威胁情报认知梳理

  • A+
所属分类:安全文章

 Hello,好久没分享自己思考过的pr文章了,往后将分享一些自己思考和遇到的事情进行分享,定位把公众号在个人paper上。


威胁情报认知梳理


  先聊聊我的网络安全之路,其实之前文章聊过“安全不只是渗透”。对于我自己来说安全路有两条,一条是合规,所谓合规就是走国家发布的一些政策和条令如,等保、测评、关基、cisp培训认证啥的,上面说的这些都是相互关联,对于乙方来说就是业务,另一条就是安全能力创新,把idea转换成产品、服务落地。我走不了合规因为吃学历,哈哈。主要是经历过一些事情所以导致我觉得还是做安全能力创新,搞产品靠谱。


  放眼望去,我见过面的朋友都是搞合规这块,安服岗位比较多。其实我想对现在做安服岗位的朋友说,未来你想在安全这条路走得更远,还是往产品方面走,安服属于运营岗位不是公司的核心岗位。毕竟网络安全这个新型领域也才刚刚开始,好多人职业规划也不太清楚自己想要啥,可能就是为了拿份不错的薪酬。


但是有些东西确实还是要靠机会,不是说你想搞安全能力创新就搞的,还是需要借助平台、团队,去做一些事情,所以我来到了数字观星,特别感谢观星老郭,华林哥提供的机会。所以后面才有pr主题“威胁情报认知梳理”这篇我反复思考过组成的文章,里面主要提及的一些痛点问题。

 

威胁情报定义是由Gartner提出,Gartner是美国一家从事信息安全技术研究分析的公司。威胁情报主要内容可以比较是知识图谱,里面有攻击者的IOCs,恶意样本哈希值,去定义这个地址打标签,属不属于威胁。

威胁情报认知梳理


如果你想问谁做威胁情报做得最好,我当然认为是美国NSA。在NSA的官方网站你在分栏“我能做啥”里面可以发现。有二栏一个是SIGINT(信号情报)另一个就是Cybersecurity(网络安全)。所以就提到一个痛点问题,为什么NSA做威胁情报能溯源攻击者真实信息。而目前国内外的民营的安全公司,最多能做到的是分析攻击者技战术进行提取IOCs进行阻断。对于高级威胁去分析里面组织架构图、人是比较难的。根据斯诺登提供的文件可以看到NSA靠全球部署的SIGINT,摄取的元数据从500亿条到8500亿条,存储数据需要经受“挑战”。

威胁情报认知梳理

                        (文件进行了机翻)

威胁情报认知梳理

                        (文件进行了机翻)

对比NSA他的职责是执法机构,需要给国家决策者提供情报,威胁来自哪里,攻击者的能力,攻击真实身份,攻击意图是什么才能进行阻断和反击,就像360周鸿祎在isc大会上说过,以前谁攻击了我们不知道,是敌是友不知道,做了什么不知道。现在360正在解决看得见的问题。所以为什么华为遭到美国的打压断供,美国怀疑华为从事信号情报,其实美国纯属扯淡。

Github去搜索关于SIGINT,是有关于拦截WIFI,蓝牙,GSM的开源项目。

威胁情报认知梳理


斯诺登披露的(关于wifi定位跟踪分析)其实我看过一篇帖子,就算你关闭了wifi功能和蓝牙功能其实可以通过主动探测能拦截到情报的。


威胁情报认知梳理


看了一个前辈公众号分享的内容,国外民营安全公司,发布APT报告根据开源情报去溯源定位到人,这简直是炒作中国威胁论,没有那个国家会发布本国的APT报告,就算是美国这个黑客帝国也不会发布涉及自己家的APT报告。


威胁情报认知梳理


总结来说:

民营安全公司很难做好安全主要二个方面一个是进攻比如渗透测试、红队,另一方面就是防御,一个是阻断另一个是溯源。

 

猜测如果未来民营安全公司能和国家队合作打造威胁情报系统,能做到溯源攻击者信息,打破传统安全公司能力的短板。

本文始发于微信公众号(我的安全梦):威胁情报认知梳理

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: