2023-08-18 技战法系列-威胁情报结合资产测绘筛查自检技战法.pdfVIP

技战法系列-威胁情报结合资产测绘筛查自检技战法

原创BeatRex

2023-08-18原文

一、技战法概述

互联网中流通的潜在威胁、攻击人员、攻击技术和漏洞等信息都可称

为威胁情报。情报是一种线索，真伪需要专业团队通过经验结合复现

进行验证。在实战攻防过程中，除了实际的红队攻击、蓝队反制的对

抗外，也散步着针对0day漏洞、红队IP等情报信息。因此就需要对真

假难辨的情报分析、验证，形成准确相关且具备相应时效性的价值信

息。

对情报的筛查、自检能够帮助单位自身排查风险、规避因脆弱性导致

的失陷情况发生。除此之外，对来自互联网的攻击IP、攻击手段通过

第三方威胁情报平台进行检索，有助于对红队人员攻击画像的输出。

二、主要工作

2.1成立工作团队并明确分工

建立由情报搜集人员、情报验证人员、资产测绘人员、情报排查人员

、问题整改人员等专家组成的团队。建立完善的沟通方式和工作机制

，有序将每一条情报针对单位自身进行排查。团队分工如下：

情报搜集组：搜集来自互联网、社交媒体、圈内社群、内部共享等多

个渠道的数据源，将数据源按照IP来源、攻击手段、漏洞、文件样本

Hash等维度进行分类。

情报验证组：在搜集到情报之后，需要对未验证的数据进行筛查。避

免情报排查人员使用虚假情报，耗费大量时间。主要工作内容包括：

1）IP梳理：将情报内的攻击