威胁情报的PPT学习


=Start=

缘由:

之前微步在线弄了个威胁情报的大会,虽然没去参加,但是事后还是可以通过看看PPT学习一下的,没事提高提高总是好的。

正文:

参考解答:

列一下我觉得还有些干货的PPT以及我认为对我来说比较有用的内容(没有列出来的不是不重要,可能只是我看不懂而已):

  • 张嵩 – 威胁情报–从IOC命中到安全分析的“催化剂”
  • 薛锋 – 基于威胁情报的安全智能化
  • 金湘宇 – 威胁情报的发展展望
  • 郑聿铭 – 打造由情报分析驱动的ISOC
  • 纪舒瀚 – 从防御到检测的企业安全之路
  • 杜建峰 – 浅析安全威胁发展与情报态势感知技术,推进实时防御和超前防御理念

知己知彼,百战不殆。

  • 首要的是——知己,内部资产全面梳理,全面监控与检测;
  • 其次才是——知彼,外部威胁情报积累、监控;
  • 除了知己知彼之外,如果没有持续不断的运营、强有力的执行力,也无法百战不殆。

全面数据驱动,持续运营优化!

后续补图。。。

参考链接:

=END=


《“威胁情报的PPT学习”》 有 31 条评论

  1. 【演讲厅】智者伐道—感知空间中的新威胁
    https://weibo.com/ttarticle/p/show?id=2309404197967811729000
    `
    Observe(观察)、Orient(调整)、Detect(检测)、Act(行动)

    提升感知全要素监测威胁(鱼叉钓鱼)
    持续监测发现威胁滩头堡(水坑攻击)
    响应驱动切断攻击杀伤链(WannaCry)

    持续监控能力本身并不能将 OODA 完全闭环,只有协同联动的防护体系才能做到。
    `

  2. 实践:UEBA视角下的威胁情报聚类与攻击者分析
    https://mp.weixin.qq.com/s/bm8jK8mLsYkWNH_fwIcPAg
    `
    威胁情报的种类其实有很多,但是分类的话实际上也就三种:基础设施威胁情报(诸如微步在线上查询的结果)、事件型威胁情报(比如说US-CERT每次发的预警,包括具体的在野利用、漏洞情报、APT组织信息等)还有攻击者相关的威胁情报(将信息具体到某一个攻击者和攻击组织,诸如360每次输出的APT报告),其中基础设施威胁情报为后两者的基础,因为攻击者和事件情报需要通过基础设施威胁情报进行聚类分析整理,才能获得。

    UEBA=UE(攻击者实体数据整合)+B(攻击者历史行为和社会政治影响)+A(攻击者分析)

    攻击者身份
      社会身份:……
      网络身份:……
    攻击者目标
    攻击者战术
    攻击者技术
    攻击者意图
    攻击者影响
    处置建议
    `

  3. 浅谈情报的实践与落地
    https://www.sec-un.org/%E6%B5%85%E8%B0%88%E6%83%85%E6%8A%A5%E7%9A%84%E5%AE%9E%E8%B7%B5%E4%B8%8E%E8%90%BD%E5%9C%B0/
    `
    【第一部分】情报的术与道
    情报的本质是,在事件发生前或发生过程中产生的信息,并通过分析人员对信息加以处理从而形成可以协助判断甚至决策的有价信息。这个有价信息就是情报。威胁情报也是此类范畴之内,只不过事件、信息和分析这些过程,都发生在特定的信息安全领域之内。所以,我认为,情报本身不是一个信息也不是一个结果,而是一个过程。这个过程我将其划分为几个环节:事件、信息、分析、决策。

    【第二部分】情报实践与落地
    1、切入点:业务情报
    2、有点尴尬:技术情报
    3、有点希望:继续说技术情报
    第一,能与不能;
    第二,有或没有;
    第三,难易与否;
    第四,危害等级;
    4、更进一步:技术情报的主动性
    5、硬币的另一面:反情报
    反情报不是单纯的将情报手段反向利用。在传统的情报领域,反情报的主要意图在于预防和保护重要情报不外泄。也就是,围绕情报的对抗。
    那么,围绕威胁情报的对抗工作,又有哪些?
    (1) 提升效率。威胁情报最初的主要目标之一就在于快速分享,提升转化的效率。因此,从效率方面去对抗,必然是入手点。
    (2) 提升隐蔽度。除了效率外,就是技术方面的对抗升级。隐蔽度是目前各种威胁情报的通用技术对抗切入点。
    (3) 知己知彼。情报讲究知己知彼,反情报也不会缺少这样的套路。所以黑产往往也会是威胁情报的消费方。
    (4) 套路你的套路。利用获取威胁情报的套路来反套路,例如,污染情报源。
    6、归宿:全景能力
    7、立足点与差异
    8、总结

