威脅情報基礎 爬取 行走 分析(Part 1)

2021-08-28 04:52:25 字數 2249 閱讀 4210

過去我們所理解的威脅情報就是「威脅資料→siem(安全資訊與事件管理)→安全保障」,而這個過程中只有少數東西需要分析。rick hollan在2023年的一篇部落格《我的威脅情報可以完虐你的威脅情報》中就曾提醒我們「這是一條錯誤的軌道」,他寫道:

「只有當你的機構具有自我開發的能力時,才稱得上具有真正的威脅情報。」

現階段,我們可以利用很多已有的威脅情報,並掌握我們如何在內網中更好的利用威脅情報。而這要求我們具備乙個對威脅情報的基礎了解,以及他們究竟是如何在安全操作環境起作用的。本文旨在幫助對威脅情報感興趣的人,理解威脅情報和情報分析基礎。

在決定將威脅情報整合到安全操作之前,公司最好先構建乙個以不同方式有效利用威脅情報的框架。

傳統中的情報水平即戰爭中的策略、運作及戰術。產生這樣對應關係的原因如下:它有助於識別各個層次的決策者;它能識別情報的目的,無論是既定政策、計畫中或是檢測、組織一次攻擊活動;它能夠在獲得情報後幫助決策者擬定適當的行動。

在所有情報級別中,關鍵是針對組織進行專門的價值評估。請回答乙個問題:「這些資訊要如何新增到我們的安全專案中?這些資訊對我們做決定有什麼幫助?」

戰略情報指的是告知董事會與業務部門的情報。這能幫助他們更好地理解他們所面臨的趨勢,並達成有益發展的策略。戰略情報來自更為長期專案的趨勢分析,常常採用了例如dbir和crs(國會研究服務)的報告形式。戰略情報幫助決策者洞悉哪種威脅對業務及公司未來產生最大影響,以及他們應當採取何種措施緩解這些威脅。

運用戰略情報的關鍵是將這些情報融入公司的優先順序、資料以及攻擊表面中。沒有任何商業或年度趨勢報告能夠告訴你什麼是最重要的、某種威脅趨勢可能會影響到你。

戰略情報和所有其他情報一樣,是乙個工具,有助於進行未來決策,但無法幫你直接作出決定。

作戰情報提供的是針對乙個組織特定攻擊的相關情報。它源於軍事行動的概念——即一系列發生於不同時間或地點的計畫、活動,卻具有相同的攻擊目標。因此它能概括出攻擊活動的目標是整個部門,或是黑客針對某個特定機構進行的攻擊。

你可以在資訊共享和分析中心(isac)與組織(isao)獲取作戰情報。

作戰情報是面向更為高階的安全人員,而與戰略情報不同的是,它需要在短期或者中期內採取必要行動,而非長期。它會在一下情況中發揮作用:

1、  是否增加安全意識培訓;

2、  在一次明確的「作戰」過程中,如何分配soc員工;

3、遭遇特殊情況時,是否可以臨時拒絕防火牆的請求。

作戰情報資訊共享是乙個非常好的選擇。如果你發現一些近期內會影響他人的「東西」,請及時共享出這些資訊。它能夠幫助其他公司決定是否採取必要行動。

只有當情報獲取者有權變更政策或者採取措施應對威脅時,作戰情報才真正有用。

戰術情報關注於攻擊者的行為意圖是「什麼」(ioc)以及採取了「怎樣」的(戰術、技術和程式)檢測、阻止攻擊行為。攻擊者是否傾向於使用特定方法獲得初始訪問許可權,例如社會工程或者漏洞利用?他們是否使用了特定工具或提權手段?你通過哪些ioc發現異常活動?herman statman的威脅情報列表為查詢戰術情報提供了詳實的資料。

戰術情報主要是面向活躍監測周圍環境的安全人員,他們收集來自員工報告的異常活動或社會工程嘗試等資訊。戰術情報也可以用於尋找攻擊活動,我們試圖從普通使用者行為中區分出攻擊者。這種情報型別需要更多先進的資源,例如廣泛的日誌記錄、使用者行為分析、端點可見性以及訓練有素的分析師。由於一些指標可能在第一次出現時沒有被員工捕獲或警告,因此具備安全意識的員工同樣很重要。通常你擁有的員工數量要比攻擊感應器多……所以,聽從你的員工、訓練他們、收集他們提供的資訊,分析之後就採取行動吧。

戰術情報提供了特定但是易逝的資訊,安全人員仍可採取應對行動。

了解威脅情報在不同層面上的運作,有助於公司進行決策,同時幫助公司決定如何處理未來的情報。從你組織內部蒐集的情報永遠是可執行性最強的情報。

the state of security: cyber threat intelligence

joint publication 2-0: joint intelligence

insa operational levels of threat intelligence 

cia library: the state of strategic intelligence

熱門威脅情報庫深入分析

本文主要圍繞了現有的幾個熱門情報庫進行了部分分析,包括virustotal,threatcrowd,ibmx force,virusbook以及virusminer。分析點包括資料 分析,提供的功能及服務,以及情報質量。廢話不多說,直接上乾貨 一 virustotal virustotal 共有 5...

疑點披露 XcodeGhost 威脅情報分析

一 前言 1 xcodeghost 的作者究竟是誰 2 xcodeghost 的目的是什麼 通過 threatbook 威脅情報關聯分析,我們挖掘出了 xcodeghost 背後控制者的相關資訊和其擁有的網路資產,以及 xcodeghost 與 keyraider trojanspy 病毒的關聯。二...

京東爬取評論簡單分析

def get comment url i 0 while true url str i pagesize 10 isshadowsku 0 fold 1 headers response requests.get url,headers headers comment list re.compil...