威胁情报与开源工具-邓焕.pdf

威胁情报与开源工具 邓焕 #whoami ? 前360安全研究员 ? 北京白帽汇联合创始人CSO @ 白帽汇 白帽汇通过提供尖端的安全技术，高性价比 的产品和服务，来帮助客户应对业务运行中 可能出现的网络信息安全问题, “不被入侵， 大数据安全 不被脱库”。 威胁情报 Agenda ? 什么是威胁情报 ? 开源与工具 ? 一些问题 ? 我们的一些思路? 一个事件 从短信得到什么？ 已经发生 对方的号 的事件 码 钓鱼的网 仅此而已 站 ？ 什么是情报 ? 漏洞库、指纹库、IP库、资产信息、钓鱼网站域名、恶意手 机 号 情报就是线索 企业关心的 些员工帐 些员工私 业是否已 业数据是 ?哪 号密 码 已经 被 泄 漏 ？ 自把 代 码 放 到 ?哪些数据在 正在对企 谁？ Github 经被黑客入侵？ ?企 息安全的 已经攻 否已经被盗？ 击成功 ?企 地下黑产贩卖？ 准备攻 击 ?哪 业发起攻击？ ?谁 本质是信息不对称：威胁情报 信 我们对威胁情报的理解 ? 谁盯着你？ ? 他发现了哪些资产？ ? 他到哪了？ ? 他拿到了什么？ ? 他准备干什么？ 攻击 攻击的转变 ? 漏洞攻击 - 人员攻击 从传统的针对资产进行攻击衍变到针对人员进行 ? 资产的盲区 威胁情报作用 还原已发生的 攻击 安全分析及 预测未发生 事件响应 的攻击 情报类型 ? 威胁信息，IP、域名、URL、HASH、人员信息、文件 名 ? 事故信息，被识别的被攻击对象的文件、漏洞、IP等 ? 防御信息，访问控制列表、IDS规则库、特征字符串等 ? 漏洞信息，漏洞及利用信息 一些标准 ? MITRE - STIX, TAXII, CybOX, MAEC ? IETF - IODEF ? Mandiant - OpenIOC ? VERIS ? MANTIS 更多：/ navigating-a-sea-of-threat-intelli