随着网络安全环境越来越复杂，威胁情报（TIP）也扮演着越来越重要的角色。除了传统的URL、IP地址、域名（Domain）、文件（File），漏洞的POC（ProofOfConcept）、攻击手法、社交媒体信息、通过GPS（全球定位系统）获取的信息、数据泄露情况等也属于广义的安全威胁情报。对于企业，掌握威胁情报可以帮助公司及时对公网资产面临的安全威胁进行预警、了解最新的威胁动态，实施积极主动的威胁防御和快速响应策略，结合安全数据的深度分析全面掌握安全威胁态势，并准确地利用SIEM进行威胁追踪和攻击溯源。比如，通过基于DNS数据的威胁情报可以锁定内网中的哪些电脑感染了WannaCry病毒，发现哪些线上服务器感染了挖矿后门等，还可以锁定一些APT（AdvancedPersistentThreat）攻击。

先聊聊公共情报库，很多拥有强大技术实力及组建了专业安全团队的超大型互联网公司可以建立自己的情报库。关于情报的收集，一方面可以从开源情报渠道（如VirusTotal、Cymon等）抓取，另一方面可以从内部的安全组件获取，如WAF（WebApplicationFirewall）、NTA（NetworkTrafficAnalyzer），还可以通过批量扫描、DDoS攻击、恶意软件C&C的DNS通信信息等渠道获取。也可以使用一些开源工具来收集处理威胁情报，比如GOSINT，它是一款用Go语言写的威胁情报收集处理框架，可以从Twitter、AlienVault、VirusTotal、CRIT等渠道通过官方API收集威胁情报，另外一个比较好的开源的威胁情报收集工具为Spiderfoot，它可以自动收集各种威胁情报信息，该工具的界面也设计得不错。

查询Whois及历史DNS信息比较好的工具有SecurityTrails；查询综合性威胁情报比较好的工具有IBMXForceExchange、Cymon；在综合性互联网端口查询、服务统计方面做得比较好的工具有SHODAN、Censys、FOFA；在恶意文件、URL、域名、MD5的分析方面做得比较好的工具有VirusTotal。
再说说漏洞预警，很多漏洞发布往往不会第一时间被录入CVE漏洞库，互联网公司可以通过CMDB统计自己的生产环境用到的各种组件，如RedHat、Tomcat、SpringFramework等，再对相应的官网漏洞页面和一些黑客发布漏洞POC的论坛或站点进行监控，一旦有新的漏洞出现便通过邮件或短信通知应急响应团队处理。
最后再说说信息泄露，不少公司对内网管理较松，时常有员工将代码或其他公司的敏感信息上传到GitHub、网盘等平台，还有黑客入侵一些公司，拖库后会在暗网买卖数据，所以需要自建一些漏洞抓取系统及爬虫系统来监控公司的信息泄露情况。扫描GitHub信息泄露的开源工具比较多，比如Gitrob， xpatrol等。对暗网进行扫描的开源工具有OnionScan。比较好的综合分析框架有AIL等。
组建完善的企业基础安全运营平台首先通过威胁情报从外部获取最新的攻击数据和趋势，其次通过漏洞检测统计企业资产并周期性巡检、修补安全漏洞，再基于入侵感知发现各种网络、主机、服务的攻击，随后使用主动防御、后门查杀及安全基线实现对入侵攻击免疫和安全加固，最后通过安全大脑统筹分析和自动化响应，一气呵成完成互联网企业的基础安全运营工作。
威胁情报是基础安全运营平台组建的关键的第一步，接下来还有漏洞检测、入侵感知、主动防御、后门查杀、安全基线、安全大脑等重要的组成部分，安全运营平台将承担着企业抵御各种网络攻击和防范内部风险的重任。

• 上一篇: 中小企业喜获“上海市质量金奖” ，蓝盟IT外包以匠心品质树立行业标杆
  下一篇: 蓝盟IT外包牵手绿盟科技，共话企业级安全服务市场

• 分享到：