情报生产问题 安全闲碎

情报生产问题

情报分析为文职和军事决策者提供重要的信息支持。加拿大盟友最近的情报失误主要归因于认知、社会和组织缺陷,以及个别分析师和情报机构的偏见。这种归因需要从社会心理学的角度对智力生产进行全面的考察。本报告讨论了对加拿大情报分析员管理人员的访谈结果。被访谈的管理人员确定了情报生产过程中的一些相关问题,可通过应用行为科学积累的知识和方法加以解释。根据情报研究和行为科学文献讨论了已查明的问题,并概述了支持情报职能的行为科学研究方案的路线图。介绍或背景:情报分析是一种重要的状态分析功能,它为决策和指挥决策提供信息和支持。情报分析人员试图通过利用情报消费者的分析技能从现有信息中获得判断,从而减少不确定性并提高决策质量,其中许多信息是不确定的,而且还可能隐藏欺骗。由于情报分析主要依靠人的推理和判断,行为科学有相当大的机会用于更好地理解和最终改进情报分析的任务。然而,关于行为科学在智力分析中的应用的公开的、非机密的文献很少,这反映了一个事实,即在支持智力的应用行为科学方面缺乏。在本技术报告中,描述了一项调查性访谈研究。这项研究旨在确定情报分析中的相关问题,并为今后的行为科学研究制定一份路线图,以支持情报分析功能。方法:本研究是由加拿大国防部研发中心对抗意图科的思维、风险和情报小组(TRIG)成员进行的,是在国防情报总监(CDI)的赞助下,作为应用研究计划项目关于理解和增强人类情报分析能力的初步研究的一部分。Trig研究人员对来自加拿大两个情报组织--CDI和枢密院办公室的国际评估人员的7名情报管理人员进行了半结构化访谈。访谈讨论涉及各种专题:分析员的任务和分析过程、情报分析方面的挑战、情报分析所需的基本技能、分析员的甄选过程、培训、分析工具、管理人员的作用和挑战以及整个加拿大情报界的特点。全部内容在知识星球本期编辑:HYNE如有侵权,请联系管理员删除通过“情报学院”知识星球可以阅读该资料的全都内容👇 本文始发于微信公众号(情报分析师):情报生产问题
阅读全文
开源情报对商业/竞争情报分析与分析的启示 安全闲碎

开源情报对商业/竞争情报分析与分析的启示

   摘要:开源情报作为情报工作的一个可行输入源的发展越来越受欢迎。国家情报机构和商业/商业组织都在加紧它们的开源情报(OSINT)努力,试图通过利用它,为整个情报努力增加更大的价值。这一进展是在情报从业人员及其组织努力应对收集并融合来自这一渠道的信息和来自更牢固手段的信息所带来的挑战时取得的。本文将主要侧重于开源情报给无罪/竞争情报(B/CI)分析员带来的挑战和机遇,并考虑其对分析过程本身的影响。利用从全球数十家企业的研究中收集的研究,将描述在商业/商业企业中开源情报的分析努力中的现有技术状况,检查组织正在经历的与有效使用和融合开源情报有关的规划和执行挑战,并提供与若干主要私营部门企业内成功使用开源情报相关的指南。1. 导言几十年来,从公开来源收集数据和信息一直是国家和企业/竞争情报组织的一个积极重点(Steele,2002年)。特别是商业组织长期以来一直依赖公开来源进行情报工作;另一方面,国家情报组织,特别是设在美国个别收集仓中的大型情报组织,现已鼓励各方在其一系列情报收集职能中更好地利用公开来源(委员会,2005年)。本文着重介绍了企业组织为企业/竞争情报目的合并和利用操作系统的经验。它特别侧重于操作系统对企业/商业企业内的分析人员和分析过程的影响。2. 开源情报及其在商业中的地位与竞争情报(B/Cl)商业/竞争情报从业者长期以来一直利用开放源码收集情报过程中使用的数据,B/CI文献中有关这一过程的许多文章证明了这一点(Dishman,Fleisher,&Knip 2003;Fleisher,Knip&Dishman,2003;Knip,Dishman,&Fleisher,2003;Fleisher,Wright&Tindale,2007年。指导B/CI实践的一个关键概念是智能循环,它显示了智能如何从客户/客户的需要开始,如何收集数据和信息作为满足需求的手段,如何应用分析和综合方法来对所收集的项目“有意义”,然后如何将生成的«解决方案»或«可操作的洞察力»以智能产品或服务的形式传回客户/客户,以解决他们的查询(Murphy,2006)。所有这些都发生在控制论循环中,可用于定位CI执业者在一系列不同项目(即满足不同的情报需求)上正在做的事情,这些项目可能在执业者履行职责的任何时间点出现(Rajaniemi,2005)。商业/竞争情报有许多现存的定义(Fleisher,2003年a)。为了本文的目的,我将企业/竞争情报定义为一种系统、有针对性、及时和道德的努力,收集、综合和分析竞争和外部环境,以便为决策者提供可操作的见解,而不是深入讨论哪些是理想的。B/CI所依据的实际增值概念表明,有效的B/CI应成为更有效决策的基础,导致更有见识(基于市场的)行动,最终应导致提高经济/金融绩效(Fahey,2007)。B/CI过程所依据的数据的获取或收集采用国家情报机构中的一些相同形式,最突出的是,包括人力情报(HUMINT)(即,人源情报)和开源情报,尽管系统使用国家收集方法,如通信情报(COMINT)(即通信情报(COMINT)),IMINT(即,图像智能)、MASINT(即,测量和签名)或信号情报(SIGINT)(即信号情报(SIGINT))将是不寻常的(Clark,2004)。开源情报是B/CI情报收集最常用的形式,之所以受欢迎是因为它如此简单,并且生产大量原材料用于进一步加工(Vibert,2003)。在数据收集者搜寻了公司内的现有信息基础并耗尽了组织的内部知识库(Blanco、Caron-Fasan 和 Lesca,2003)之后,它通常作为项目计划的下一步工作。全部内容在知识星球本期编辑:CZS如有侵权,请联系管理员删除通过“情报学院”知识星球可以阅读该资料的全都内容👇 本文始发于微信公众号(情报分析师):开源情报对商业/竞争情报分析与分析的启示
阅读全文
从英国的角度看开源情报:从执法和军事领域的考虑 安全新闻

