欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

360网络安全情报研究室:感知态势中的威胁数据情报分析

来源:本站整理 作者:佚名 时间:2017-09-18 TAG: 我要投稿
已知和域名相干的入侵攻击家属或许入侵攻击团伙,和对应的概况;
曾经提到这个域名的网安blog或阐发申报;
域名曾经指向哪些IP;
域名的注册者信息;
……
应用这些信息可以或许节制环球规模内重要谍报源对查问域名的信息,断定域名是黑是白,被什么样的入侵攻击者应用,应用的光阴段和影响,并可以或许经由进程接洽关系阐发发掘更多的内容。

提到接洽关系阐发人人每每会和入侵攻击者溯源划上等号,但实际另有很多实用的场景,比如在一次入侵攻击中发明的IP,咱们盼望懂得能否会是定向性入侵攻击,经由进程平台查问发明这些IP近期曾被黑产应用来做SPAM入侵攻击,如许可以或许开端消除定向入侵攻击的能够性。异样盼望晓得一次入侵攻击中的几个IP能否属于统一团伙,可以或许参照经由进程谍报平台的入侵攻击汗青信息外,还可以或许留意IP的地理位置、主机范例(网关、IDC主机、终端等)、操纵体系等信息,这些都是做疾速断定的无力依据。
接洽关系阐发必要必定的常识和履历根基,可视化是有用低落阐发门坎的办法,分外是内置自动化阐发模子的可视化阐发,可以或许自动化展现查问工具相干的别的元素,而且对分外工具经由进程必定办法标识进去。就象上面这个Fortinet 近来颁布的某个IOC,固然经由进程域名本身没有分外多上下文信息,但在可视化阐发中,接洽关系的入侵攻击资本和虚构身份可以或许一眼看清楚。

TTP谍报(战术、技巧、进程)
TTP谍报是供应给网安阐发师及网安管理者应用的人读谍报,它存眷于黑客恶意软件、破绽漏洞bug、入侵攻击变乱或许入侵攻击团队,侧重阐发其目标、迫害、机制、影响规模和检测防备机制。这些谍报可以或许让企业面向针对本身构造或行业的入侵攻击,提早防备威逼的产生、或许得到威逼产生时的处置办法,同时阐发师还能经由进程TTP谍报扩大、积聚网安打猎的手腕和办法。
另有一些分外目标的TTP谍报申报,在这里以360威逼谍报中间宣布过的试举两例:
1. 改正内部讹夺信息:2017年8月7日,Xshell软件厂商宣布通知布告说在卡巴斯基的共同下办理了一个软件版本的网安成绩,但没有颁布技巧细节和迫害,因而未受到看重。而360威逼谍报中间跟踪发明其组件含有后门代码,而且现网中有大批沦陷主机信息被网络并能够被植入更多黑客恶意组件,因此于8月14日率先宣布阐发申报,别的网安厂商也连续确认此成绩。终极惹起大多数企业的看重开端处置相干危险。(参考链接:https://ti.360.net/blog/articles/analysis-of-xshell-ghost/ )
2. 综合类的阐发申报:360威逼谍报中间9月10日宣布了《软件供应链起源入侵攻击阐发申报》,便是针对变乱频发、影响极大且迫害严重的供应链入侵攻击办法,从入侵攻击办法、典型案例、防护倡议等多个方面,给用户供应细致的谍报信息。(参考链接:https://ti.360.net/blog/articles/supply-chain-attacks-of-software/ )
小结
威逼谍报在海内还属于比拟新的网安技巧,但倒是现阶段赞助构造疾速晋升检测、阐发、防备猜测才能的最好抉择,特别是在态势感知这类综合才能扶植进程中必需考虑到威逼谍报。同时寄托分歧范例的谍报产物,进步阐发职员效力,让阐发职员才能慢慢发展,也是办理人才网job.vhao.net缺口行之有用的办法。

上一页  [1] [2] 

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载