威胁情报的层次分析 https://mp.weixin.qq.com/s/9kSKVKv21rmEHf5TLEQ-Ng
`
“Threat intelligence is evidence-based knowledge, including context,mechanisms, indicators, implications and actionable advice, about an existingor emerging menace or hazard to assets that can be used to inform decisionsregarding the subject’s response to that menace or hazard.”
德国C3混沌黑客大会
Chaos Communication Congress(C3)大会是每年在德国举办的黑客大会,直译过来就是”混沌通信大会“,圈内通常叫”C3“,今年是第35届,所以叫35c3,今年还有CTF比赛,一些打过pwn2own的人出了一些浏览器实际漏洞的题目,也蛮具有实战价值的。
From Zero to Zero Day
Attack Chrome IPC
Jailbreaking iOS From past to present
The Layman’s Guide to Zero-Day Engineering
Modern Windows Userspace Exploitation
`
《 “2018网络安全分析与情报大会PPT学习” 》 有 22 条评论
深度揭秘美国“情报界”及情报从业人员能力培养
https://mp.weixin.qq.com/s/12BfVA1yNFJPF_9boZraVQ
`
一.美国情报机构发展起源
二.美国情报机构组成
美国情报机构(United StatesIntelligence Community)由17个机构组成,这些机构为政府决策者收集、分析和传递相关信息。美国情报机构是9·11之后设立的政府部门,由美国情报总监一职该负责,该职情报总监位高权重,监督全美17个情报机构运转,中央情报局(CIA)局长需要向其汇报工作。情报总监则每天向总统汇报情报工作。
三.美国智库简介
美国智库(think tank),即智囊机构,也称”思想库”或”智慧库”。是指由专家组成、多学科的、为决策者在处理社会、经济、科技、军事、外交等各方面问题出谋划策,提供最佳理论、策略、方法、思想等的公共研究机构,是影响政府决策和推动社会发展的一支重要力量。
四.情报界中存在的各类角色
美国情报机构及其合作企业公司中有着多种不同类型的工作内容,大多数情报专业人员都扮演了以下某种类型的角色:
情报收集:无论是个人还是部门,情报收集的工作都是必须完成的基本工作。
情报分析:分析人员了解所收集的信息。
科学与技术:科学和技术专业人员,通常(但不总是)作为工程师,开发和应用创新技术应对情报挑战。
管理,行政和支持:所有大型情报机构都需要由专业人员来制定战略计划和预算、设计和实施人力资本战略、管理采购和收购、监督人身安全、参与国会和媒体活动、以及提供法律咨询建议等。
五.情报工作的关键技能
清晰简练的写作能力:无论您是在撰写中国外交政策分析报告,为情报收集技术开发争取更多的资金支持,还是向国会提出机构开支的理由,您都必须具备清晰简练的表达能力。
制作简报能力:除了必须能够以书面形式清楚地沟通一样,您还必须能够精准传达信息并口头总结。
协同工作能力:所有美国情报机构的工作都是协作合作完成的。无论是与具有互补性专业知识的分析师合作、与其他机构同行一起制定多情报收集计划,还是加入情报分析师、收集人员、工程师组成的工作小组展开工作,您都会经常与不同专业、不同观点、不同级别的人员合作交流,团队合作和解决问题的技巧同样至关重要。
数据分析能力:所有情报专业人员都应该能够根据复杂的数据进行分析或决策。在“大数据”时代,分析通常涉及应用于国家安全挑战的大型数据集。 程序管理决策基于有关问题、进度和可测量影响的相关数据。
六.情报工作者职业道路
在整个情报生涯中,需要谨记的是,情报专业人员是告知情报而非做出决策。他们的主要任务是向决策者、军事官员等提供最相关的信息和分析见解。也许您可能不赞同决策者的做事方式,然而,作为专业的职业情报人员,保持中立性、非政治性至关重要。美国情报机构的可信度正是取决于其客观性。
八.结论
七.情报人员的个人生活
`
