1. 简述

威胁情报是一种基于证据的知识,包括了情境、机制、指标、影响和操作建议。威胁情报描述了现存的、或者是即将出现针对资产的威胁或危险,并可以用于通知主体针对相关威胁或危险采取某种响应。

很多参加hvv的小伙伴都关注漏洞相关的信息去了,却对威胁情报、态势感知这样的系统不感冒,忽略了这些产品起到的作用。对与blue team来说,这些情报是拦截攻击的重要依据,如果说修复漏洞是从根本上解决攻击问题,那么利用威胁情报就是从源头上解决受攻击问题。

  1. 威胁情报分类

引用绿盟科技中各个安全情报厂商的情报平台白皮书的关键词,有个三级别的大词,其中出现最多的大词为:

  1. 一级大词:信息
  2. 二级大词:情报、关联、域名、IP和文件
  3. 三级大词:查询、恶意和威胁

对于威胁情报的分类,无论是国内国外,业界也有众多定义,最为广泛传播是Gartner定义的,按照使用场景进行分类:以自动化检测分析 为主的战术级情报、以安全响应分析为目的的运营级情报,以及指导整体安全投资策略的战略级情报。关于分类,在这里简单介绍企业间通用的几个大类

  1. 基础情报

简而言之,基础情报就是这个网络对象(IP/Domain/email/SSL/文件)是什么,谁在使用它。具体到基础数据则包含开放端口/服务、 WHOIS/ASN、HASH、地理位置信息等

  1. 威胁对象情报

威胁对象情报,相对于比较容易理解。此类情报指的是提供和威胁相关的对象信息,比如说IP地址、域名等等,简单地说,就是提供犯罪分子的犯罪证据和记录。

  1. IOC情报

Indicator of compromise,意为威胁指示器,通常指的是在检测或取证中,具有⾼置信度的威胁对象或特征信息。

  1. 事件情报

事件情报则是综合各种信息,结合相关描述,告诉运营者外部威胁概况和安全事件详情,进而让安全运营者对当前安全事件进行针对性防护。

  1. 威胁情报平台介绍
  1. 微步在线

中国首家专业的威胁情报公司。它是国内第一个综合性的威胁分析平台,秉承公开、免费、自由注册的原则,为全球的安全分析人员提供了一个便利的一站式威胁分析平台,用来进行事件响应过程的工作,包括:事件确认、危险程度和影响分析、关联及溯源分析等。主要特征:

自由公开的服务、多引擎文件检测、行为沙箱、集成互联网基础数据、集成开源情报信息、关联分析、机器学习、可视化分析。

特点:基于海量网络基础数据生产威胁情报,具有覆盖度高、可执行力强、专业性强、准确度高、可扩展性强等优势。

查询地址:https://x.threatbook.cn/

  1. IBM X-Force Exchange

IBM X-Force Exchange是一款基于云的威胁情报共享平台,支持使用、共享威胁情报并采取行动。它支持快速搜索全球最新安全威胁,汇总可操作情报、向专家咨询并与同行进行合作。IBM X-Force Exchange由人员和机器生成的情报支持,可利用IBM X-Force的规模来帮助用户在新兴威胁面前保持领先地位。

查询地址:https://exchange.xforce.ibmcloud.com/

  1. 360威胁情报中心

360 Alpha威胁分析平台,是360企业安全为安全分析师提供一站式分析工具,具备完备的威胁情报和互联网基础数据,在数据覆盖度、信息种类、数据的时间/空间跨度都具备较大优势。

查询地址:https://ti.360.com/#/homepage

  1. AienVault

它递送社区生产的威胁数据,能够协作各个来源的威胁数据,自动更新你的安全基础设施。其收购了threatcrowd,拥有IP、域名、文件、 邮件等情报。主要特征:垃圾页面、钓鱼网页、恶意软件和间谍软件、匿名代理攻击和P2P网络、暗网IP、管理僵尸网络的C&C服务器、 域名、IP地址、邮件地址、文件哈希、杀软检测。

  1. 平台使用
  1. IP/域名查询

威胁情报中的IP查询主要查询IP的威胁级别,包括IP是否为僵尸网络的成员,或者是否为某个C2的一端,或者是否有挖矿行为等,通过捕获到这个IP发出的流量是否包含某些木马特征,或者主动探测开放端口分析协议是否为恶意的。

微步平台:微步可以显示近几条情报的时间,包含该IP/域名的行为,以及该情报的状态,可以根据这些信息判断近期是否有攻击流量从该IP发出。

Virustotal:virustotal可以显示目标IP在其他威胁检测引擎的扫描结果与其他服务器的建立的链接以及之间的关系

检测结果

※通过关系图可以很容易看到该IP有极大的概率是一个蜜罐

  1. 文件样本查询

在蓝队进行防御攻击的时候,通常也会收集到通过流量分析出来的文件。通过上传到威胁情报平台可以获取到文件一些动态特征和静态特征

静态特征:威胁情报平台通过分析文件的MD5值的,还有是否包含一些特征字符串来判定当前文件是否为木马。

动态特征:威胁情报平台会构建一个沙箱,在沙箱里面解压或者运行样本,收集可执行程序的行为特征。

例如用微步检测nc.exe

  1. 基本概况

包含木马评价、文件hash、沙箱环境等、木马家族

我们也可以通过下载pcap包来分析这个exe的流量

  1. 引擎检测结果

某种程度上可以根据这个来判断引擎的好坏

  1. 沙箱运行结果

    1. 网络行为

    可查看当前程序做了哪些连接服务器的操作

    Virustotal

    1. 多种引擎检测结果
    1. 文件行为

BlueTeam--威胁情报介绍相关推荐

  1. 迈克菲实验室:仅42%的网络安全专业人士使用共享威胁情报

    Intel Security 近日公布了<迈克菲实验室威胁报告:2016 年 3 月刊>,报告评估了 500 位网络安全专业人士对于共享网络威胁情报 (CTI) 的看法,探讨了 Adwin ...

