfiguracji korporacyjnej |
| Dostęp do danych komercyjnych | Tak, w pakiecie Professional dostępny jest rozszerzony dostęp do danych komercyjnych oraz Maltego Data | Tak, z elastycznym zakresem danych i możliwością rozszerzenia zgodnie z potrzebami zespołu |
| Maltego Credits | Warianty Professional Standard i Professional Advanced różnią się liczbą kredytów, na przykład 20 000 lub 40 000 Credits miesięcznie | Elastyczna liczba kredytów dostosowana do zadań organizacji |
| Hunchly | Wchodzi w skład pakietu i służy do utrwalania oraz zachowywania cyfrowych dowodów z badań internetowych | Może być wykorzystywany w scenariuszach korporacyjnych razem z innymi narzędziami Maltego |
| Maltego Monitor | Zwykle nie jest głównym elementem pakietu Professional | Może być dostępny jako opcja do monitoringu mediów społecznościowych w czasie rzeczywistym |
| Maltego Evidence | Zwykle nie jest głównym elementem pakietu Professional | Może być dostępny jako opcja do zachowywania oryginalnych danych ze źródeł społecznościowych |
| Szkolenie i wsparcie | Dostęp do Maltego Academy oraz standardowego wsparcia | Rozszerzone wsparcie, szkolenia, usługi premium i opieka wdrożeniowa |
| Elastyczność konfiguracji | Odpowiedni do typowych zadań dochodzeniowych i OSINT | Maksymalna elastyczność w zakresie danych, narzędzi, wsparcia, szkoleń i wymagań wdrożeniowych |
| Zakup | Może być kupowany jako standardowy pakiet komercyjny | Zwykle dobierany indywidualnie do wymagań klienta |
| Kiedy wybrać | Jeśli potrzebna jest wydajna platforma dla jednego specjalisty lub małego zespołu | Jeśli potrzebna jest konfiguracja korporacyjna dla dużego zespołu, rozszerzonych danych i specjalnych wymagań |
Jakie dane można analizować w Maltego
Maltego umożliwia pracę z dużą ilością danych cyfrowych, które mogą być przydatne podczas badania cyberincydentów, analiz OSINT oraz oceny zewnętrznej infrastruktury firmy. Główna zaleta platformy polega na tym, że pomaga ona nie tylko zebrać informacje, ale także połączyć je w jeden czytelny schemat wizualny. Dzięki temu analityk może zobaczyć, które obiekty należą do tej samej infrastruktury, gdzie występują punkty styku i które elementy wymagają dodatkowej weryfikacji.
Jednym z najczęstszych scenariuszy pracy w Maltego jest analiza domen i subdomen. Specjalista może rozpocząć dochodzenie od jednej podejrzanej domeny, a następnie stopniowo znaleźć powiązane subdomeny, rekordy DNS, adresy IP, serwery pocztowe, certyfikaty oraz inne elementy infrastruktury. Jest to szczególnie przydatne przy sprawdzaniu stron phishingowych, fałszywych domen, złośliwych zasobów oraz zewnętrznej powierzchni ataku firmy.
Maltego pomaga także analizować adresy IP i infrastrukturę sieciową. Za jego pomocą można identyfikować powiązane serwery, hosty, zakresy adresów, dostawców usług, lokalizację geograficzną oraz inne dane techniczne. Taka analiza pomaga zrozumieć, czy dany adres IP jest wykorzystywany w legalnej infrastrukturze, czy jest powiązany z podejrzaną aktywnością oraz jakie inne zasoby mogą znajdować się w jego otoczeniu.
Osobnym kierunkiem jest praca z adresami e-mail. W ramach dochodzenia można sprawdzać, gdzie pojawia się określony adres, z jakimi domenami lub kontami jest powiązany, czy występował w wyciekach danych albo podejrzanych działaniach. Jest to ważne przy analizie kampanii phishingowych, kompromitacji kont, socjotechniki oraz badaniu incydentów związanych z pocztą firmową.