从英国的角度看开源情报:从执法和军事领域的考虑

01摘要执法部门和军方都将开源情报的使用纳入了日常行动。虽然这些组织在如何使用开放源码软件方面有明显的相似之处,但在理解开放源码信息和从中收集情报的目标方面,军事和警务方法也有所不同。特别是,我们专注于评估英国执法机构和英国国防部研究人员和调查人员之间对操作OSINT的理解和方法的潜在异同。收集这些意见的目的是提高互操作性,并为特定组织方法的特定优势和能力创造机会,供军方和执法部门共享和利用。02关键词OSINT,执法,军事,情报03介绍情报的价值,无论是对执法部门、军队还是企业,都不能低估。智力使一个组织比另一个组织有某种优势;这可能是解决犯罪、赢得战斗胜利或让公司获得比竞争对手更高利润的重要情报。这种情报可能来自广泛的来源:接受采访的人、内部数据和日志、犯罪现场证据、视频和图像、电话和通信,以及其他许多来源。一个越来越受到关注的智能学科是开源智能(OSINT)。在互联网几乎无处不在的特性的推动下,加上伴随社交媒体使用的增加而出现的自恋倾向,OSINT已经成为情报收集学科的前沿。然而,正如我们将在本文中看到的,社交媒体不是开源情报的唯一来源,也不存在于来自其他情报来源的真空中。这项研究主要建立在定性分析的基础上,但也参考了研究人员与军队和警察部门的主要线人之间的个人交流。04定义OSINT在本文中,开源情报将被视为一个动态术语,通常由相互矛盾或不明确的先决条件组成,因此不存在一个单一的定义。一个很好的起点是中央情报局(2010年)提供的定义,该定义声称“信息不一定要保密才有价值”,并以此原则为基础,将OSINT描述为公共信息。05定义困难和差异对于开源情报,无论是执法部门、军方还是其他部门,都没有一个公认的定义,即使在现有的定义中,材料的范围和获取材料的手段也没有标准化,并且在不同的实践中有所不同。这给新进入该领域的人带来了问题,因为没有标准的参考或接受形式的OSINT。即使是已经出版的书籍,如迈克尔·巴兹尔的《开源情报技术》(2016年),也包含了社交工程技术,这些技术可能不被认为是执法部门或军事部门所能接受的。在使用OSINT进行调查时,军方和警方都必须小心谨慎地对待感知以及这如何影响被调查者的隐私。此外,HUMINT和OSINT之间的界限模糊不清(尤其是在处理众包情报时). 当警方或军方向第三方或外部专家推断调查和行动时,也会出现这种担心。05国防和执法部门分享最佳实践的好处随着内政部和国防部(DSTL)(内政部,2017b)未来的合并,未来这两个组织很可能会在联合行动和情报共享演习中增加重叠和合作领域。因此,如果可行,增加双方的复原力和能力将是有益的。提高开放社会信息网调查的互操作性和对兼容系统的研究将允许在重叠领域进行更大的合作。例如,考虑到国内恐怖主义威胁等问题,提高互操作性可能会提高警方平行军事情报的能力,但更重要的是,以符合警务“证据链问题”的方式加强调查和研究威胁的军事程序。06参考文献和来源共和骑士(2017年)共和骑士https://www.repknight.com/皇家海军(2017)社交媒体。https://www.royalnavy.mod.uk/welfare/保持联系/社交媒体开源情报对军队的重要性。国际情报和反情报杂志,8(4),页457470。索林里克。(2017). Sorinteq高级开源智能培训课程。伯明翰。2017年1月.https://www.sorinteq.com/英国政府。(1998). 1998年《人权法》.https://www.legislation.gov。uk/ukpga/1998/42/目录英国政府(2000年)《调查权力管理法案》。https://www . legislation.gov.uk/ukpga/2000/23/contents魏曼,g。(2016). 恐怖分子向黑暗网络的迁移。对恐怖主义的看法。10(3). http://www.terrorismanalysts.com/pt/index.php/pot/文章/观点/513 原文始发于微信公众号(情报分析师):从英国的角度看开源情报:从执法和军事领域的考虑
阅读全文
(OSINT) 开源情报词汇表_关键字、短语指南,用于改进互联网研究结果 安全闲碎

(OSINT) 开源情报词汇表_关键字、短语指南,用于改进互联网研究结果

导言 - 本书的目标谁可能从这本书和系列中受益?记者、作家、执法人员、警察、执法调查人员、信息专业人员、图书管理员、媒体监督员、OSINT研究人员/分析师、情报专业人员、恐怖主义专家、军事人员、媒体机构、金融分析师、金融/欺诈犯罪调查人员、学生、公共安全专业人士。在互联网、数据库或文件中的有效搜索策略,首先是选择适当的关键词或简短的相关短语。替代的关键词和短语对于成功的搜索也是至关重要的。OSINT词汇》是一本连载的出版物,它有助于填补研究人员在互联网上查找信息的空白,提供更好、更相关的结果。这本书(第一卷)基本上是多年来开发的一个单词列表和学习指南。在我的执法生涯中,我对开源情报(OSINT)的艺术/科学非常感兴趣。随着互联网的出现,人们可以找到大量的材料,这是令人惊讶的。在许多情况下,挑战并不在于信息的数量,更重要的是,要把麦子和谷壳分开。在OSINT研究中,最重要的是结果的质量,而不是数量。由于对公共安全事务有浓厚的兴趣,我看到了在互联网上定位、发布和与他人分享信息的可能性。我阅读了我能找到的每一本关于互联网搜索的书,并对这些工具的数量感到惊讶。许多资料中提到的一个主题是使用好的关键词和短语。因此,挑战就变成了,如何找到搜索的关键词和短语。在我的一个关于拉丁美洲毒品贩运的早期项目中,我向一些拉丁美洲专家询问是否有任何书籍或资料可以告诉你在英语和/或西班牙语的查询中应该使用什么词/短语。我发现没有这样的工具存在。因此,我创建了一个名为Crowdersblackbook.com的西班牙语工具,并为执法过程中涉及的许多主题提供了英文翻译。用黑皮书搜索西班牙语信息的结果很好。当时,我就开始用英语对公共安全主题的搜索词进行编目,从犯罪到恐怖主义以及两者之间。在互联网上和文件中使用研究的结果同样很好。      现在,有了我和一个积极的研究人员/监督员团队,我们寻找材料和获得相关结果/信息的时间已经大大减少。而且,我们的相关成果也令人印象深刻。该书(第一卷)分为两部分,对研究人员来说,这两部分都具有同等价值。第一部分是按字母顺序排列的5000多个条目。然而,在适当的时候,随着后缀的增加,术语的数量也大大增加。第二部分,所有条目都列在该词/短语的特定大类下。需要注意的是,本版中的许多术语很容易被用于一个以上的类别或许多子类别。为了简单起见,我选择了最广泛的类别。后续各卷将以不同的时间间隔发布。这个系列的每一卷后面也都包含5000个或更多的条目。我真诚地希望这一卷和随后的各期(卷)能够提高你的搜索结果,并节省大量时间。它应该是你执行任务或使命的工具箱的必要组成部分。全部内容在知识星球本期编辑:HYNE如有侵权,请联系管理员删除通过“情报学院”知识星球可以阅读该资料的全都内容👇 原文始发于微信公众号(情报分析师):(OSINT) 开源情报词汇表_关键字、短语指南,用于改进互联网研究结果
阅读全文
报告PLA 78020的情报公司——Threatconnect 安全闲碎

报告PLA 78020的情报公司——Threatconnect

9月24日,ThreatConnect和DefenseGroup Inc联合发布了一份曝光Naikon APT组织的报告。项目代号CameraShy。还称跟我朝云南的78020部队有关。并定位到一名ge姓同学有J方背景。报告足足20M,图文并茂,连人家车牌号码和各种生活照都人肉出来了。此处不多评论了。有兴趣就自行前往http://www.threatconnect.com/camerashy/围观报告。详细程度不亚于当年的上海APT1,目测要火。不过据说该公司早就已经发现了这个APT组织。只是这个APT活动最近已经影响到其业务了所以现在才报出来。其实说白了是不是就是想证明它的TIP平台有多厉害?ThreatConnect其实成立于2011年,从一开始就定位于是一家情报公司,主打产品是提供威胁情报平台(cyber threat intelligenceplatform),这套平台提供三个主要功能,整合情报、分析情报和支撑行动(Aggregate、Analyze和Act)其著名的钻石模型,是把所有的事件按照四个维度进行分解,包括攻击者Adversary, 能力Capability,基础设施Infrastructure和受害者Victim,看下图会比较形象一点:再结合Kill Chain的各个阶段里涉及的事件分解成钻石模型进行关联。比如这次的报告中分解到的钻石模型数据:有一份52页的电子书,详细介绍过这套TIP平台。书里有5个章节,在第三章“THREAT INTELLIGENCE PLATFORMS: THE NEW ESSENTIAL ENTERPRISE SOFTWARE”就详细说明了三个主要功能(AGGREGATION,ANALYSIS 和ACTION)的做的事情。其他的第一章讲了情报的重要性,第二章讲讲情报包括哪些内容(比如内部情报——防火墙日志、event日志、SIME日志等等;外部情报——开源的、信誉库、intelligence feed等等),有什么特性,第四章讲了情报的共享,第五章是个总结,列出了一个好的TIP应该有哪些要素:是否有能力从多个源整合威胁情报,从而为告警和拦截提供协助是否有能力提供“特征”库的管理是否能够对调查和响应的工作提供支撑是否支持对情报的再加工和研究然而这家公司已经不是第一次向我朝泼黑水了。还打算把产品卖给中国地区么?附:TIP平台电子书和钻石模型 Diamond Mode的介绍材料:http://pan.baidu.com/s/1kTyAqOZ 提取码:xyu9如果你早就知道这家公司了,欢迎加入我们。回复“招聘”或点击原文链接。欢迎关注zsfnotes的公众号 本文始发于微信公众号(张三丰的疯言疯语):报告PLA 78020的情报公司——Threatconnect
阅读全文
网络安全攻防:威胁情报 安全闲碎