从态势感知到人工智能
https://mp.weixin.qq.com/s/le8T9CEAhyyjRoH2IxQm4g
`
在某安全大会上,公司A、B、C三家公司的员工碰到一起聊技术,碰巧3人都在做“态势感知系统”,但是聊着聊着发现:
· A做的是情报系统;
· B做的是服务器日志分析;
· C做的是用户画像做风控决策的依据。
三家公司理解的态势感知完全不一样。
可见,蹭概念热度有时蹭得大家互不认识了。
现在“态势感知”与“威胁情报”一直都很火,在我的理解里面,态势是「预测」,情报是「事实」。
对于玩概念事件的思考与应对:
1、提出新概念蹭热度的人,一定不是从事一线工作的人;
2、提出新概念蹭热度的人,一定是从事理论研究为主的人;
3、跨界知识的关联有时可能帮人更系统地掌握知识,有时可能让人走火入魔(所以我从不拿医学说信息安全);
4、被概念玩的人,一般是想法太多,读书太少(最近量子有点火,吓得我赶紧去读了本量子力学方面的书:《给孩子讲量子力学》),所以有空多读杂书;
5、关注和理解新概念,但不盲目跟进。早几年国外某著名安全会议上有人提出SSRF的概念,当时我还发在同事微信群了,后来没想到这概念达到业界公认的程度,也是搞web的同学必须掌握的知识点;
6、别以为精通“闭环”、“落地”、“赋能”、“大局观”等等专业术语就能搞好工作了……
7、当技术的发展需要哲学思想来带动的时候,就是技术发展受阻的时候。
`
什么是威胁情报
http://www.ddosi.com/qinbao/
https://www.cnblogs.com/achao123/p/4980591.html
https://www.aqniu.com/learn/11730.html
什么是态势感知 防患于未然 预警 预测
http://www.ddosi.com/tsgz/
http://netsecurity.51cto.com/art/201708/548857.htm
https://www.aqniu.com/learn/27589.html
什么是态势感知(Situational Awareness)
https://www.cnblogs.com/achao123/p/4980606.html
`
所谓网络态势是指由各种网络设备运行状况、网络行为以及用户行为等因素所构成的整个网络当前状态和变化趋势。网络态势感知是指在大规模网络环境中,对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及预测最近的发展趋势。
“态势”不是“事件”
“小李,隔壁老王趁你上班去你家了”—— 这是事件;
“小李,我感觉隔壁老王看你老婆的眼神不太对,你要多关注” —— 这是态势;
所以可以说,事件是必然性的结果,即便是预测事件也应该是精确度较高的一种推测 —— 这更像是用数学公式推算出一个确定性的数字。而态势是趋势,加上感知两个字后那就是对趋势的预测。
“态势”与“情报”
情报是一种基于公开或非公开信息的必然性较高的预测。
网络安全态势感知包括三个级别,第一是能够感知攻击的存在;第二是能够识别攻击者,或攻击的意图;最高级别是风险评估,通过对攻击者行为的分析,评估该行为(包括预期的后续动作)对网络系统有什么危害,从而为决策提供重要的依据。
`
什么是威胁情报(Threat Intelligence)
https://www.cnblogs.com/achao123/p/4980591.html
`
什么是威胁情报,其实安全圈一直在使用着它们,漏洞库、指纹库、IP信誉库,它们都是威胁情报的一部分。情报就是线索,威胁情报就是为了还原已发生的攻击和预测未发生的攻击所需要的一切线索。“所谓的威胁情报就是帮助我们发现威胁,并进行处置的相应知识。这种知识就是我们所说的威胁情报”。
过去,我们将太多的精力放在实时防御上面,但并没有将威胁完全挡住,这个时代已经过去了。我们需要建立一个完整的防御体系,从防御、检测到响应,甚至通过威胁情报将攻击事件的预测做起来,而这一切的核心就是要掌握海量的数据,并具备强大的数据分析能力。威胁情报,是面向新的威胁形式,防御思路从过去的基于漏洞为中心的方法,进化成基于威胁为中心的方法的必然结果,它和大数据安全分析、基于攻击链的纵深防御等思想正在形成新一代的防御体系的基石。
`
洋葱式信息安全观察-威胁情报导向的安全防御思路