Maltego stosuje się również do analizy organizacji i ich śladu cyfrowego. Można na przykład badać domeny firmy, powiązane adresy IP, publiczne kontakty, struktury zależne, zewnętrzne usługi, otwarte zasoby oraz potencjalne punkty ryzyka. Takie podejście pomaga lepiej zrozumieć, jakie dane o firmie są dostępne z zewnątrz i w jaki sposób mogą zostać wykorzystane przez cyberprzestępców.
Ważną rolę odgrywa analiza profili społecznościowych oraz publicznych informacji o osobach. W zadaniach OSINT Maltego może być wykorzystywane do wyszukiwania powiązań między imionami i nazwiskami, adresami e-mail, kontami, organizacjami oraz innymi otwartymi danymi. Może to być przydatne przy badaniu oszustw, kampanii phishingowych, socjotechniki lub weryfikacji podejrzanych śladów cyfrowych.
Ponadto Maltego może wykorzystywać dane ze źródeł threat intelligence. Pozwala to zestawiać znalezione domeny, adresy IP, hashe, adresy e-mail i inne wskaźniki ze znanymi zagrożeniami. Na przykład analityk może sprawdzić, czy określona domena jest powiązana ze złośliwą kampanią, czy dany adres IP był wykorzystywany w atakach albo czy adres e-mail pojawiał się w bazach wycieków danych.
Ogólnie Maltego pomaga analizować następujące typy danych:
- domeny i subdomeny;
- adresy IP i zakresy sieciowe;
- rekordy DNS;
- adresy e-mail;
- strony internetowe i infrastrukturę webową;
- organizacje i powiązane zasoby;
- profile społecznościowe i konta publiczne;
- certyfikaty cyfrowe;
- dane o wyciekach;
- wskaźniki kompromitacji;
- powiązania między osobami, firmami, domenami i infrastrukturą techniczną.
Właśnie połączenie różnych typów danych sprawia, że Maltego jest przydatnym narzędziem do prowadzenia dochodzeń. Gdy analityk widzi nie pojedyncze fakty, ale powiązaną mapę obiektów, łatwiej mu określić kierunek ataku, znaleźć dodatkowe wskaźniki, zweryfikować hipotezy i szybciej zrozumieć rzeczywistą skalę incydentu.
Przykłady scenariuszy wykorzystania Maltego
Maltego można wykorzystywać w różnych zadaniach z obszaru cyberbezpieczeństwa, w których ważne jest szybkie zebranie danych, znalezienie powiązań i zrozumienie ogólnego obrazu sytuacji. Narzędzie jest szczególnie przydatne wtedy, gdy jeden podejrzany obiekt może być powiązany z dziesiątkami innych domen, adresów IP, adresów e-mail, kont lub wskaźników technicznych. Poniżej przedstawiamy główne scenariusze, w których Maltego pomaga specjalistom ds. bezpieczeństwa informacji oraz analitykom OSINT.
Badanie ataku phishingowego
Jednym z najczęstszych scenariuszy jest analiza domeny phishingowej lub podejrzanej wiadomości e-mail. Na przykład firma otrzymuje zgłoszenie od pracownika dotyczące wiadomości z linkiem do strony przypominającej portal firmowy, bank albo popularny serwis online. Analityk może pobrać domenę z wiadomości i załadować ją do Maltego w celu dalszej analizy.
Za pomocą grafu można sprawdzić, na jakim adresie IP znajduje się domena, jakie rekordy DNS są z nią powiązane, czy ma subdomeny, jakie certyfikaty SSL są używane oraz czy ta infrastruktura nie przecina się z innymi podejrzanymi zasobami. W rezultacie specjalista szybciej rozumie, czy dana strona jest częścią szerszej kampanii phishingowej, jakie dodatkowe domeny należy zablokować i jakie wskaźniki przekazać do systemów ochrony.