  2. 威胁情报基础:爬取、行走、分析

    过去我们所理解的威胁情报就是"威胁数据→SIEM(安全信息与事件管理)→安全保障",而这个过程中只有少数东西需要分析.Rick Hollan在2012年的一篇博客<我的威胁情 ...

  3. 从RSAC2017看威胁情报如何落地

    年度安全峰会RSA2017已于美国时间2月13日盛大开幕.从最近三年RSA所有演讲的主题词热度可以看出,"Threat"和"Intelligence"都是大家关 ...

  4. 知道创宇高级威胁情报团队:以APT测绘及APT防御应对高级威胁

    近日,网安产业资讯媒体安全419推出<高级威胁检测与响应解决方案>系列访谈,知道创宇404实验室APT高级威胁情报团队在其中分享了自身在该领域的观察思考和实践. 知道创宇希望通过一体化的安 ...

  5. p82 红蓝对抗-蓝队atckDs蜜罐威胁情报

    数据来源 必备知识点: 在每年的安全活动中,红蓝队的职责,其中大部分强调学习红队技术,那么蓝队技术又有哪些呢?简要来说蓝队就是防守,涉及到应急.溯源.反制.情报等综合性认知和操作能力知识点.掌握红队攻 ...

  6. “老三样”会思考:以威胁情报驱动安全产品演进

    安全从来不是一成不变,但当我们听惯了各种"下一代安全"时,难道就真的觉得"老三样"不行了?事实上,防火墙.入侵检测.防病毒这些老三样们仍然占据着安全市场的出货量 ...

  7. 网络威胁情报与美国国防工业基地

    网络威胁情报(CTI)是一门情报学科,利用收集,完善和分析数字信息来应对网络空间领域中存在的威胁.网络威胁情报基于内部到外部数据源,威胁社区或商业产品中收集的数据,可以帮助检测和防御网络犯罪分子,高级 ...

  8. 亮剑“威胁情报”,锐捷、腾讯联手打造“狙击手”

    张艺谋执导的第一部现代战争影片<狙击手>展现了抗美援朝后期"冷枪冷炮"运动中,我军神枪手群体的英勇事迹.影片中,狙击五班的战士们不惜战斗到只剩下一个人,也要将身负重大情 ...

  9. [Darkweb Cyber Threat Intelligence Mining]暗网威胁情报挖掘 - 1

    1 简介 最近,漏洞利用工具包,恶意软件,僵尸网络租用,教程和其他黑客产品的在线市场一直在发展,而这个市场曾经是一个难以渗透的专有市场,其购买者主要是西方政府[95] 现在,更广泛的人群更容易使用. ...

  10. PJzhang:国内常用威胁情报搜索引擎说明

    猫宁!!! 参考链接: https://www.freebuf.com/column/136763.html https://www.freebuf.com/sectool/163946.html 如 ...

最新文章

  1. DrugAI | 抗新型冠状病毒药物榜单解析
  2. python训练模型函数参数_一步步亲手用python实现Logistic Regression
  3. Python之中文识别
  4. 美国版“健康码”遭遇尴尬:隐私保护最大化 疫情追踪基本无效
  5. 蓝桥杯2016初赛-有奖猜谜-模拟
  6. B. File List
  7. 使用html2Canvas将页面转化为canvas图片,最后长按保存到本地,史上最全 html2canvas 使用 踏坑之旅,没有之一
  8. 信息学奥赛C++语言:旅行
  9. matlab在linux效率高吗,取代matlab, Linux下科学计算环境的搭建
  10. 取消对 null 指针“l”的引用。_彻底理解链表中为何使用二级指针或者一级指针的引用...
  11. Tensorflow CTPN
  12. 1、分组选择器, 2、尺寸 (Dimension)属性,3、Display(显示) 与 Visibility(可见性),4、CSS Display - 块和内联元素,5、CSS Position(定位
  13. iOS开发日记29-UIAlertController
  14. 【NLP】揭秘马尔可夫模型神秘面纱系列文章(五)
  15. Swager登陆跳转了login登陆页面
  16. 【数据结构 严蔚敏版】 顺序栈 基本操作
  17. android音乐播放器歌词解析,iOS 音乐播放器歌词解析
  18. linux中如何查看本机ip,Linux中如何查看本机IP地址呢?
  19. MTK和Android有区别,Android系统 下一个山寨MTK的代名词
  20. 新浪云部署javaweb项目

热门文章

  1. 关于鸡肋(goto)那些事
  2. PyOpenGL网络游戏应用
  3. L1-6 吉老师的回归 (15 分)(C/C++)
  4. Generative Adversarial Nets论文理解和代码讲解
  5. 招远西苑学校计算机老师,招远市西苑学校 王铭宇
  6. 10个针对开发者的实用CSS工具
  7. 2018年冬季校园招聘会
  8. 51nod 1836 战忽局的手段 矩阵乘法
  9. java table 内容居中,JavaFX TableView-将表列的内容居中
  10. css3获取当前时间并显示,CSS3实现时间表