网络安全攻防:威胁情报

01 什么是威胁情报网络空间的安全对抗日趋激烈,传统的安全技术不能全面满足安全防护的需要。当前,安全业界普遍认同的一个理念是:仅仅防御是不够的,更需要持续地检测与响应。然而要做到持续有效的检测与快速的响应,安全漏洞、安全情报必不可少。2013年,Gartner 首次提出关于威胁情报的定义:威胁情报是关于现有或即将出现的针对资产有威胁的知识,包括场景、机制、指标、启示和可操作建议等,且这些知识可为主体提供威胁的应对策略。简单来讲,威胁情报就是通过各种来源获取环境所面临的威胁的相关知识,主要描述现存的、即将出现的针对资产的威胁或危险。Forrester 认为威胁情报是针对内部和外部威胁源的动机、意图和能力的详细叙述,可以帮助企业和组织快速了解到敌对方对自己的威胁信息,从而帮助提前威胁防范、攻击检测与响应、事后攻击溯源等能力。威胁情报颠覆了传统的安全防御思路,它以威胁情报为核心,通过多维度、全方位的情报感知,安全合作、协同处理的情报共享,以及情报信息的深度挖掘与分析,帮助信息系统安全管理人员及时了解系统的安全态势,并对威胁动向做出合理的预判,从而将传统的“被动防御”转变为积极的“主动防御”,提高信息系统的安全应急响应能力。如果说了解漏洞信息是“知己”,那么掌握安全威胁则是“知彼”。02 威胁情报的用途1. 安全模式突破和完善基于威胁情报的防御思路是以威胁为中心的,因此,需要对关键设施面临的威胁做全面的了解,建立一种新型高效的安全防御体系。这样的安全防御体系往往需要安全人员对攻击战术、方法和行为模式等有深入的理解,全面了解潜在的安全风险,并做到有的放矢。2. 应急检测和主动防御基于威胁情报数据,可以不断创建恶意代码或行为特征的签名,或者生成NFT(网络取证工具)、SIEM/SOC(安全信息与事件管理/安全管理中心)、ETDR(终端威胁检测及响应)等产品的规则,实现对攻击的应急检测。如果威胁情报是 IP、域名、URL等具体上网属性信息,则还可应用于各类在线安全设备对既有攻击进行实时的阻截与防御。3. 安全分析和事件响应安全威胁情报可以让安全分析和事件响应工作处理变得更简单、更高效。例如,可依赖威胁情报区分不同类型的攻击,识别出潜在的APT高危级别攻击,从而实现对攻击的及时响应;可利用威胁情报预测既有的攻击线索可能造成的恶意行为,从而实现对攻击范围的快速划定;可建立威胁情报的检索,从而实现对安全线索的精准挖掘。03 威胁情报的发展以威胁情报为中心的信息安全保障框架对于生活和生产关键基础设施的稳定运行、军事作战指挥能力保障及国际社会的和平稳定具有重大意义,它受到了来自各国政府、学术界以及全球大型互联网企业的高度重视。近几年,威胁情报行业增长迅速,如 CrowdStrike、Flashpoint、iSight Partners等威胁情报厂商通过建立的威胁情报中心可从网络犯罪、信誉库、漏洞、恶意软件等多个角度满足不同用户的特定需求。随着网络安全态势日趋复杂化,威胁情报的研究越显重要。参与威胁情报感知、共享和分析的各方结合自身业务流程与安全需求,针对核心资产增强威胁情报感知能力,积极融合云计算、大数据等前沿技术,建立威胁情报深度分析系统,在深度挖掘与关联融合的基础上做好安全态势评估及风险预警,动态调整安全策略,部署快速可行的安全响应战术,确保关键资产的信息安全。威胁情报要发挥价值,一个关键问题在于实现情报信息的共享。只有建立起一套威胁情报共享的机制,让有价值的威胁情报有效流通,才能真正建立起威胁情报的生态系统。当然,威胁情报的生态系统包括两个方面,即威胁情报的生产和威胁情报的消费。威胁情报的生产就是通过对原始数据的采集、交换、分析、追踪等,产生和共享有价值的威胁情报信息的过程;威胁情报的消费则是指将监测到的安全数据与威胁情报进行比对、验证、关联,并利用威胁情报进行分析的过程。因此,一个先进的防御系统应本着“和平利用、利益均衡”的原则开展安全协同共享,努力构筑和谐、健康、成熟的威胁情报生态圈,而威胁情报的生产和消费过程则可更有利构筑一个安全情报生态系统的闭环。04 威胁情报的数据采集威胁情报是从多种渠道获得用以保护系统核心资产的安全线索的总和,在大数据和“互联网+”应用背景下,威胁情报的采集范畴极大扩展,其获取来源、媒体形态、内容类型也得到了极大的丰富,如防火墙、IDS、IPS等传统安全设备产生的与非法接入、未授权访问、身份认证、非常规操作等事件相关的安全日志等都是威胁情报的数据来源,还包括沙盒执行、端点侦测、深度分组检测(DPI)、深度流量检测(DFI)、恶意代码检测、蜜罐技术等系统输出结果,及安全服务厂商(如FireEye)、漏洞发布平台(如 CVE)、威胁情报专业机构(如CERT)等提供的安全预警信息。05 威胁情报的分析方法威胁情报本来只是一种客观存在的数据形态,只有通过先进的智能分析才能被安全防御者感知和利用。关联融合、时间序列、流数据技术等可应用于从海量的网络信息中提取威胁特征,有助于威胁情报的横向和纵向关联分析;聚类分析、协同推荐、跨界数据融合等技术可用于深度挖掘多维线索之间隐藏的内在联系,进而实现对系统的整体威胁态势进行行为建模与精准描述。大数据分析、深度学习、人工智能 2.0 等新技术则可用于协助构建威胁情报的智能研判与综合预警平台。