资料列表
Preview Name 作者 Date File info
  • 安全运营中威胁情报的应用
    • 现状&目标
    • 情报几种分类
    • 情报整合
    • 情报流转
    • 安全运营
    • 安全运营+情报
    • 攻陷分析
    • 决策支持
    • 溯源画像
    • 主动防御
    • 建立行业情报意义
    • 行业情报共享原则
    • 行业情报共享面临问题
姜明元 2018-07-22 15:46:06
  • 附件: 1 个
  • 大小: 1.22 M
  • 为实现成功的网络威胁情报交换构建坚实基础
    • 鸣谢
    • 序言
    • 概览
    • 寻找适合你的评估共享计划
      • 建立共享关系
      • 评估交换平台的能力
        • 建立信任
        • 参与者匿名保护以及数据清除(Data Sanitization)
        • 开放标准
        • 自动化
        • 规模化分析
        • 同业组织小团体(enclaves)
        • 时间同步
    • 在你加入之前为成功构建基石
      • 捕获内部事件威胁
      • 考虑如何使用情报观点
      • 衡量是否参与和价值
      • 制定策略
    • 入门威胁情报交换操作指南
      • 威胁情报交换框架
        • 识别可疑事件
        • 收集相关事件数据
        • 决策如何去共享数据以及与何人共享
      • 事件反馈与关联的监控器
      • 评估合作响应的需要
    • 下一步号召行动
    • 附录 A共享事件信息示例
    • 附录 B额外资源
云安全联盟 2018-06-05 13:43:16
  • 附件: 1 个
  • 大小: 0.83 M
  • 威胁情报是高级威胁防御的灵魂
  • APT(AdvancedPersistent Threat)——–高级持续性威胁。是指组织或者小团体利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。APT攻击威胁企业数据安全。APT是黑客以窃取核心资料为目的,针对客户所发动的网络攻击和侵袭行为,是一种蓄谋已久的“恶意商业间谍威胁”。APT的攻击手法,在于隐匿自己,针对特定对象,长期、有计划性和组织性地窃取数据,这种发生在数字空间的偷窃资料、搜集情报的行为,就是一种“网络间谍”的行为。此类攻击行为是传统安全检测系统无法有效检测发现,前沿防御方法是利用非商业化虚拟机分析技术,对各种邮件附件、文件进行深度的动态行为分析,发现利用系统漏洞等高级技术专门构造的恶意文件,从而发现和确认APT攻击行为。

    如何利用好威胁情报?在SOC环境中建立威胁情报功能,这是在日常的SOC操作强制性的指导和协助SOC分析师进行分析,并与业务和风险办公室对接,确保在风险和威胁方面,维持用户暴露于最低限度不变。同时,威胁情报分析工作应涵盖情报功能的完整连续性。

    • 高级可持续性威胁(APT)是怎么回事
    • 为何一直检测不到?样本的唯一性
    • 高级可持续性威胁(APT)在内网横向移动怎么办
    • 威胁情报功能设计与实施
    • 威胁情报分析工作应涵盖情报功能的完整连续性
    • 威胁情报运营模型
    • Fortinet威胁情报输入
    • Fortinet威胁情报输出
    • Fortinet威胁情报平台设计架构
    • Fortinet威胁情报平台闭环
Fortinet 华东区资深技术顾问 王哲闻 2018-06-01 10:12:31
  • 附件: 1 个
  • 大小: 3.16 M
  • 威胁情报与卡巴斯基威胁情报中心
  • 针对企业的定向攻击所具有的技战术多样、过程复杂等特点使得传统的单纯从防御角度出发的防护手段已经力不从心。除传统的被动防御手段外,企业可以利用威胁情报主动地对威胁形势进行预判、感知从而采取预防性的部署。而攻击者对技战术、工具的复用也使得威胁情报可以有效抵御攻击。

