浅谈威胁情报运营

admin 2022年10月29日17:33:52评论103 views字数 2792阅读9分18秒阅读模式

点击蓝字 关注我们

浅谈威胁情报运营
浅谈威胁情报运营

本人刚开始接触安全情报工作,作为一名甲方从事威胁情报收集的工作者,这篇文章是我对于威胁情报的一些浅显的认识,不足之处,欢迎各位大佬指正!

什么是威胁情报


威胁情报是有关的单位或组织可能面临的潜在攻击以及如何检测和阻止这些潜在攻击行为的信息。威胁情报可以帮助企业或组织快速地了解到敌对方对自己的威胁信息,从而他们可以提前做好威胁防范、更快速地进行攻击检测与响应、更高效地进行事后攻击溯源。


威胁情报被Gartner分为了战略情报、运营情报、战术情报三类:

浅谈威胁情报运营

战略情报描述整体趋势和长期问题。主要是给组织的管理者使用,帮助决策者把握当前的安全态势    

运营情报描述攻击者使用的战术、技术和程序 (TTP)。主要为安全分析人员或应急响应人员使用。通常可以分为四类:基础情报、威胁对象情报、IOC情报和事件情报。

战术情报是有关威胁的具体细节;它让组织能够发现威胁事件并对报警确认或优先级排序。常见的失陷情报、IP情报就属于这一范畴。


威胁情报运营周期


日常工作中,威胁情报运营的大概有以下几个阶段:


目标情报->情报收集->情报分析->跟进处理->情报反馈


目标情报:收集情报前先确定需要收集的目标情报。在本人工作中,目标情报主要包括漏洞情报、病毒情报、数据泄露情报、欺诈冒仿网站/APP信息情报等。


情报收集:通过各种目标情报相对应的途径对企业存在的潜在威胁信息进行收集。个人或者企业想要得到威胁情报则需要从情报源获取。一般有免费的情报源也有付费的情报源。常见的情报源有厂商、CERT、开发者社区、安全媒体、漏洞作者或团队、公众号、个人博客、代码仓库、暗网、地下论坛等。关于情报收集的一些方式和途径在后文补充。


情报分析:通过人工或结合相关工具对收集的威胁情报进行进一步分析,提取出多方面的可用信息。


跟进处理:分析人员将情报共享到企业内部,由应急响应人员或其他相关工作者根据情报分析结果做出相应的防范措施。


情报反馈:情报是否有效取决于企业的后续反馈。


情报获取方式/途径


下面是我们团队为大家整理的一些国内外免费获取威胁情报的方法和途径:


安全媒体


威胁情报人员可以从一些安全媒体所发布安全资讯、公告中获取到威胁信息,进而分析并提取出有用的信息。总体来说,国内的资讯网站对于一些国际性的安全事件资讯更新要比国外的慢,但是国内站点可以更早更多地了解国内所发生的网络安全事件以及国内相关法律法规的出台;反之,国外的一些资讯网站在国际重大安全事件的更新上要快于国内。


国内


安全内参

https://www.secrss.com/

51CTO

https://www.51cto.com/

Freebuf

https://www.freebuf.com/

嘶吼

https://www.4hou.com/


国外


BleepingComputer

https://www.bleepingcomputer.com/news/security/

HelpNetSecurity

https://www.helpnetsecurity.com/view/news/

SecurityAffairs

http://securityaffairs.co/wordpress/

GBhackers on security

https://gbhackers.com/


安全漏洞情报

威胁情报工作者获得漏洞情报后,通过对漏洞各个方面的信息(包括漏洞成因、严重程度、影响范围、是否在野利用、漏洞修复方案等)进行分析,确保相关人员可在第一时间对企业内部受影响资产组织应急响应及修复工作。以下是几个较为常见且更新较为及时的漏洞情报获取网站:


CNVD:主要监测国内厂商发布的漏洞。由于cnvd对国外厂商的漏洞更新较慢,一般采用其他的方式来对国外漏洞进行监测。

https://www.cnvd.org.cn/

浅谈威胁情报运营


IBM:更新近期CVE漏洞,更新较快。

https://exchange.xforce.ibmcloud.com/activity/list?filter=Vulnerabilities

浅谈威胁情报运营


Openwall:CVE漏洞邮件集合,更新较快

https://www.openwall.com/lists/oss-security/

浅谈威胁情报运营


TSRC安全情报平台:主要是各种厂商及其产品的安全公告更新

https://security.tencent.com/index.php/ti

浅谈威胁情报运营


除此之外,还可通过各大互联网厂商发布的安全公告、社区论坛、社交网络、博客等渠道获取最新漏洞信息。


POC/EXP情报


Exploit-DB:公布漏洞POC

https://www.exploit-db.com/

浅谈威胁情报运营


同时也还有很多其他的获取途径,如GitHub、博客、地下论坛、付费购买等。

 

病毒情报(IOC情报)


天际友盟:每天都会更新近期各类威胁指示器

https://redqueen.tj-un.com/IntelHome.html

浅谈威胁情报运营


可进入需要的安全情报中获取指示器,根据指示器的不同类型采取不同的防范措施。比如恶意IP、域名类的指示器可以加入到安全防火墙,MD5、SHA类的指示器加入到防病毒设备中,扩大病毒库。


浅谈威胁情报运营


数据泄露情报


首先明确出企业的资产分布情况,尽可能多的搜集企业资产,包括企业知识产权、企业业务、企业互联网资产等,总结出一套可用于搜索的关键字,并在使用过程中不断优化。

1、可通过GitHub、代码仓库搜索企业关键字包括但不限于各级域名、企业名、APP名称、小程序的APPID、公网IP等。


2、通过使用关键字搜索互联网网盘资源,分析研判是否属于代码泄露。

凌风云网盘搜索:

https://www.lingfengyun.com/

浅谈威胁情报运营


3、可在各大文库搜索关键字,如百度文库、道客巴巴等,可能存在数据泄露文件。


4、通过购买安全公司的数据泄露监控服务,便于统一分析管理。


仿冒APP/网站

       多攻击者或其他非法分子会伪造仿冒企业网站或APP,来进行钓鱼攻击或欺诈企业客户,给企业造成损失。


1、这方面的情报可通过资产测绘网站或浏览器来对企业关键字、企业图标等假冒网站常用特征进行搜索分析。

浅谈威胁情报运营

使用工具对收集到的钓鱼网站并经过分析研判后导出并交给专业人员进行处置

浅谈威胁情报运营


2、购买安全公司相关服务。


浅谈威胁情报运营

最后,为大家推荐几家国内外知名的威胁情报平台:


微步在线

https://x.threatbook.cn

360威胁情报中心

https://ti.360.net

RedQueen安全智能服务平台

https://redqueen.tj-un.com/IntelHome.html

IBM X-Force Exchange:

https://exchange.xforce.ibmcloud.com

AlienVault:

https://otx.alienvault.com



浅谈威胁情报运营

公众号|A9 Team

扫码关注!!!


原文始发于微信公众号(A9 Team):浅谈威胁情报运营

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年10月29日17:33:52
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   浅谈威胁情报运营https://cn-sec.com/archives/1364453.html

发表评论

匿名网友 填写信息