    【第三部分】情报的团队建设
    1、耐心与严谨
    2、知识杂乱但有体系
    3、少积累多试错
    4、眼尖心细好奇心强
    5、案例的转化与传承

    【第四部分】结束语
    情报工作源于人,也终于人。人强,则情报强。人弱,则情报弱。
    在人工智能来到之前,情报还是要依靠人肉智能。
    踏踏实实做好分析工作。相信科技,但不要过分迷信科技。信赖数据,但不要过分依赖数据。
    `

  4. Gasmask – 开源情报信息收集工具
    https://github.com/twelvesec/gasmask
    `
    # Dependencies
    Python 2.x
    validators
    python-whois
    dnspython
    requests

    # Information Gathering
    ask
    bing
    crt
    dns
    dnsdumpster
    dogpile
    github
    google
    googleplus
    instagram
    linkedin
    netcraft
    pgp
    reddit
    reverse dns
    twitter
    vhosts
    virustotal
    whois
    yahoo
    yandex
    youtube
    `

  5. SANS:2018年网络威胁情报现状调研报告
    http://blog.51cto.com/yepeng/2073791
    `
    Cyber Threat Intelligence (CTI)

    报告给出了SANS对CTI的定义:收集、整理和探寻关于对手方的知识。collection, classification, and exploitation of knowledge about adversaries。以及“analyzed information about the intent, opportunity and capability of cyber threats”(针对网络威胁意图、机会和能力的分析信息)。这个定义比较宽泛。

    报告显示,不少结果与去年的分析基本一致。譬如CTI的主要使用场景还是安全运营、应急响应和安全意识提升。SIEM依然是集成威胁情报的最佳选择。
    `

  6. 威胁情报之落地实战-由灰向黑篇
    https://mp.weixin.qq.com/s/-EcZnVvwBo2AEO7aHUIvMQ
    `
    一、情报+安全运营:数据为王

    二、情报落地的需求和运营
    (1) 情报应用:将情报和网络实体行为相关联。
    (2) 智能排序:这部分是情报应用的最为关键的部分,也是下文会着重讨论的。安全运营人员的精力是有限的。据经验,一名安全管理员每天能够有效处理的事件数目只有20条左右。那么哪些情报事件应该优先处理,哪些有余力再处理,将是影响用户体验的决定性要素。
    (3) 行为下钻:情报说到底只是外部安全知识的总结,情报数据顶多能够给到安全管理员情报类型、情报分级和可能的上下文信息。一个情报事件是否是一次成功的攻击,以及对内网系统的安全影响程度都需要安全管理员能够从实体行为中获得更多的证据去调查和应证。
    (4) 事件确认:安全管理员发现高置信度的事件后需要进行用户告知,事件确认和事件处置。
    (5) 威胁溯源:针对重要的安全事件需要通过外部情报系统和本地行为痕迹,形成安全报告,进行总结和归纳。

    三、由灰向黑:情报落地之可运营
    (1) 情报使用有的放矢
    (2) 行为向量辅助瞄准
    (3) 威胁评分解放双手
    `

  7. 浅谈专业APT分析专家所应具备的技能
    https://www.sec-un.org/discussion-on-professional-apt-analytics-expert-should-possess-skills/
    `
    一、大数据中对异常流量的感知分析能力
    二、熟悉远程控制软件和各种攻击类软件指纹
    三、对可疑邮件的分析洞察能力
    四、对恶意样本的分析能力
    五、对恶意攻击行为的各种方式的识别能力
    六、对各种安全防护产品日志的分析挖掘能力:能对各种安全防护产品日志形成有效的可视化关联分析,减少大数据分析对APT攻击研判的误报性
    七、拥有一套不断完善的信誉库:在面对新型高级攻击的时候,黑白名单库、文件MD5库、威胁情报库、恶意样本库、黑客组织库、黑客兵器库等对我们发现的可疑恶意攻击线索会提供强有力的支撑和帮助
    八、对各种0day、Nday的分析挖掘能力:如浏览器、office系列、第三方软件漏洞
    九、熟练搭建各种蜜罐系统:对远程控制木马或攻击者的行为分析日志记录下来,完成整个电子取证环节的中间一环
    十、熟悉目前经典的APT攻击的案例
    `