https://www.sec-un.org/%E6%B4%8B%E8%91%B1%E5%BC%8F%E4%BF%A1%E6%81%AF%E5%AE%89%E5%85%A8%E8%A7%82%E5%AF%9F-%E5%A8%81%E8%83%81%E6%83%85%E6%8A%A5%E5%AF%BC%E5%90%91%E7%9A%84%E5%AE%89%E5%85%A8%E9%98%B2%E5%BE%A1%E6%80%9D%E8%B7%AF/
`
通常认为网络空间安全,亦即信息安全的目标包含以下3种:
效果目标:效果目标可以理解为企业在遭受入侵后,期望的结果,例如:遭受DDoS攻击时有足够的能力进行拦截,不影响业务的正常进行或者对业务影响极小;遭受勒索病毒攻击时,能够自己在预期时间内恢复,而不用向攻击者交保护费;数据被盗时处于加密状态,偷盗者无法阅读或者在预期时间内无法阅读。效果目标通常可以使用损失来描述和计量,对效果目标的评估可以使用BIA(业务影响分析)过程来获得。
效率目标:信息安全界普遍认为100%的安全是没有的,那么防护能力需要达到怎样的程度才可以满足,在这个x%中的x谁可以说的清楚?或许我们可以用n个9(例如:99.99%即4个9)来描述可用性,但99.99%机密性又该如何进行计算?企业需要合理定义其效率目标,包括对CIA(机密性、完整性、可用性)三个维度的分解和独立评估。效率目标往往体现一个企业管理层的风险偏好。通常情况下,风险中立的企业则会采用ROI来评估其效率目标。
时间目标:多久可以发现攻击?多久可以投入力量进行拦截?被成功攻击后,多久可以快速恢复?时间目标不是一个简单的数字存在,它需要企业扎扎实实的信息安全处置能力,每缩短1分钟都是千锤百炼的结果。时间目标体现为企业响应能力的均衡,在预防、保护、追溯等网络安全事务上对资源的安排、均衡和调度直接影响企业的网络空间安全时间目标。
孙子兵法提出“知己知彼,百战不殆”。传统的网络安全建立在纵深防御的方法论基础上,随着SIEM和SOC的运用,可谓在“知己”上尽其所能。同时,部分防护工具从基于规则的防护手段转为基于行为的防护,在“知彼”上也有所建树。然而,防护方在知彼上仍有很大的提高空间。如同“马奇诺”防线之于“闪电战”一样,战役的规则不是防守方制定的,而是攻击一方制定的,防守方往往难以在短时间内转换其防御方法,相对的攻击方则可以利用广泛的手段研究防守方的弱点,从而实现一击即中,收获丰厚。
那么,网络空间安全的防护策略和框架该何去何从?简单而言,就是加强“知彼”。如何“知彼”?回答是:利用威胁情报,完成从纵深防御的安全框架到威胁情报导向的安全防御框架,最终实现从被动防御到主动防御的模式转换。
`
吕毅:信息安全的价值和落地 |情报大会回顾
https://mp.weixin.qq.com/s/5lXWmbORcyjukJNz5CW1Qg
IACD 集成的自适应网络防御框架
https://mp.weixin.qq.com/s/KeDMlMIBA-ojKf_67KD6kg
`
在网络安全防护体系中,根据攻防双方的信息不对称的特点,防御方在攻防对抗中处于明显的劣势。在图中可以看到,攻击者从攻击开始到攻陷目标,从攻陷目标到数据窃取的过程,大部分的操作可以在分钟级别的时间内完成。
而对于防御方而言,从系统被攻陷到发现攻击,可能需要数个月的时间;从发现攻击到抑制攻击或恢复系统,可能需要数周的时间。防御方表示压力山大。
那防御方该如何应对这种情况呢?我们可以对攻防双方的整个过程进行分析,如图所示。对于攻击方而言,攻击的整个过程包括:攻击者监视、对攻击目标进行分析、访问探针、攻击计划、系统入侵、攻击开始、开始隐藏、发现/持久化、跳板攻击完成、完成隐藏、保持据点。
而对于防御方而言,整个防护过程包括:物理安全、威胁分析、防御方发现、攻击预测、监视和控制、攻击识别、事故报告、遏制和根除、战损识别、影响分析、系统反应、响应、恢复。
IACD,全称:Integrated Adaptive Cyber Defense,集成的自适应网络安全防护框架,是一种可扩展的、自适应的、商业现成技术的网络安全操作方法的战略和框架;由美国国土安全部(DHS)、国家安全局(NSA)和约翰·霍普金斯大学应用物理实验室(JHU/APL)于2014年联合发起。
IACD定义了一个框架(包括参考架构、互操作规范草案、用例和实施案例),以便对网络安全操作采用这种可扩展的自适应方法。通过自动化来提高网络安全防护的速度和规模,从而提高防护人员的效率,将他们移出传统的响应循环,转变为“网络安全防御循环”中的响应规划和角色认同; IACD的目标是通过集成、自动化和信息共享来显著地改变网络安全防御的时间线和有效性。