06 威胁情报的服务平台1. IBM-X-ForceX-Force Exchange能够为全球提供对IBM及第三方威胁数据资源的访问,包括实时的攻击数据。它整合了IBM的威胁研究数据和技术,包括Qradar安全情报平台、IBM客户安全管理服务分析平台。IBM声称该平台集聚了超过700 TB的原始数据,并在不断更新。X-Force Exchange的用户可以共享利用多种数据资源,包括:世界上最大的漏洞目录之一、基于每天150亿起安全事件监控的威胁情报、来自2700万终端网络的恶意威胁情报、基于250亿网页和图片的威胁信息、超过 800万封垃圾邮件和钓鱼攻击的深度情报、接近 100万恶意 IP地址的信誉数据等。X-Force 平台还包括帮助整理和注释内容的工具,以及在平台、设备和应用程序之间方便查询的API库,允许企业处理威胁情报并采取行动。IBM表示,该平台还将提供对STIX和TAXII的支持,以及自动化威胁情报共享和安全方案整合新标准的支持。2. 360威胁情报中心360威胁情报基础信息查询平台向业界开放免费查询服务,这是国内首个向公众开放的威胁情报数据查询服务平台。360威胁情报基础信息查询平台的上线标志着国内安全威胁情报共享进入新阶段,所有安全厂商、政企用户的安全研究与分析人员在经过线上注册审核后,都可以免费进行查询。360威胁情报中心具有关联分析和海量数据两大特色。互联网安全的数据是多种多样且相互关联的,但依靠孤立的数据无法进行未知威胁的分析和定性,只有将信息关联起来才能看清整体的威胁态势。平台可以将用户所提交的查询信息关联起来,协助用户进行线索拓展,对安全分析工作提供有力帮助。360 公司基于多年的互联网安全大数据积累,拥有全球独有的安全样本库,总样本量超过95亿,包括互联网域名信息库(50亿条DNS解析记录),还包括众多第三方海量数据源。基于情报中心大数据,可有效帮助用户进行多维关联分析,挖掘出在企业自身或组织内部分析中无法发现的更多安全隐患线索。3. 阿里云盾态势感知阿里云盾态势感知是全球唯一能感知“渗透测试”的安全威胁服务平台,如可以区分脚本小子和高级黑客、识别零日应用攻击、捕捉高隐蔽性的入侵行为、溯源追踪黑客身份等。云盾平台利用大数据,可对高级攻击者使用的零日漏洞攻击进行动态防御,如可以采用新型病毒查杀,并通过爬取互联网泄露的员工信息,实时告警、杜绝黑客“社工”;能够对各种潜在威胁及时识别和汇总分析;能够实现基于行为特征的Webshell检测、基于沙箱的恶意病毒精确查杀等。07 威胁情报的开源项目1. 安全威胁情报共享框架OpenIOCMANDIANT 公司基于多年的数字取证技术积累,将使用多年的情报规范开源后形成OpenIOC(Open Indicator of Compromise)框架,它是一个开放灵活的安全情报共享框架。利用OpenIOC,重要的安全情报可以在多个组织间迅速传递,极大缩短检测到响应的时间延迟,提升紧急安全事件响应与安全防范的能力。OpenIOC本身是一个记录、定义以及共享安全情报的格式,以机器可读的形式实现不同类型威胁情报的快速共享。OpenIOC本身是开放、灵活的框架,因此可以方便添加新的情报,完善威胁情报指标IOC。OpenIOC的工作流程如下。(1)获取初始证据:根据主机或网络的异常行为获取最初的数据。(2)建立IOC:分析初步获得的数据,根据可能的技术特征建立IOC。(3)部署IOC:在企业的主机或网络中部署IOC,并执行检测。(4)检测发现更多的可疑主机。(5)IOC优化:通过初步检测可获取的新证据进行分析,优化已有的IOC。OpenIOC推出了IOCeditor和Redline两款工具。IOCeditor用来建立IOC,Redline负责将IOC部署到主机并收集信息进行分析。2. CIFCIF(Collective Intelligence Framework)是一个网络威胁情报管理系统,它结合了多个威胁情报来源获取已知的恶意威胁信息,如IP地址、域名和网址信息等,并利用这些信息进行事件识别、入侵检测和路由缓解等。3. OSTrICaOSTrICa 是一个免费的开源框架,采用基于插架的架构。OSTrICa 自身并不依赖外部的库,但安装的插件需要依赖库。OSTrICa可以实现自动从公开的、内部的、商业的数据源中收集信息,并可视化各种类型的威胁情报数据,最终由专家来分析收集的情报,并显示成图形格式,还可基于远程连接、文件名、mutex等,显示多个恶意软件的关联信息。4. CRITsCRITs 也是一个网络威胁数据库,不仅可作为攻击和恶意软件库的数据分析引擎,还提供了恶意软件分析能力。CRITs 采用简单实用的层次结构来存储网络威胁信息,这种结构具备分析关键元数据的能力,可以发现未知的恶意内容。微信公众号:计算机与网络安全ID:Computer-network一如既往的学习,一如既往的整理,一如即往的分享。感谢支持“如侵权请私聊公众号删文”扫描关注LemonSec觉得不错点个“赞”、“在看”哦 本文始发于微信公众号(LemonSec):网络安全攻防:威胁情报
阅读全文
TIP-1000,「轻」量级的「重」武器 安全工具