  8. 【原创】犯罪情报分析师知识和能力清单(初稿)
    https://mp.weixin.qq.com/s/i5iL6R6m_UtmXYGfrRa31w
    `
    一、思维能力
    1、分析阐释
    2、侦查思维(批判性思维、发散性思维、逻辑思维)
    3、推理判断
    4、评估决策

    二、学习能力
    1、不断学习新技术、新方法、新法规、新策略
    2、遇到相应案件学习相关专业知识能力

    三、信息分类及归纳整理和档案管理能力

    四、知识储备
    1、法律知识
    (熟悉相关违法犯罪构成要件及其证据收集和办案流程及规范、熟悉信息采集、流转的流程及其查证的相关法律法规)
    2、计算机及网络知识
    (计算机及网络硬件、软件基础知识,数据处理知识,多媒体技术知识和网络攻防知识)
    3、通讯知识
    (通讯原理及相关设备运行原理和使用方法)
    4、金融知识
    (金融常识及各类术语和运营规律)
    5、人文社会知识
    (方言、黑话、社会团体、人际交往)
    6、生物医学化学物理历史地理常识知识
    7、公安专业知识
    (刑侦、治安、禁毒、经侦、国保、交通、出入境、网络安全、行动技术等警种业务知识和相关案件侦办流程及现场勘查和刑事技术相关知识)
    8、情报信息学相关知识
    9、心理学知识

    五、熟知各类情报研判资源

    六、使用各类工具能力
    `

  9. UEBA在企业安全领域应用的现状和挑战
    https://mp.weixin.qq.com/s/0fxt_ZYJM3LYnUoMWcYG_Q
    实践:UEBA视角下的威胁情报聚类与攻击者分析
    https://mp.weixin.qq.com/s/bm8jK8mLsYkWNH_fwIcPAg
    高级威胁分析在安全运营中的应用
    https://mp.weixin.qq.com/s/yAqOkYxE2xdzUnC4YgpZNA
    UEBA能够检测的七大类安全风险
    https://mp.weixin.qq.com/s/okdYuSCbASLrtESh5KNO1A
    UEBA的预期,特性和最佳实践
    https://mp.weixin.qq.com/s/ZzDL1CripdtDgSEvgNTZ8Q
    浅析UEBA
    https://mp.weixin.qq.com/s/PuPfK6MqYjGyM4ZljZOpXA

  10. STIX(Structured Threat Information eXpression, 结构化威胁信息表达)最初被认为是描述网络威胁情报的语言。这是开创性的,因为它是第一个提供网络威胁情报定义的语言。尽管威胁情报还是一个有点模糊的术语,网络威胁情报是描述有关对手及其行为的信息。例如,知道某些对手通过使用特制的钓鱼电子邮件来靶向攻击金融机构,对于防御攻击非常有用。 STIX以机器可读形式捕获这种类型的情报,以便可以在组织和工具之间共享。

    https://oasis-open.github.io/cti-documentation/
    http://stixproject.github.io/

    STIX和TAXII:了解国外较成熟的威胁情报标准
    http://www.freebuf.com/news/132148.html

    【公益译文】STIX介绍讲义
    http://blog.nsfocus.net/introduction-stix/
    http://blog.nsfocus.net/stix-specification-network-threat-intelligence-information/

  11. 洋葱式信息安全观察-初识威胁情报
    https://www.sec-un.org/%E6%B4%8B%E8%91%B1%E5%BC%8F%E4%BF%A1%E6%81%AF%E5%AE%89%E5%85%A8%E8%A7%82%E5%AF%9F-%E5%88%9D%E8%AF%86%E5%A8%81%E8%83%81%E6%83%85%E6%8A%A5/
    https://paper.tuisec.win/detail/b0d05c32c131e5b
    `
    威胁情报是什么?Gartner如是说:“威胁情报是基于证据的知识,包括场景、机制、指标、含义和可操作的建议。这些知识是关于现存的、或者是即将出现的针对资产的威胁或危险的,可为主体响应相关威胁或危险提供决策信息。”

    由“ 威胁情报”的定义可以看到,威胁情报最主要的价值是在战略层提供决策信息,在战术层提供可操作的建议,从时间维度看可以基于历史知识,也可以是预判,这些特征就如同战场上的 “前哨站”,发现潜在的威胁,并向指挥部提供决策所需的信息。为网络空间安全实现攻击预警、应急响应及发展态势预测提供依据。

    在威胁情报管理中,应当重点关注什么内容呢?如果我们回顾ISO13335关于风险模型的描述和Gartner威胁情报的定义,可以发现共性可以抽象为资产、威胁和漏洞模型。
    `

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注