`
开源情报收集技术及其自动化和可视化实现
https://posts.specterops.io/gathering-open-source-intelligence-bee58de48e05
https://github.com/EdOverflow/can-i-take-over-xyz
https://github.com/chrismaddalena/ODIN
威胁检测和狩猎资源的精选列表
https://github.com/0x4D31/awesome-threat-detection
`
威胁检测和狩猎
工具
数据集
资源
框架
DNS
C&C
Osquery
Windows
sysmon
powershell
调查报告
博客
视频
培训
twitter
威胁模拟
工具
资源
`
威胁情报的层次分析
https://mp.weixin.qq.com/s/9kSKVKv21rmEHf5TLEQ-Ng
`
“Threat intelligence is evidence-based knowledge, including context,mechanisms, indicators, implications and actionable advice, about an existingor emerging menace or hazard to assets that can be used to inform decisionsregarding the subject’s response to that menace or hazard.”
文件样本HASH
主机和网络特征
事件层次情报
组织情报
人员情报
`
威胁情报的上下文、标示及能够执行的建议
https://mp.weixin.qq.com/s/AZcCvYscVndYflaB8tTHeA
`
Data(collection) -> Information(processing and exploitation) -> Intelligence(analysis and production)
威胁情报是某种基于证据的知识,包括上下文、机制、标示、含义和能够执行的建议,这些知识与资产所面临已有的或酝酿中的威胁或危害相关,可用于对这些威胁或危害进行响应的相关决策提供信息支持。
比如IP,安全方面可以有如下这些属性:
· 所在ASN域
· 地理位置
· 是否代理
· 近期是否存在相关恶意活动
· 网络出口类型
· 历史和当前绑定过的域名
· 开放的端口和服务
对于文件样本:
· 文件是否恶意
· 恶意类型
· 恶意代码家族
· 是否定向攻击中使用
· 相关的网络行为
对于APT组织或团伙:
· 组织名字及别名
· 来源国家地区
· 攻击目的
· 目标行业
· 攻击方法手段
· 技术能力
`
节省90%的PPT设计时间
https://www.islide.cc/
小议安全分析
https://paper.tuisec.win/detail/a594b6f6761e2b8
https://zhuanlan.zhihu.com/p/51778277
`
0x01 何为安全分析
安全分析说白了就是对安全事件的响应;通过一些方法收集信息,经过对信息的处理,产出情报的过程。所以安全分析是以情报为导向,不管是漏洞预警,恶意软件分析、还是攻击事件追踪,都是要产出有助于安全建设决策的情报。因此安全分析有三个核心阶段:
1.信息收集
2.信息分析,产出情报
3.将情报进行传播
安全分析最后的结果是要到导出情报,情报是有时效的。安全分析做的如何,取决于收集到信息的广度和及时性,以及对信息处理的能力。
0x02 安全分析生命周期
安全分析是对安全事件追踪,分析的活动。往往以确定方向和收集信息为起始,以情报导出,进行传播为终点。
`
情报价值—探索情报对于企业的价值落地
https://weibo.com/ttarticle/p/show?id=2309404313114811219351
`
谈情报的价值首先要区分下不同类型的情报对于企业的价值。情报是有对手的,意味着一定是跟着风险走,一个企业面临的风险非常多,比如竞争对手风险、政策风险、市场负面风险、被黑客攻击风险、黑灰产攻击风险等等,对这些风险企业的重视程度不同类型的企业也会有所差异,但总体上政策监管风险、竞争对手风险>市场负面风险>被黑客、黑灰产攻击风险,往往被黑客、黑灰产攻击风险又会引发前面但比如政策监管、市场负面等等。