TIP-1000,「轻」量级的「重」武器

威胁情报平台(Threat Intelligence Platform,简称TIP)是一款面向企业用户提供的本地化部署,实现情报落地,便于用户高效利用情报进行威胁发现与检测的产品。 本文始发于微信公众号(奇安信威胁情报中心):TIP-1000,「轻」量级的「重」武器
阅读全文
威胁情报共享之野望 安全闲碎

威胁情报共享之野望

2021年的RSAC大会上,网络威胁联盟(CTA,Cyber Threat Alliance)分享了《错误的假设:为什么情报共享失败》的议题,讨论了美国情报分享业务开展多年,但是到目前威胁情报共享依旧挫折不断,CTA认为在情报共享中一直存在三个错误的假设: (1)认为威胁信息就是技术型的数据,如文件Hash、IP信誉等内容,其实还包括战术、操作、战略情报的内容; (2)认为所有组织都应该共享技术型数据,而事实是很多企业没有情报分析和生产的能力,彼此之间的情报共享价值很不确认; (3)认为建立共享通道后情报共享就很容易,而实际情况是获取共享情报后依旧需要投入信任、金钱、时间和关注力。美国的情报共享机制开展了很多年,为应对定向攻击/APT攻击,早在2015年,美国政府层面就成立了由国家情总监办公室管辖的CTIIC网络威胁与情报整合中心,补充国土安全部下属的NCCIC网络安全和通信整合中心的整合推动能力,负责分析和整合国土安全部、联邦调查局、中央情报局、国家安全局等部门收集到的网络威胁信息。美国还建立了多个跨行业的信息共享中心(ISACs),以促进私营行业与关键技术设施部门之间实施共享威胁情报,截止到2021年3月,美国已成立26家信息共享中心。由Check Point、Cisco、Fortinet、Paloalto等安全厂商牵头共建的独立非盈利会员组织 -- 网络威胁联盟CTA,致力于在公司和组织之间实现实时、高质量的网络威胁信息共享,并与计算机应急响应小组CERT、信息共享和分析组织ISAC、非盈利组织建立合作伙伴关系,目前拥有33个企业成员。另外,在美国安全企业之间,还存在通过社区合作来进行情报共享的情况,社区中企业在规模和业务方面存在较大的差异,期望通过情报共享能够有效地推动能力互补。而国内也设立了一些威胁情报共享的组织和平台,包括由中国科学院信息工程研究所牵头、联合国内11家单位共建的国家威胁情报共享平台CNTIC,以及旨在以安全威胁情报为核心、打造平等互惠的新生态圈模式的烽火台安全威胁情报联盟等组织,都在尝试推动国内的威胁情报共享工作。但目前看来,这威胁情报共享工作进展依旧不通畅。 从理论层面,TAXII威胁情报交换规范中定义了三类共享机制:P2P共享模式、单向订阅模式、Hub共享模式,这三类情报共享机制几乎覆盖了所有的情报共享场景。既然理论的共享机制相对完善,而现实情况下整个共享过程却不通畅,在笔者看来,主要是共享场景和共享内容方面的问题。 在共享场景方面,目前主要是IOC Feeds的共享和下发,对于参与共享的安全厂商而言,我共享的是我的核心IOC数据,但是获取到的IOC Feeds信息的准确性和及时性,却难以判断,甚至是没有用的,导致参与共享的厂商都认为自己共享的多,获得的收益少,进而陷入恶性循环。这是因为,对于安全厂商生产的IOC,本质上是基于自身业务在网络环境中的观测,结合自身的安全检测和分析能力进行生产和沉淀的,自己认为是“高价值的”;但是不同厂商在整个网络环境中的观测都是片面的、重合度少的,A厂商基于自己业务观测和分析生产出来的“高价值”IOC情报,在B厂商看来是“难以确认的”,并不敢直接用于自身的安全检测和阻断业务中,最多只是当作另一类“观测数据”,需要进行二次分析和确认才能进行使用。这导致在A厂商和B厂商看来,都是“不值当的”。更别说个别安全厂商为了避免自身的威胁情报被二次使用和出售,故意在情报数据中参杂了一些“标记假数据”。 而在共享内容方面,目前共享的内容以IOC情报、样本为主,缺失攻击相关的上下文信息,对于参与威胁情报共享成员,看到的共享情报信息都是知其然但不知其所以然,并且目前尚缺乏中立的威胁情报质量的评估机构和较准确的评估体系,就更不敢在产品中直接使用共享的威胁情报了。 针对这种情况,笔者在情报共享场景和共享内容方面,提出的一些意见如下: 首先是情报共享场景,笔者认为,情报共享困难本质上是由于不同安全厂商部署的安全设备,所观测到的网络攻击和威胁是不一样的,都是互联网中的一个角落,彼此观测到的数据都不一样,共享过来的内容就更加难以信任了,A厂商观测到某IP发动的是DDoS攻击,B厂商看到的某IP实施SQL注入攻击,可能两家厂商的观测都是准确的,但是很难说服两家厂商信任彼此的情报内容,因为缺乏相同的观测数据。这种情况下,索性就对不同厂商的观测能力进行开放和共享,将观测到的结果和上下文分发共享到有需求的厂商。不同部门和厂商都有网络数据观测的需求,可能是用于攻击组织追踪,也可能是对可疑的观测数据进行判断和评估,这时,该部门只需要将观测数据需求提交给共享中心,由共享中心将观测需求的任务下发到接入的成员单位,成员单位则基于自身构建的SOC进行观测,将原始的观测结果进行匿名化、隐私化、统计化处理后,返回给观测需求的提出部门,根据更多的观测结果,提交需求的厂商就可以对观测数据进行进一步的判断和评估。 其次,在情报共享的内容方面,建议将原先IOC情报维度的情报共享,换成攻击事件维度共享,IOC情报在实际的应用中需要结合实际场景和上下文开展检测或阻断服务,泛泛的IOC情报指标共享由于准确度、上下文的因素,使用起来存在较大的不确定性。这时,针对安全事件的线索收集、分析、判断、处置建议等信息的共享,内容更加丰富和饱满。在STIX2.1中围绕威胁信息的表达,较完备的定义了威胁相关的18个元素,通过这18个元素详情和元素之间的关联关系,可以较完备的描述一个安全事件。典型的,在某次安全事件的分析过程中,关注的内容主要包括: (1)攻击战役信息,即攻击事件背景描述; (2)攻击模式信息,攻击者使用到的攻击手法; (3)分析和追溯到的攻击者信息和身份信息,如攻击者的ID、QQ号、邮箱、手机号等; (4)基础设施信息,攻击者攻陷或利用的IP、域名等; (5)位置信息,攻击者和被攻击者的位置; (6)恶意样本,攻击者使用的恶意样本; (7)恶意软件分析信息,即恶意软件动静态分析信息的打包,包括IDA和OD等; (8)分析报告信息,收集关于攻击的其他分析报告,可以不断补充; (9)工具,攻击者攻击过程中使用的工具软件、Payload等; (10)脆弱性信息,攻击者使用的漏洞分析信息、PoC等; (11)可观测数据,包括攻击过程中收集到的IP、域名、Hash、URL、加密钱包、互斥体、注册表键值、邮箱、邮件信息、目录名、AS、MAC、网络流量、进程、用户账户、证书等内容; (12)攻击指标信息,攻击过程中可以用于检测和阻断的攻击指标,包括IP、域名、Hash、URL、YARA、IPS、Sigma、Playbook、分析规则等内容; (13)应对措施信息,针对此次攻击,相应的响应处置和缓解措施; (14)意见,即不同的分析人员在对事件分析过程中,根据自身经验补充的判断。 通过对该次安全事件的较完整上下文信息进行共享,成员均可以拿到丰富的事件信息进行分析和补充,再进行二次共享,参与共享的安全厂商就能获得更多的“增益”情报信息。 当然,情报共享过程中的激励机制和计费机制,也是需要重点考虑的,但是笔者认为这并不是制约当前情报共享困境的核心问题,在此就不讨论了。参考资料 360政企安全,直击RSAC 2021丨从“向前防御”探究情报共享必要性,https://mp.weixin.qq.com/s/WoFekjTMfszeGQkbaHHhqQ  金湘宇,网络安全情报体系介绍  Cyber Threat Alliance,https://cyberthreatalliance.org/  Aviram Zrahia,Threat intelligence sharing between cybersecurity vendors: Network, dyadic, and agent views,Journal of Cybersecurity.  The Trusted Automated eXchange of Indicator Information (TAXII™) ,https://taxiiproject.github.io/getting-started/whitepaper/最后,小小的吸粉一波,关注公众号获取笔者持续更新的文章和搜集整理的相关资料,欢迎随时交流和讨论! 本文始发于微信公众号(小强说):威胁情报共享之野望
阅读全文
黑灰产情报周报|本周两家电商平台发生用户网购订单数据泄漏事件 安全新闻