    • 卡巴斯基安全服务
    • 卡巴斯基威胁情报中心
    • 威胁情报源
    • 威胁数据馈送
    • 威胁数据支持多种平台
    • 卡巴斯基威胁查询
    • 内部报告
    • 卡巴斯基APT报告
    • Pyramid of paini
    • 威胁情报报告中的TTP
    • 将TTP转化为检测能力
卡巴斯基实验室 亚太区病毒中心负责人 董岩 2018-06-01 09:59:24
  • 附件: 1 个
  • 大小: 3.44 M
  • 生产网络中的情报价值与应用
  • 威胁情报本身是一种历史记录,用于参考,类似于人的信用,让网络中的各个字段也有信用。用数据驱动安全,在攻击者进行攻击时,自动匹配攻击者所使用的网络各个字段的信用,信用低者必将引起注意。威胁情报的来源一般分为由商业产品、开源产品提供的外部情报和由日志平台、FW、WAF、蜜罐等系统提供的内部情报。威胁情报的分类整理是落地应用的基石,所有的分析与应用均应基于此展开。

    当前,企业安全普遍面临着防护系统各自为营、海量告警日志人工处理不及时、没有规则就无法发现其他异常流量,很多告警发出后却没有相应的应急响应等痛点。将威胁情报、日志和流量进行关联分析,对分析结果进行自动和人工响应,来补充已部署的各种安全设备和防护系统做不到的防护,通过这些我们才能更清楚地看清生产网络中黑或灰色流量究竟是什么。

    • 公司介绍
    • 威胁情报的价值
    • 威胁情报的分类
    • 威胁情报的来源
    • 生产网络中的应用
    • 深度挖掘
宜信 安全部情报分析专家 薛兆云 2018-06-01 09:49:01
  • 附件: 1 个
  • 大小: 1.88 M
  • 基于威胁情报的安全智能化
  • 赵林林以自身业务开展为出发点,介绍了威胁情报在安全智能工作中的重要作用,并预言“未来情报驱动安全智能化”将成为信息安全工作发展的大趋势之一。

    据介绍,微步在线已经实现将概念落地为数据,对威胁事件的关注,对黑客团伙、攻击者工具、手段、资产的分析并对基础数据收集、整理与清洗。未来,威胁情报将驱动安全智能化,通过威胁情报数据来检测&响应场景中落地,最终实现驱动安全智能化

    • 当前安全的挑战
    • 威胁情报:从概念、落地到未来
    • 情报驱动的安全智能化路径
    • 微步在线进展
赵林林@微步在线 2018-05-02 02:11:45
  • 附件: 1 个
  • 大小: 5.07 M
  • 威胁情报在安全运营中的应用
  • Agenda

    • 威胁情报的那些事
    • 从攻击向量到攻击现场还原
    • 威胁情报的应用:攻击溯源技术与攻击防御决策
    • 威胁情报在安全运营落地的事例
李中文(elknot@360corpsec) 360企业安全集团JMPESP实验室 2018-03-12 14:50:49
  • 附件: 1 个
  • 大小: 3.83 M
  • 甲方威胁情报杂谈
  • 议程

    • 甲方威胁情报的尴尬
    • 甲方情报能力成熟度模型
    • 传统情报体系
    • 情报的一些特性
    • 把威胁情报卖给甲方
阿里安全 王伟 alert7 2018-01-24 10:26:53
  • 附件: 1 个
  • 大小: 10.5 M
  • 从暗云木马看威胁情报的溯源与追踪
  • 主要内容

    • “暗云”木马溯源与追踪
    • 威胁情报溯源与追踪方法论
    • 溯源与追踪成果分享

    议题简介:以暗云木马介绍及暗云二代与三代的关联关系为入口,进一步阐述如何对黑客组织进行溯源与追踪,背后的溯源追踪模型的原理是什么。再进一步介绍一些溯源追踪的成果,包括一些具有政府背景的高级APT组织的溯源追踪成果和国内黑产团伙的溯源追踪成果。

樊兴华,微步在线安全分析团队负责人 2018-01-03 15:21:56
  • 附件: 1 个
  • 大小: 17.17 M
Derek Manky 2017-12-19 16:35:08
  • 附件: 1 个
  • 大小: 3.11 M