接下来从黑灰产情报出发,来探讨几点情报的价值落地。
1、溯源攻击事件背后真相
2、看清风险TOP辅助决策处置
3、提前感知、预警风险
4、对手对标
5、最外环防御-提前瓦解风险
6、总结
`
推荐今年C3黑客大会上的几个议题
https://mp.weixin.qq.com/s/qFh47YY-JJIMUrJXUKfNAQ
`
最近几天在德国举办的 The 35th Chaos Communication Congress (35C3) 黑客大会,在Twitter上传得火热,在国内却无人问津。
从这可以看出同为微博的安全圈氛围是完全不同的,新浪微博还是偏娱乐些的,而且国外的圈子自然比天朝的要大得多,很多国家的人在上面交流。
所以,我现在经常混Twitter,当作获取安全资讯的途径,新浪微博就真的当作看新闻的了……
德国C3混沌黑客大会
Chaos Communication Congress(C3)大会是每年在德国举办的黑客大会,直译过来就是”混沌通信大会“,圈内通常叫”C3“,今年是第35届,所以叫35c3,今年还有CTF比赛,一些打过pwn2own的人出了一些浏览器实际漏洞的题目,也蛮具有实战价值的。
From Zero to Zero Day
Attack Chrome IPC
Jailbreaking iOS From past to present
The Layman’s Guide to Zero-Day Engineering
Modern Windows Userspace Exploitation
`
吴云坤:威胁情报生态就是多产情报,用好情报
https://mp.weixin.qq.com/s/07X9jfa9pvMY1tUHsFmEPA
`
威胁情报生态就是需要帮助生产者生产更优质的情报,帮助消费者更好地利用情报。
面向能力的体系化建设的三个关键点:
关键点1:关口前移,与信息化同步规划与建设综合防御能力体系。
关键点2:威胁情报是构建积极防御能力体系的关键,同时也将在纵深防御乃至基础结构安全发挥作用。
关键点3:威胁情报能力构建,需要从生态开始。
从生产高质量威胁情报,到使用威胁情报完善安全体系,充满各种挑战,难以依赖单方面的力量,需要构建完整的生态。
`
首届威胁情报生态大会PPT开放下载:
https://yunpan.360.cn/surl_yHXAwCi9dDB (提取码:9954)
【资源】最新版本开源情报工具和资源手册(一)
https://mp.weixin.qq.com/s/7XaPZRFgudR2r9l2c8tiZQ
`
i-intelligence 组织编写的这本2018版《开源情报工具和资源手册》包含了数十类全球开源情报的资源和工具,共计三百多页,数千条资源链接。从今天开始,丁爸将其陆续分享给大家。
目录
(一)、搜索
1、一般搜索
2、元搜索
3、可视化搜索和集群搜索引擎
4、各国搜索引擎
5、代码搜索
6、FTP搜索
7、相似网站搜索
8、物联网搜索引擎
9、儿童友好搜索引擎
10、其他专业搜索引擎
11、其他搜索引擎和工具
(二)、社交媒体
12、主要社交网络
13、实时搜索,社交媒体搜索和一般社交媒体工具
14、社交媒体工具:Twitter
15、社交媒体工具:Facebook
16、社交媒体工具:Google +
17、社交媒体工具:Instagram
18、社交媒体工具:Pinterest
19、社交媒体工具:Reddit
20、社交媒体工具:VKontakte
21、社交媒体工具: tumblr
22、社交媒体工具:LinkedIn
23、社交媒体工具:Snapchat
24、社交媒体工具:WhatsApp
25、社交媒体工具: Skype
26、社交媒体工具:电报
27、其他即时通讯和聊天工具
28、约会应用
(三)、博客,论坛,讨论区和问答网站
29、博客搜索
30、论坛和讨论区搜索
31、问答网站
(四)、人员调查
32、人员搜索工具和引擎
33、地址和联系信息搜索
34、公共记录
35、祖先研究
36、电话搜索
37、电子邮件搜索/电子邮件检查
38、用户名检查
39、简历和简历搜索
40、专家搜索
41、薪资搜索
42、伪装
(五)、公司搜索
43、主要公司搜索工具
44、公司(欧盟)
45、公司(英国)
