构建甲方视角的威胁情报体系（17页）.pdf

1、从人的角度量化安全威胁魏兴国（云舒）默安科技CO-Founder&CTO甲方视角的情报体系为什么需要威胁情报为什么需要甲方视角甲方视角威胁情报的关键点如何实现甲方视角意见和建议目 录content一、为什么需要威胁情报12内部：漏洞不足以描述风险的全貌外部：黑客已经在使用威胁情报做攻击github、Dropbox、邮件帐号、电话号码、社工库、钓鱼攻击。漏洞为中心到威胁为中心：评估现状、还原攻击、预测攻击二、为什么需要甲方视角的威胁情报12乙方视角的威胁情报更着重于全网趋势威胁情报需要与自身业务紧密结合，落地，取得最佳效果不同的公司，不同业务，面临的威胁完全不同，需要的情报也不同。全局情报与指定

2、少量的公司资产关联，能匹配到多少全靠运气。三、甲方视角威胁情报的关键点小王啊，我们作为宇宙最大的公司，数据损坏影响到宇宙的存在性，我们被人入侵了没有？数据被偷过没有？老板，从目前部署的宇宙最强IDS报警来看，没有被入侵。但是M78星云和天顶星听说很厉害，不知道他们会不会绕过了我们的所有系统而我们不知道。入侵还是没有入侵这是个问题搞不清楚入侵与否，那有攻击没有？攻击我们的是哪些人？那些是刻意盯着我们的，哪些是无意的？刻意盯着我们的，你们要抓一批！报告老板，被攻击最多的TOP 10 IP地址是xxxxx，攻击来源最多的TOP 10 IP地址是ooooo，攻击来源TOP 10 地区是火星，over抓

3、不到黑客不是我们无能是黑客太狡猾？老板，我们很辛苦的。昨天WAF受到666666次攻击，最近1小时受到2333次攻击。我们3个人查了3小时，发现一切正常。Excuse me？误报和忙就是成绩？123是否已经被入侵了？没有被入侵，还是入侵者技术太强，入侵了我们无法发现？这是一个悖论。需要明确的判断，并还原事件。我们存在哪些问题？这些问题影响有多大？不仅仅是漏洞，包括信息泄露、员工意识等一切可能导致风险产生的精确可量化的威胁。精确可以节省大量运营成本。我们处于被攻击中吗？攻击者是谁？不要说攻击来源的TOP 10 IP是多少，被攻击的TOP 10 IP是多少。需要更高层次的人的语言，可以理解、可以做下一步动作的东西。四、如何实现甲方视角威胁情报蓝军蜜网威胁影武者蓝军评估发现任何可能的攻击路径检验情报体系运营效果哨兵云全天候全面外部威胁发现地下黑产情报采集幻盾欺骗技术诱导攻击者，隔离攻击行为分析模型，精确量化威胁电子取证，设备指纹溯源黑客黑客化常态化123基于行为，而不是特征降低误报和漏报降低运营成本基于欺骗，控制黑客攻击的目标和链路避免无休止的技术细节对抗隔离攻击，消耗攻击者时间，增加攻击成本建立黑客档案数据库设备指纹，攻击行为建模克隆业务伪装漏洞虚拟系统脱敏数据记录行为偷取数据踩点找漏洞入侵系统清理痕迹入侵检测隔离攻击司法取证定位攻击者