前言
根据Gartner对威胁情报的定义,威胁情报是某种基于证据的知识,包括上下文、机制、标示、含义和能够执行的建议,这些知识与资产所面临已有的或酝酿中的威胁或危害相关,可用于资产相关主体对威胁或危害的响应或处理决策提供信息支持。本文所说的威胁情报属于狭义的威胁情报,其主要内容为用于识别和检测威胁的失陷标识,如文件HASH,IP,域名,程序运行路径,注册表项等,以及相关的归属标签。
1、定期更新的IOC黑名单
https://myip.ms/files/blacklist/general/latest_blacklist.txt
2、知名厂商免费API
2.1注册VirusTotal账户,VT提供一个免费的API,可以进行IP,Domain,File类信息的查询,免费账户有查询速率限制,每分钟查询四次限制,可以注册多个账户轮训。
https://www.virustotal.com
3、开源web沙箱
目前国内外主流的安全公司都有自己的威胁情报业务,例如VT,360,奇安信,微步在线,天际友盟等。关于IP,domain的部分情报实际上来自于恶意样本在沙箱中的网络行为,可以利用开源沙箱Cuckoo分析恶意样本,实现IOC的生产。
4、部署蜜罐/蜜网
可以部署蜜罐进行IOC的生产和相关Tag的标注,这边推荐我使用过的开源蜜罐HFish
4、情报爬虫
国内的安全厂商都会定期更新安全分析文章,文章末尾有高质量IOC,可以利用爬虫技术实现对公开安全报告中的IOC实现爬取。
- 安全厂商微信公众号
1、安恒威胁情报中心
2、奇安信威胁情报中心
3、360威胁情报中心
4、腾讯安全威胁情报中心
- 安全厂商威胁情报中心
1、安天威胁情报中心 https://ti.dbappsecurity.com.cn/informationList
5、订阅免费情报源
可以通过订阅一些免费的开源情报平台获取高质量的威胁情报
AlienVault开放威胁交换(OTX)是全球权威的开放威胁信息共享和分析网络。OTX提供了一个由威胁研究人员和安全专业人员组成的全球社区,有来自140个国家的5万多名参与者,每天贡献400多万个威胁指标。
6、Twitter等平台
Twitter等国外社交媒体上经常有第一手的攻击信息,实效性强,老外的研究成果确实要领先于国内,经常出现国外前一天发布,国内第二天炒冷饭的情况,但是此类信息的缺点同样明显:信息准确性未经验证,信息碎片化,难以规范化。
网友评论