Analiza podejrzanej domeny
Maltego często wykorzystuje się do sprawdzania domen, które pojawiły się w logach bezpieczeństwa, systemie SIEM, EDR albo bramie pocztowej. Jeśli system wykrył połączenie z nieznaną lub podejrzaną domeną, analityk może zbadać jej powiązania: adresy IP, sąsiednie strony, rejestratora, infrastrukturę DNS, certyfikaty, subdomeny oraz możliwe zgodności ze znanymi zagrożeniami.
Taka analiza pomaga odróżnić przypadkowy, nieszkodliwy zasób od domeny, która może być powiązana ze złośliwą infrastrukturą. Na przykład jeśli domena jest związana z kilkoma podobnymi stronami, została niedawno zarejestrowana, wykorzystuje podejrzane subdomeny i pokrywa się ze znanymi wskaźnikami kompromitacji, może to być ważny sygnał do dalszego dochodzenia.
Zalety Maltego dla specjalistów ds. cyberbezpieczeństwa
Maltego jest cenione za to, że pomaga specjalistom ds. cyberbezpieczeństwa szybciej przechodzić od pojedynczych, rozproszonych danych do pełnego obrazu dochodzenia. W rzeczywistych incydentach analityk często pracuje nie z jednym sygnałem ataku, ale z całym zestawem wskaźników: domenami, adresami IP, adresami e-mail, hashami, subdomenami, kontami użytkowników, certyfikatami i śladami w otwartych źródłach. Maltego pozwala połączyć te dane na jednym grafie i zobaczyć zależności, które trudno zauważyć podczas ręcznej analizy.
W efekcie zalety Maltego dla specjalistów ds. cyberbezpieczeństwa można sprowadzić do kilku kluczowych punktów:
- czytelna wizualizacja powiązań między obiektami cyfrowymi;
- przyspieszenie zbierania i analizy danych;
- wygodne wzbogacanie wskaźników kompromitacji;
- ograniczenie ilości pracy ręcznej;
- wsparcie zadań OSINT i threat intelligence;
- możliwość analizy zewnętrznej powierzchni ataku;
- wygodne przygotowywanie raportów z dochodzeń;
- pomoc w pracy zespołowej i przekazywaniu kontekstu.
Gdzie oficjalnie kupić Maltego w Polsce
Wybór Maltego dla biznesu warto zaczynać nie tylko od ceny licencji, ale przede wszystkim od zrozumienia zadań, które firma chce rozwiązywać. Dla jednych organizacji Maltego będzie potrzebne do podstawowej analizy OSINT i sprawdzania domen, dla innych – do pełnowymiarowego cyberwywiadu, badania incydentów, pracy zespołu SOC, analizy wycieków danych, kampanii phishingowych oraz zewnętrznej powierzchni ataku. Dlatego przed zakupem ważne jest prawidłowe dobranie pakietu, dostępu do danych oraz potrzebnych transformacji.
Maltego można oficjalnie kupić w Polsce za pośrednictwem Softlist. To wygodna opcja dla firm, które potrzebują legalnej licencji, przejrzystego zakupu dla biznesu, konsultacji przed zamówieniem oraz pomocy w wyborze odpowiedniej konfiguracji. W Softlist można kupić Maltego w korzystnej cenie i otrzymać oficjalne oprogramowanie do wykorzystania w środowisku korporacyjnym.
Przed zakupem certyfikowani specjaliści Softlist mogą przeprowadzić demonstrację możliwości Maltego i pokazać, jak platforma działa w praktycznych scenariuszach. Można na przykład omówić przypadek badania domeny phishingowej, analizy podejrzanego adresu IP, wyszukiwania powiązanej infrastruktury albo oceny cyfrowego śladu firmy. Takie podejście pomaga wcześniej zrozumieć, które funkcje są rzeczywiście potrzebne biznesowi i w jaki sposób Maltego będzie wykorzystywane w pracy zespołu.
