威胁情报--从IOC命中到安全分析的催化剂.PDF

ThreatBook首届网络安全分析与情报大会 威胁情报--从IOC命中到安全分析的“催化剂” 张嵩 华泰证券 安全总监 ThreatBook首届网络安全分析与情报大会 一路走过来的威胁情报“玩法” 演讲页标题 • 始于 ：AWS大会的一次演讲，金融行业最早的一批玩家 • 1.5年+ ：从使用盒子内置TI ，一路到自主搭建、研发安全分析“产品” • 一路上：实践了一年LogRhythm Matrix Security Intelligence Maturity Model—MTTD/MTTR 1.0 盒子告警的被动阶段 NGFW内置的IOC告警：如C家的Anti-bot, P家的spyware威胁分类 现在：多源威胁情报API 网络审计盒子内置的IOC告警：如盒子厂家们纷纷宣称可以检测高级威胁 • 基于开源项目，自主搭建、 研发安全分析产品 2.0 熟悉第三方IOC、信誉和PDNS查询的懵懂阶段 • 从依赖IOC作为告警指标，演 手工信誉查询：x.threatbook, deepsight, senderbase，360TI… … 变为TI是提升分析效率催化剂 • 开始使用ML等AI技术 IOC下载到网络监控分析平台，识别出站流量中的攻陷主机，然而… … • 从比对DNS到分析EDR数据 • 黑白灰分级所有出站目标 3.0 对Security Analytics的持续探索阶段 • 积累企业情报库 RSA2017上关键字，Gartner TI报告，书，国外厂商白皮书, Google it Gartner ：Demystifying Security Analytics; SANS ：Security Analytics Survey 红蓝对抗演习中：和老司机们现场证明，“多家盒子的IOC也会侧漏” 首届网络安全分析与情报大会 ThreatBook首届网络安全分析与情报大会 安全分析—请不要上来就谈APT 演讲页标题 • 终极目标：不是不出事儿，而是能力提升、MTTD ，MTTR持续降低 图来源: LogRhythm MTTD: Mean Time to Detect