46、公司(美国)
47、公司(瑞士)
48、公司(中东)
49、公司(非洲)
50、公司(中国)
51、商业登记册(欧盟+欧洲自由贸易联盟)
52、商业登记册(美国)
53、商业登记册(其他)
54、商业登记名单和目录
55、求职资源
56、公司评论
57、专利研究
58、招标
59、慈善,非政府组织和非营利组织研究
(六)、房地产
60、房地产研究
61、在线交易市场
62、分类广告和在线市场
(七)、加密货币和财务信息
63、加密货币
64、财务信息
(八)、法律
65、法律资源和工具
(九)、国家
66、国家概况
(十)、恐怖主义,犯罪和网络安全
67、恐怖主义
68、犯罪
69、网络安全
(十一)、被盗物品
70、被盗物品
(十二)、人口贩运
71、人口贩运
(十三)、运输
72、飞机
73、无人机
74、汽车
75、铁路
76、公共交通
77、船
78、集装箱和货物追踪
(十四)、网络情报
79、领域和知识产权研究,网站分析
80、网络历史和网站捕获
81、无线搜索
(十五)、黑暗网
82、黑暗网
(十六)、活动搜索
83、活动搜索
(十七)、图像
84、图像搜索和反向图像搜索
85、图像分析
86、库存图片
87、图像和照片编辑
88、视频搜索和反向视频搜索
89、直播和网络摄像头
(十八)、其他视频工具
90、视频编辑
(十九)、音频
91、无线电
92、播客
93、其他音频工具
(二十)、文件
94、文件和幻灯片搜索
95、粘贴箱
96、文件和参考管理
97、PDF管理
98、使用文档元数据
(二十一)、学术资源与文献
99、学术和文学研究工具
100、讲座,会谈,会议演讲,演讲
(二十二)、书籍和阅读
101、书籍搜索和阅读工具
(二十三)、数据和统计
102、数据和统计
103、信息图表和数据可视化
104、仪表板工具
105、数据分析
106、数据白板
(二十四)、新闻
107、新闻来源
108、新闻摘要和发现工具
109、事实核查
(二十五)、外语内容
110、翻译工具
(二十六)、网络监控
111、RSS阅读器
112、其他RSS工具
(二十七)、网站监控
113、社交媒体监控
114、其他监控工具
(二十八)、数据整理
115、书签
116、做笔记
117、注释和突出显示
118、屏幕截图和屏幕捕获工具
(二十九)、浏览和浏览器
119、浏览器
120、开始页面
121、自定义新标签
122、标签管理
123、推广经理
124、离线浏览
125、浏览记录
126、其他浏览工具
(三十)、写作和传播
127、写作和办公工具
128、幻灯片和演示工具
129、数字出版
130、通讯工具
131、数字讲故事
(三十一)、维基,网站和网络应用
132、维基
133、网站建设者
134、App 创建
(三十二)、思维导图,概念图和想法生成
135、思维导图,概念图和创意生成工具
(三十三)、生产力和文件管理
136、主要工作管理和生产力工具
137、电子邮件管理
138、云存储和文件共享
139、网络自动化
140、协作与沟通
141、协作和项目管理
142、通讯工具
(三十四)、其他实用工具
143、文件转换器
144、URL缩短器和扩展器
145、关键词发现与研究
146、安卓模拟器
147、虚拟机
148、约会时间
149、天气
150、条形码
(三十五)、分析
151、社交网络分析
(三十六)、地理空间开源信息
152、地理空间研究和绘图工具
153、有趣的地图
(三十七)、隐私和安全
154、一般隐私工具和资源
155、安全浏览
156、广告和跟踪拦截器
157、阻止货币矿工
158、私人搜索引擎和私人搜索
159、安全操作系统
160、备份工具
161、安全通信工具
162、电子邮件安全
163、电话安全
164、密码管理和安全登录
165、加密工具
166、安全文件共享
167、VPN服务
168、VPN短信
169、代理工具
170、防毒软件
171、其他安全工具
(三十八)、版权
172、侵权
173、研究和重建工具
174、研究和数据调查工具
(三十九)、OSINT工具列表
`
上线公告丨腾讯“TSRC安全情报平台”正式发布
https://mp.weixin.qq.com/s/m3XMq8u7T5YUzqVJpVdvBA
https://security.tencent.com/ti
国家企业信用信息公示系统
http://www.gsxt.gov.cn/index.html