黑灰产情报周报|本周两家电商平台发生用户网购订单数据泄漏事件

一、概述本周猎人君:在数据泄露风险情报发现两家电商平台发生用户网购订单数据泄漏事件;在黑产交易风险情报发现某买菜平台62数据交易事件;在黑产作恶工具风险情报发现某汽车社区平台注册机工具。本周业务安全情报分为如下8个部分,可点击跳转对应情报分析模块查看详细数据和分析:数据泄漏风险情报——两家电商平台发生用户网购订单数据泄漏事件黑产作恶工具风险情报——某汽车社区平台注册机工具分析黑产交易风险情报——某买菜平台62数据交易事件真人作恶风险情报API风险情报流量欺诈风险情报黑产作恶手机卡风险情报黑产作恶IP风险情报二、本周业务安全情报详情2.1 数据泄漏风险情报以下是对5月17日至5月23日,每日新增数据泄露产业人数规模和每日发生事件数量变化结果:图1-1 每日新增数据泄漏事件情况表根据数据泄漏针对的行业不同,进行如下统计划分:图1-2 数据泄漏行业分布情况两家电商平台发生用户网购订单数据泄漏事件猎人君本周发现两起电商平台用户网购订单数据泄漏事件,泄漏的数据包含店铺名称、订单生成时间、快递单号、收件人姓名、手机号、收件地址、购买商品名称、商品价格等信息。通过手机号和姓名对比、快递单号和收件信息对比,发现样本数据全部一致,证明数据可信度较高,此类信息泄漏可能会引发网购退款类的诈骗案件,平台应通知用户防范此类短信电话。从两份样本数据的商品信息和店铺信息来看,猎人君猜测此次事件泄漏渠道是平台店铺侧,平台应该从店铺侧排查事件原因,严防此类事件发生。图1-3 泄漏的部分样本数据截图2.2 黑产作恶工具风险情报以下是5月17日至5月23日,每日新增黑产作恶工具数量变化结果:以下是以MD5作为工具唯一ID统计而来的数据。图2-1 每日新增捕获工具数量某汽车社区平台注册机工具分析本周分析的注册机工具不是破解软件时候用到的工具,而是能快速批量注册账户的一类工具。该类工具攻击对象广,只要具有账号机制的平台都是它们的目标,尤其具有社区属性的平台。黑产通过注册机批量注册平台账号,再配合自动发帖工具可以实现论坛灌水发帖、评论、点赞等行为,严重破坏平台社区生态。该汽车社区平台注册机工具主要利用接码平台获取手机号实现账号注册,并带有IP代理切换功能、头像设置功能以及账号cookie导出功能,账号cookie导出功能猜测是为了方便后续的账号转卖以及配合发帖工具账号导入目的。基本信息:程序运行界面:工具攻击的部分接口:2.3 黑产交易风险情报以下是以行业纬度对5月17日至5月23日黑产交易商品数量变化统计结果:图3-1  本周黑产交易商品数Top10行业图某买菜平台62数据交易事件猎人君本周在某黑产交易网站发现售卖**买菜的62授权数据的事件(62数据是微信在登录时,解密某个文件后生成的全是以62开头的字符串数据)。买家购买此62数据后,通过搭配相关脚本将62数据导入到买家设备中,可直接跳过微信登录验证,实现微信授权登录**买菜。图3-2  某买菜平台62数据交易描述该类商品的出现可能对**买菜平台造成的影响:此类数据搭配自动化领券工具,可以实现批量领取优惠券。此类数据搭配自动化下单工具,可以实现特价商品的抢购。2.4 真人作恶风险情报以下是5月17日至5月23日,每日新增真人作恶任务数量变化结果:图4-1 每日新增真人作恶任务数根据真人作恶针对的行业不同,进行如下统计划分:图4-2 真人作恶在不同行业分布情况2.5 API风险情报:从5月17日到5月23日,共发现213个API被攻击,涉及60个公司。图5-1  5月17日到5月23日被攻击API类型占比在监控到的213个API中,被爬虫攻击的API有137个,占比64%;刷量攻击API有34个,占比16%;账号攻击API有32个,占比15%。2.6 流量欺诈风险情报以下是永安在线情报系统监控到的,5月17日至5月23日,流量欺诈TOP10欺诈类型及其占比:图6-1  流量欺诈TOP10欺诈类型及其占比2.7 黑产作恶手机卡风险情报5月17日至5月23日,拦截卡和传统黑手机卡日增趋势:图7-1 拦截卡和传统黑手机卡日增趋势5月17日至5月23日,国内外黑手机卡日增趋势:图7-2  国内外黑手机卡日增趋势2.8 黑产作恶IP风险情报5月17日至5月23日,国内IP来源省份数量占比:图8-1  IP来源省份数量占比5月17日至5月23日,国内外IP来源数量占比:图8-2  国内外IP来源数量占比 本文始发于微信公众号(永安在线情报平台):黑灰产情报周报|本周两家电商平台发生用户网购订单数据泄漏事件
阅读全文
网络安全威胁信息共享的基石|威胁情报标准 云安全

