Recopilación de inteligencia de código abierto sobre amenazas
Según la definición de inteligencia de amenazas de Gartner, la inteligencia de amenazas es algún tipo de conocimiento basado en evidencia, que incluye contexto, mecanismo, indicación, significado y recomendaciones procesables. Este conocimiento y activos enfrentan amenazas existentes o en ciernes. amenazas o peligros en el sistema de gestión de activos, se puede utilizar para proporcionar soporte de información para la respuesta de las entidades relacionadas con activos o el procesamiento de decisiones ante amenazas o peligros. La inteligencia sobre amenazas mencionada en este artículo pertenece al sentido estricto de inteligencia sobre amenazas. Su contenido principal es la identificación de compromisos utilizada para identificar y detectar amenazas, como archivos HASH, IP, nombre de dominio, ruta de ejecución del programa, entradas de registro, etc. así como etiquetas de atribución relacionadas.
2.1 Registre una cuenta VirusTotal. VT proporciona una API gratuita que puede consultar información de IP, dominio y archivos. La cuenta gratuita tiene un límite de tasa de consultas, con un límite de cuatro consultas por minuto. estar registrado. Rotación de entrenamiento.
En la actualidad, las principales empresas de seguridad nacionales y extranjeras tienen sus propios servicios de inteligencia sobre amenazas, como VT, 360, Qi'anxin, Weibu Online, Tianji Umeng, etc. Parte de la inteligencia sobre IP y dominio en realidad proviene del comportamiento de la red de muestras maliciosas en la zona de pruebas. Puede utilizar la zona de pruebas de código abierto Cuckoo para analizar muestras maliciosas y realizar la producción de IOC.
Se pueden implementar Honeypots para la producción de COI y anotaciones de etiquetas relacionadas. Aquí recomiendo el honeypot de código abierto HFish que he usado.
Los fabricantes de seguridad nacionales actualizarán periódicamente los artículos de análisis de seguridad. Hay IOC de alta calidad al final del artículo. Puede utilizar tecnología de rastreo para rastrear IOC en informes de seguridad pública.
Puede obtener inteligencia sobre amenazas de alta calidad suscribiéndose a algunas plataformas de inteligencia de código abierto gratuitas.
AlienVault Open Threat Exchange (OTX) es la red abierta de análisis e intercambio de información sobre amenazas autorizada a nivel mundial. OTX proporciona una comunidad global de investigadores de amenazas y profesionales de la seguridad, con más de 50.000 participantes de 140 países que contribuyen con más de 4 millones de indicadores de amenazas diariamente.
A menudo hay información de primera mano sobre ataques en Twitter y otras redes sociales extranjeras, lo cual es muy efectivo. Los resultados de las investigaciones de los extranjeros deben estar por delante de los nacionales. A menudo sucede que los países extranjeros publican las noticias. un día antes se ignoran en China al día siguiente, pero las deficiencias de este tipo de información son igualmente obvias: la exactitud de la información no se verifica, la información está fragmentada y es difícil de estandarizar.