威胁情报层级
基础威胁情报(数据情报)
流量、文件、BGP、AS、路由、Whois、指纹、Passive DNS、信誉数据、C&C、IP、
战术威胁情报(数据关联&分析)
机读文件(IOC/TTP)、情报落地、协作联动、报警分析、定性分析、关联分析、事件预警、漏洞预警
战略威胁情报(价值&决策)
可读报告、意图分析、感知预测、决策支撑、危害范围、攻击路径、防御策略
威胁信息收集
开源的互联网设备搜索平台
Shodan、 Censys、 ZoomEye、 ICSfind、 IVRE、 Rapid7
开源扫描框架
nmap、zmap、masscan
威胁情报生产
SOAR(安全编排、自动化和响应) & 关联分析 、开源情报抓取、全网扫描、蜜罐/密网、流量获取、恶意软件处理、闭源和人际关系
情报能力发展
- 基于报警
- 基于机读情报检测/防御、基于安全通报响应
- 基于事件响应(SOAR、可视化关联分析)生产情报
- 特定范围内情报共享
- 基于 hunting 的情报生产
防御终极问题
- 能否发现攻击和风险
- 能否快速止血
- 能否评估影响范围
- 能否知道是谁(人、资产等)意图是什么
- 能否预测下一步他想做啥
威胁情报指标
分类
手机号、IP、端口、Email、Hash、User-Agent、Payload、Domain、C&C
标签
薅羊毛、暴力破解/撞库、CC 攻击、短信/邮箱轰炸、僵尸网络、肉鸡、远控/反链主机、病毒文件、远控端口、挖矿、恶意文件、网络扫描、爬虫、钓鱼
数据来源
PDNS、历史 Whois、域名、样本、网络空间探测
攻击者特征
- 每个恶意软件/域名背后都有一个黑客—从人/团伙的视角看待每一次攻击
- 终端不是感知威胁的必要条件--通过网络层面的关联分析,也可以感知威胁
- 物以类聚,人以群分—黑客资产往往存在复用、聚集等特点
- 情报的价值不仅仅是检测已知攻击—通过对黑客所有资产的掌握和发现,分析最新攻击动向
行业威胁情报共享原则
- 保密性:仅限行业内流转、不可跨机构共享
- 相关性:非必要信息不可共享
- 最小传播:情报信息有必要最小范围传播
- 可追溯:准确记录共享内容、共享时间以及信息提供者
- 信息归属:信息共享者所有、有权要求使用者立即停止使用并销毁(销毁泉归属)
- 依法执行:涉及执法机构依法进行案例调查时,应征得上级单位批准后,进入相关流程
- 隐私保护:在情报信息申请单位内最小范围传播(情报提供者隐私,情报指向者隐私)
- 分类分级:依法对隐私信息、敏感信息的收集及处理进行严格的管理及保护
- 技术依托:信息共享过程中需采取必要的技术手段对信息实施保护
行业威胁情报共享的问题
- 行业运营机构权威性保障
- 提交情报质量保障
- 情报流转标准技术及知识产权保障
- 情报下发准确性保障
工控系统威胁情报
国家关键信息基础设施
能源、关键制造业
Stuxnet、Duqu、Flame、BlackEnergy
SCADC 系统
远程控制、协议探测、资产扫描
工控蜜罐
已被甄别、难管理、难分析
数据分析
攻击动作
写内存数据、操作 CPU 状态、修改系统时钟、删除系统程序
攻击影响
数据异常、程序停止运行、系统时间异常、系统运行故障
楼主残忍的关闭了评论