网络安全威胁信息共享的基石|威胁情报标准

01 写在前面 近期,各行业在践行威胁情报产品赋能时,奇安信威胁情报中心参与了较多威胁情报标准制定相关工作,经过多番了解与沟通,总结该需求情况,汇总并分享威胁情报标准现阶段发展内容与目标。02 为什么需要威胁情报标准 首先,我们明确威胁情报标准的定义:即给出一种结构化方法,描述网络安全威胁信息,旨在实现各组织间网络安全威胁信息的共享和应用。其次,究其一开始推动标准的产生,主要有两方面的原因:2.1 机读情报的生产大数据时代,网络世界每时每刻都产生海量的数据,这些数据虽然具备隐形关联的特性,但是非常零散,且碎片化。大数据技术与人工智能的发展很好的将安全数据自动化关联,形成威胁信息。由此可见,统一的威胁情报标准便成为了机器交换威胁信息最好的“沟通语言”,它使机器在威胁信息范式、交换格式、共享内容等方面达成共识。2.2 威胁情报的共享随着攻击者频繁得逞,恶意攻击造成大面积损失的事件越来越多,但其实被报道出来的都只是冰山一角,更多的还藏在“水面下”,甚至很多APT攻击早已入侵目标,并潜伏多年都未被发现。作为信息安全从业者,需要从防御方的角度考虑如何进行反击。在全国乃至全球范围内,因为生产网络威胁情报的组织单凭一己之力无法获取到足够多的相关信息,感知威胁存在着局限性。于是,威胁情报共享的概念被提出,并在国外被广泛采纳。据实践证明,标准能自动化处理威胁信息,减少沟通中的误解,大大提升安全研究人员共享威胁情报的效率和准确率。通过威胁情报标准将不同组织所拥有的情报信息汇聚起来,实现组织间的情报共享,可以有效地提高网络空间的安全防御能力,打破组织数据单一、信息不全的僵局,这一“语言”的发布也标志着行业进入情报共享的新时代。03 国外主流标准简介 在威胁情报信息共享方面,美国发展迅速,MITRE(美国政府赞助的一个非盈利研发机构,向美国政府提供系统工程、研究开发和信息技术支持)提出了众多威胁情报共享、交换标准,如:STIX、TAXII、CybOX、MAEC、OVAL、CAPEC等一系列主流标准。这里挑几个简单阐述下各自区别与使用场景。3.1 CybOXCybOX描述所有可以从计算系统和操作上观察到的内容,比如IP地址。这种可观察对象由于具有某个特定值,通常作为判断威胁是否存在的指标,如:IP地址通常作为判断恶意企图的指标。因此,CybOX大多用于描述威胁的词汇。3.2 STIXSTIX基于XML/JSON的语法,指定各个实体中包含的数据项的格式,描述威胁情报多方面的特征,如:攻击模式、攻击活动、行动方针等。同时,STIX支持使用CybOX格式去描述威胁内容。因此,STIX大多用作威胁情报描述。3.2 TAXIITAXII定义了交换协议,提供多种共享模型。包括hub-and-spoke,peer-to-peer,subscription,在提供安全传输的同时,无需考虑拓扑结构、信任问题、授权管理等策略,支持多种格式传输数据。因此,TAXII大多用来传输数据。04 国内情况分析 相比之下,国内的威胁情报体系起步较晚,进入市场缓慢。4.1 发展缓慢2018年,我国的威胁信息标准(GB/T 36643-2018 网络安全威胁信息格式规范)才正式发布,该标准定义了一个通用的网络安全威胁信息模型,从可观测数据、攻击指标、安全事件、攻击活动、威胁主体、攻击目标、攻击方法、应对措施八个组件进行描述。国标的发布意味着我国网络安全领域又向标准化、规范化前进了一步。然而早在国标发布之前,各大安全厂商已经使用主流标准或自定义的标准描述、使用威胁情报,所采用的标准都与国标有着不同程度的差异。且经过多年的使用和积累,修改、映射字段需要耗费大量的资源,如人力、物力、财力等。因此,若无足够的项目金额支撑,是不会轻易做出改变的。4.2 威胁情报商业化除此之外,国内安全厂商将各自拥有的情报数据商业化,介于各厂商在威胁情报领域的水平层次良莠不齐,不同质量的威胁情报体现了科研水平与专业能力的高低,也是商业情报数据的核心卖点。标准的统一意味着需要与合作伙伴或团体进行网络威胁信息共享,共享的结果必然会导致厂商的商业利益优势不突出。因此,在国内要构建情报共享的生态环境是个较高难度的挑战。05 现阶段标准需求热潮 基于上述原因,安全厂商报送的情报信息格式多样,导致用户在购买后无法统一消费,产生很大的困扰。在该背景的驱使下,围绕着威胁情报标准制定的需求又一次成为国内业界的热潮。现阶段,用户通过将威胁情报信息的获取、封装与消费的项目成果融合成规范,形成标准并发布,以此推动自身体系内威胁情报共享的发展。于是,各行各业纷纷召集知名安全厂商,商讨、制定一套适用于自己的威胁情报标准,要求安全厂商后续严格按照标准格式来提供情报数据。5.1 需求类别总结不同行业的前场需求反馈后发现,用户对威胁情报标准的制定有着比较大的差异,主要从以下几个点出发:生产运营标准:该类标准要求基于威胁情报运营体系,研究威胁情报分类方法、组织流程、生命周期等。结合行业对威胁情报的运用情况与目标,定义出一份适用于某行业的威胁情报运营标准规范,如:通信行业的威胁情报运营标准规范。建模通用标准:该类标准类似于国标,采用模型或框架的方式,对内部所需的全部数据与信息进行标准制定,定义一个描述所有数据元素的通用本体,适用于体制化建设单位,如:某军方网络安全威胁信息标准。业务层面标准:该类标准将业界已有的、完整的、通用的情报分类体系打乱,再结合自身业务,将零散的类别进行重组、划分与扩充。定义该类标准要求用户对情报的分类需求与业务有着强相关,适用于监管单位,如:公安网络安全威胁情报标准。5.2 需求难点其实不论哪种需求类别,既然是制定标准,核心要素是尽可能全面,并具有行业或领域普适性。因此,第一个难点浮出水面,即标准涵盖情报类型是否齐全。“生产运营类标准”容易忽略事件情报、分析报告等人读类情报;“建模通用类标准”无法保证对象域、方法域等域内子集的枚举全;“业务层面类标准”是最难的,不仅需要非常专业的知识储备去应对零散的情报分类,还需要结合业务场景重新定义新的情报分类。这里就自然而然的引出了第二个难点,即定义各类情报,明晰划分边界。国内威胁情报类别存在重合的现象是一种常态,甚至很多做情报的安全厂商及人员都并不清楚之间的细微区别,更没有在标准上进行深究。因此,要解决第二个难点须通过多人、多组织经过多轮的沟通与磨合,才能勉强达成一致。在分类完成之后,还需要对情报所覆盖字段枚举并说明。我们都知道,安全是动态的,某个阶段的枚举只能说明符合现阶段的需求。随着科技的进步与发展,一定有扩展字段集合的需求,第三个难点在这里就体现出来,即定义字段集合的可扩展性。在标准制定时提前预判后续可扩展字段集合的命名方式及定义,并对机器处理扩展字段的性能有着非常高的要求,这涉及到深层技术,在本文就不多说了。5.3 需求总结从上面我们可以看到在制定标准时有着非常多的阻碍,疑点多、难度大,但开放共享的安全威胁情报生态是信息安全行业发展的必然趋势。并且我们坚信,有标准制定的需求,就伴随着情报产品的需求。即使前期的投入巨大,也许短期内看不到明显的效益,但对于推动未来生态的发展,有着不可估量的意义。06 CEATI联盟 奇安信威胁情报中心支持情报共享的新生态圈模式与应用,联合国内众多著名安全公司,发起、共建威胁情报行业的联盟机构——CEATI联盟(网络安全威胁情报生态联盟,英文全称:Cybersecurity Ecology Alliance of Threat Intelligence),旨在以应用威胁情报能力为核心,打造共享生态模式,实现情报使能、共谋共策、开放合作、共赢未来。奇安信威胁情报中心致力于降低行业威胁情报利用门槛、提升威胁情报使用效果以及体现客户侧的威胁情报价值,进而在整体上提升国内安全防护水位。目前,CEATI联盟共有10家成员单位,联盟成员公司能力涵盖情报运营、APT跟踪、样本对抗、Web安全、数据安全、大数据分析、云安全、等保合规、安全硬件等多项关键技术。部分成员信息如下:奇安信:成立于2014年,专注于网络空间安全市场,向政府、企业用户提供新一代企业级网络安全产品和服务。凭借持续的研发创新和以实战攻防为核心的安全能力,已发展成为国内领先的基于大数据、人工智能和安全运营技术的网络安全供应商。同时,奇安信是2022年冬奥会和冬残奥会网络安全服务与杀毒软件的官方赞助商。此外,公司已在印度尼西亚、新加坡、加拿大、中国香港等国家和地区开展网络安全业务。天际友盟:在北京、西安、石家庄三地设有研发中心,技术骨干均为国内安全行业的专家人才,有着超过10年的安全从业经验,对安全情报、数字风险、大数据分析等领域有着深入的了解和丰富的实践经验。盘古团队:因连续多次发布iOS完美越狱工具而闻名,是国内首个自主实现苹果iOS完美越狱的团队,团队成员兼具高水平学术理论研究和丰富的工业研发能力,在主流操作系统和重要应用程序中曾发现过数百个0day安全漏洞,研究成果多次发表在极具影响力的工业安全峰会和顶级学术会议上。网宿科技:在美国、俄罗斯、韩国、中国厦门和中国深圳设立五大研发中心,拥有顶级的技术研发团队,研发人员数量占比超过65%,每年研发投入占公司营业收入10%左右,以智能网络连接智慧未来。奇安信威胁情报中心计划开放轻量级免费包,提供下载开源数据包的入口,外部用户可在CEATI联盟官网上自行下载、导入、使用,欢迎大家的加入!官网地址:https://www.ceati.org.cn联系邮箱:[email protected]点击 阅读原文可至官网了解更多 本文始发于微信公众号(奇安信威胁情报中心):网络安全威胁信息共享的基石|威胁情报标准
阅读全文
社区警务和以情报为主导的警务:对趋同性或区分性有效性的检查 云安全

