技战法-威胁情报总结.docxVIP

本文选自《交易技术前沿》总第四十二期文章（2020年12月）孙兵

本文选自《交易技术前沿》总第四十二期文章（2020年12月）孙兵

北京微

步在线科技有限公司

sunbing@threatbook.cn

情报技战法1：红队利用企业泄露的敏感信息或暴露的资产

进行攻击，蓝队利用情报收缩攻击面

背景与目的：

网络安全防护演习攻击队主要采用两种方式进行攻击获取内网权限。一种是利用企业暴露服务端口和资产漏洞，采取正面攻击手段进入内网，并通过跳板进行横向感染直至控制整个内网。另一种是通过爬虫、googlehacking、暗网等手段收集企业人员邮箱、IP、域名、代码、用户名、证书等信息，进而配合钓鱼邮件、钓鱼网站、身份仿冒等社会工程学手段直接感染控制内网主机。该技战法在此背景下的主要目的是利用外部威胁情报监控能力与威胁情报关联的上下文信息，识别发现企业暴露在互联网上的服务端口以及企业泄露在公网暗网上的敏感信息

（邮箱、账号、密码）等，指导企业收缩资产暴露面，并对泄露的账号密码进行提前加固整改。

思路谋略：

企业相关的IP、域名资产信息与威胁情报基础信息pDNS（IP与域名关联映射）关联，可以对通过零星的信息资产拓展出企业尚未掌握的资产。进而关联威胁情报上下文信息后，获得企业IP、域名资产开放的端口、关联的证书等信息，因此，通过资产与威胁情报关联，企业可以得到所有资产