威胁情报平台 | 公众号 | 个人号(偏APT方向)

国内

启明星辰VenusEye威胁情报中心

官网

安天

安天威胁情报中心
刚搞起来,但是看得出设计很好
安天威胁情报中心

国家网络威胁情报共享开放平台

公众号

微步

官网
公众号:微步在线研究响应中心
微步在线云API
*适合查阅数据类型和结构

安恒

  • 威胁中心:给客户看的全球威胁情报
  • 公众号:一般发自己研究/发现的,会比较少,应该叫安全研究比较合适。还是看官网更比较符合威胁情报这个主题

    腾讯

    腾讯安全威胁情报中心

    腾讯玄武实验室

    每日,没有重点和分类,像个爬虫结果,作为筛选的数据源比较合适

奇安信

奇安信威胁情报中心

奇安信威胁中心API接口

#每周威胁情报

每周五发布,有分类:攻击团伙情报、攻击行动或事件情报、恶意代码情报、漏洞情报

360

360威胁情报中心公众号
360云沙箱接口

白泽安全实验室

公众号

天际友盟

*作为国内第一本正式出版的、普及威胁情报技术的专业书籍,由天际友盟的技术团队共同编写的《网络威胁情报技术指南》

《Michael Daniel(Cyber Threat Alliance的CEO) - Faulty Assumptions: Why Intelligence Sharing Fails》

三个信息共享时候的错误假设:

  1. 认为所有的威胁情报(CTI)都是技术数据
  2. 所有的组织都应该进行相关技术数据分享
  3. 一旦进行共享渠道,那么分享就是一件非常容易的事情

提出了一些提高效率的假定以及如何落地: 减少共享的组织以降低CTI的噪音; 标准的分享形式可以提高情报分享的效率,往往能够提供更好的情报;

《360政企安全 - 从“向前防御”探究情报共享必要性》

《小强说 - 威胁情报共享之野望》

共享场景

目前主要是IOC Feeds的共享和下发,对于参与共享的安全厂商而言,我共享的是我的核心IOC数据,但是获取到的IOC Feeds信息的准确性及时性,却难以判断,甚至是没有用的,导致参与共享的厂商都认为自己共享的多,获得的收益少,进而陷入恶性循环。
这是因为,对于安全厂商生产的IOC,本质上是基于自身业务在网络环境中的观测,结合自身的安全检测和分析能力进行生产和沉淀的,自己认为是“高价值的”;但是不同厂商在整个网络环境中的观测都是片面的、重合度少的,A厂商基于自己业务观测和分析生产出来的“高价值”IOC情报,在B厂商看来是“难以确认的”,并不敢直接用于自身的安全检测和阻断业务中,最多只是当作另一类“观测数据”,需要进行二次分析和确认才能进行使用。这导致在A厂商和B厂商看来,都是“不值当的”。更别说个别安全厂商为了避免自身的威胁情报被二次使用和出售,故意在情报数据中参杂了一些“标记假数据”。

共享内容

目前共享的内容以IOC情报、样本为主,缺失攻击相关的上下文信息,对于参与威胁情报共享成员,看到的共享情报信息都是知其然但不知其所以然,并且目前尚缺乏中立的威胁情报质量的评估机构和较准确的评估体系,就更不敢在产品中直接使用共享的威胁情报了。

《福韵数据 - 网络威胁情报共享:调查与研究方向》

2.网络威胁情报共享 2.1 计算机集成技术的自动共享 2.2 CTI共享协作 2.3 CTI指标 2.4 工业部门共享 2.5 CTI共享的好处 2.6 共享CTI的风险 2.7 人在CTI共享中的作用 2.8 文化和语言障碍 3.可操作的网络威胁情报 3.1 共享CTI的及时性 3.2 CTI共享的信任建立 3.3 利益相关者声誉 3.4 CTI的相关性 3.5 隐私和匿名 3.6 数据互操作性

2.3 CTI指标

CTI包含各种特征,这些特征使它成为真正的情报。恶意的IP地址或散列本身不被认为是CTI,而可能是CTI的一个部分。这些特征可能包括可以与受信任的利益相关者共享的威胁行为者、活动、动机和妥协指标(IoC)的描述。IoCs是最容易操作的CTI特征之一,也是大多数工具的焦点

威胁情报相关文章/书籍

《以色列的威胁情报公司Cybersixgill - 2021年威胁情报发展报告:近半公司被不准确或过时的威胁情报困扰》

Cybersixgill&Dark Reading - 2021 年威胁情报发展报告.pdf

天际友盟 - 《网络威胁情报技术指南》

工具

丁爸 情报分析师的工具箱

【微信公众号话题】各类开源工具情报工具和技巧介绍
丁爸工具箱

威胁狩猎

熊猫正正微信公众号话题-威胁情报

【持续更新】国内安全人员常用信息源 - 图3

《关于威胁猎捕的那些事》

通过平台和工具可以帮助专业的安全专家发现威胁,同时专业的安全专家会将自己的能力赋能给这些平台和工具,这是一个长期相互运营的过程,威胁在升级,平台和工具也会升级。 安全最重要的还是运营,任何一款平台、产品、工具,只要不运营,就是一个空框架,没啥用,也发现不了任何安全威胁。 安全就是一个持续运营的过程,所以笔者说安全永远在路上,没有结果,只要黑客组织不停止攻击,安全问题就会一直出现,而且会越来越多。

《威胁棱镜 - 如何使用VirusTotal狩猎恶意软件?》

如何利用 VirusTotal 提供的 VirusTotal Intelligence、VirusTotal Grep、VirusTotal Yara 与 VirusTotal Graph 服务进行高效的威胁狩猎。

黑*产 / 风控

流量经济新观察之银行篇:数字化转型四十载
流量经济新观察之银行篇:数字化转型四十载(下)
最高法点名电商黑*产,电商圈如何借好东风
流量经济新观察之电商篇:二十年购物车之争(上篇)
流量经济新观察之电商篇:二十年购物车之争(下篇)

合集

网络安全

洞见网安

整合微信公众号的信息流
2022-9-14 10:07:58:访问发现502了