社区警务和以情报为主导的警务:对趋同性或区分性有效性的检查

本文作者:JeremyG.Carter,美国印第安纳波利斯普渡大学,公共和环境事务学院;BryannaFox,美国佛罗里达州坦帕南佛罗里达大学犯罪学系摘要目的——尽管关于情报引导警务(ILP)的学术研究越来越多,在全球执法机构中也越来越受欢迎,但关于ILP的概念基础和适当衡量仍存在模糊之处。虽然大多数学者都认为社区警务确实是一种独特的警务理念,但对社区警务与一直存在的社区警务模式之间的关系却缺乏共识。因此,显然有必要研究美国执法机构实施的这些警务理念中的经验性区别和重叠。本文旨在讨论这些问题。设计/方法/途径——数据来自2007年LEMAS和2009年NIJ情报调查。美国共有227个独特的警察机构。一系列双变量、探索性因子分析和结构模型被用来确定跨COP和ILP结构的判别或收敛有效性。调查结果——目标是回答这个问题:这两种警务理念是作为独立和不同的策略实施的吗?我们的探索性和结构性模型的结果表明COP和ILP装载在独特的潜在结构上。这肯定了双变量相关的结果,并表明COP和ILP具有判别测量的有效性。换句话说,即使在美国的警察部门实施,警察行为和国际警察行为在概念上是不同的。讨论了这些发现的含义和对未来研究的建议。原创性/价值——这是第一项实证检验COP和ILP的判别或收敛有效性的研究。关键词:测量,情报主导警务,社区警务,执法介绍情报主导警务是美国相对较新的警务理念,出现于2001年9月11日恐怖袭击之后。尽管国际情报保护的根源在英国,特别是在国家情报模式中,但美国在国际情报保护方面的经验主要归因于执法机构未能共享导致9/11袭击的信息(9/11委员会报告,2004年),以及要求警察在资源有限的情况下提高效率(拉特克利夫,2016年)。尽管许多机构自我报告了国际学习计划的采用,并增加了关于该模式的学术调查,但围绕国际学习计划的概念基础和适当衡量仍然存在实质性的模糊。正如将在接下来的叙述中讨论的那样,大多数学者都认为ILP确实是一种独特的警务哲学。然而,关于国际学习计划和一直存在的学习模式之间的关系,人们的共识较少。情报主导警务的概念虽然很少对国际刑事警察进行定义,特别是因为它意味着随着当代警务的进步而发展,卡特和卡特(2009)将国际刑事警察概念化为:收集和分析与犯罪和导致犯罪的条件有关的信息,从而产生一个可操作的情报产品,旨在帮助执法部门制定对威胁的战术响应和/或与新出现或变化的威胁相关的战略规划(p。317).基于这些更广泛的情报收集、分析和实施原则,以制定应对犯罪威胁的战略和战术对策,ILP展示了跨机构的高度实施忠诚度。ILP近年来取得了相当大的成功,并被认为是创建由联邦、州和地方执法人员组成的区域融合中心的动力,以便跨机构共享情报和数据(Lewandowski、Carter和Campbell,2017年)。本质上,国际犯罪预防方案的目标是通过定量和定性分析利用原始信息输入,主动监测和预防犯罪活动,主要是针对习惯性(即多产)罪犯和对社区的潜在威胁。正如联合王国内政部审计委员会(1993年)所指出的,国际犯罪预防方案利用从各种来源获得的情报,包括监视、线人和其他机构,以锁定惯犯并提高减少犯罪的效率。当代国际警察的定义也反映了更广泛的业务重点,对一些学者来说,还包括了其他警务哲学的关键组成部分。例如,在英国,国家执行模式的采用带来了整合解决问题方法的国际学习计划的转变(黑尔等人,。2004;奥克森等人,。2002年),并将国际刑事诉讼法的适用范围从惯犯扩大到警察负责的各种问题(巴顿和埃文斯,1999年)。通过这种方式,国际警务计划既可以与其他突出的概念性警务理念保持一致,如面向问题的警务和面向警察的警务,也可以保持独特的原则,使其成为一种独特的警务模式。在这里,我们将讨论和评价在美国和国外非常流行的警察哲学——国际警察和警察之间的共性和差异。本期编辑:LPC通过“情报学院”知识星球可以阅读该资料的全都内容👇 本文始发于微信公众号(情报分析师):社区警务和以情报为主导的警务:对趋同性或区分性有效性的检查
阅读全文
以色列情报界 安全闲碎

以色列情报界

当前部门 阿曼:以色列国防军的最高军事情报部门 空军情报局:以色列空军的情报单位 海军情报部:以色列海军陆战队的情报单位 情报总队:以色列国防军的主要情报收集和分析 Field Intelligence Corps:GOC陆军总部的情报单位 Sayeret Matkal(סיירת מטכ"ל):以色列国防军首屈一指的特种部队,直接隶属于 AMAN 四个地区司令部(中央、北部、南部、国土前线)的情报单位。 摩萨德:主要负责海外情报工作的机构 Shin Bet(“Shabak”):负责内部安全的组织,包括在以色列占领区的安全 以色列警察情报部门 该中心的政治研究:在的情报部门外交部 过去部门 Nativ:负责从苏联集团国家带回犹太人的组织,这是摩萨德 Le'aliyah Bet的后期表现。继苏联解体,它被移出情报界,并成为的一个部门总理办公室。 Lekem:负责获取和保护秘密技术的机构。它被解散,其主管拉菲·埃坦因乔纳森·波拉德的曝光而辞职,乔纳森·波拉德因代表其从事间谍活动而被定罪。 议会监督 议会对情报界的监督是由外交和国防委员会下属的情报和秘密服务小组委员会负责的,该委员会负责监督整个以色列安全部队。 结构和组织 关于独立调查委员会的适当结构问题,以及在安曼、沙巴克和摩萨德之间划分责任和管辖权的问题,以及这三者与总理和部长有关的工作形式,所有这些在过去多次成为议程上的问题。多年来,无论是由于创伤性经历还是例行公事,都任命了各种委员会和个别检查员,以审查这些问题并提出建议。这些委员会有 1.亚丁-谢尔夫委员会(1963年) 2.阿格拉纳特委员会(1973-74年) 3.扎米尔委员会(1974年) 4.阿鲁夫-阿哈龙-亚里夫委员会(1984年,1986年) 5.调查伊拉克战争后情报网络的委员会(2004年)。 政府曾多次受命处理此事,并达成了各种决定。国家审计长将该问题列入议程,并向以色列议会提交了他的调查结果和结论。1994年,情报小组委员会也审查了这些问题,并向总理提出了建议。 在国际情报委员会目前的结构中,阿曼、沙巴克和摩萨德这些情报部门的分工通常是以地域为基础的。各组织之间存在着相互联系和重叠的部分,往往相当广泛。协调和区域间合作的水平在过去一直存在根本性的缺陷,这阻碍了几个方面的情报工作的有效性。各组织压制了相互分享情报信息和同步开展一些活动的必要性。 还有一些有待讨论的问题,包括有争议的问题,如管辖权的划分和区域间的部门界限。在一份被称为 "大宪章 "的文件中,三个部门的负责人继续试图就这些问题达成协议。情报小组委员会关注这一论述,并研究实际解决关键争议领域所需的步骤。如果需要,小组委员会可以积极参与此事,以确保在以色列的整体情报工作有适当和合理的标准。 安曼的作用 独立调查委员会的历史发展注定了阿曼的一系列活动和任务不属于西方国家的军事情报领域,例如负责政治事务和其他明显的非军事事务的情报研究。这主要是由于以色列国在其最初几年依赖国防军作为完成国家任务的支柱和机制,它是一个具有组织能力、资源和可用人力资源的系统。因此,安曼承担了通常由其他情报机构负责的职能。因此,一些批评者说,有必要重新审查情报机构在当前结构中的地位和位置,并将某些战略和政治领域以及非军事领域从阿曼移交给一个民间情报机构。 改革 伊拉克战争后的情报网络调查委员会认为,尽管目前的情报中心结构背后有历史的巩固,尽管安曼的研究部和8200部队在多年的服务中获得了优势,但现在终于到了按照适当的工作分配、专业指定以及正确的宪法和法律参考框架来重组情报中心的时候了。 委员会建议改革目前的国际调查委员会的结构,最终形成三个或四个独立的情报部门,与国家安全委员会并列,它们之间的区别是基于每个部门各自的责任范围。 1.阿曼(以色列国防军):其管辖范围主要包括 "军事情报"--提醒政治领导人和安全部门注意战争的可能性,估计敌人的手段,并在战争或有限的军事冲突中确定潜在的目标。 2.摩萨德:除了挫败袭击外,还负责战略政治重点,包括评估政权的稳定性,参与工业-科学-技术和核相关情报以及打击全球恐怖主义。 3.沙巴克:负责国家、公民和机构的安全,打击巴勒斯坦和其他形式的恐怖主义,并打击内部颠覆。 4.国家安全委员会:根据总体情报评估全球状况,并准备国家和安全对策。 5.SIGINT服务:这个拟议的服务将为所有其他部门提供SIGINT情报。 本期编辑:HYNE 如有侵权,请联系管理员删除 相关推荐: Kubernetes为什么重要? 这是一个属于云原生的时代。 从技术角度看,以容器、微服务以及动态编排为代表的云原生技术蓬勃发展,成为赋能业务创新的重要推动力,并已经应用到企业核心业务。 从市场角度看,云原生技术已在金融、制造、互联网等多个行业得到广泛验证,支持的业务场景也愈加丰富,行业生态日…
阅读全文