现在很多人并不知道威胁情报是什么,其实情报就是信息,对企业造成了威胁,它就叫做情报。我们很多了解的威胁情报可能都是企业层面的,比如说APT威胁组织、恶意商业竞争等等。然而,作为白帽子群体,近几年SRC平台也都开始接收威胁情报的计划,我们怎么样从个人层面,利用现有的资源,来发现情报呢?

第一部分,首先说说情报的提交原则,菜菜在文章中提到了3W1H和5W2H原则,3W1H在国外是通用标准,而5W2H,其中2H中的how much通常是我们个人无法估计的,所以在这里我一直使用的是5W1H原则,在这里再进行阐述下吧。


WHO

Who:这里指威胁/攻击/情报活动的主体人,通俗点说就是警察叔叔要抓的头目。通常who引导了整个事件,是5W1H中的主语成分。在情报提交中,线索的完整度必须要有的就是who部分,而我们需要尽可能的提供who的详细信息,包括但不限于真实姓名、证件号码、手机号、银行卡号、支付账号、微信号、各个网站常用ID等等唯一标识信息,此类信息往往帮助企业快速定位到嫌疑人,而其余信息,比如说套用证件信息、虚假手机号、买来的四件套信息、伪造的注册信息等等,价值虽然不高,却也是引导执法机关找到who的有用信息。所以在提交的过程中,如果白帽子不能对信息做很好的研判鉴别,我建议将所有搜集到的信息都一并提交,并在后面标注真实性的可能概率为多少。


WHEN

When:这里指威胁活动/事件的发生时间,或者是情报生产日期,通俗点说就是发生凶杀案时候,嫌疑人的第一作案时间。众所周知,情报的特点是复杂多样化,而且具有时效性。我们通常会优先考虑最新时间的情报。比如说,小明在半年前将内网的文件上传到了外网。这个时候,我们提交情报时候,需要注意到威胁事件的发生时间(when)是半年前,而下一步需要做的是这个情报是否还有效。比如说小明上传的是服务器的ssh配置信息,我们则需要验证是否还可用。如果可用,证明情报有效,价值依旧不变。在提交时候,尽可能的对when进行准确描述,会有利于企业第一时间缩小排查范围。


WHERE

Where:这里指威胁活动/事件的发生地点,地点可能是虚拟环境,可能是现实环境。虚拟环境,我们考虑的一般为唯一标识,比如说IP、DNS、DOMAIN等等虚拟化地点,如果是泄露事件,则需要说明发生在哪个平台的泄露,比如说附带URL、QQ群号、微信群等信息。请注意,where是整个情报报告中必不可缺的一部分。通常没有where,企业就无法处理情报,而这个情报也会成为无效情报。如果对于威胁组织有深入了解,或者是掌握了其线下活动行为,那么可以附带嫌疑人的住址、现实关系网等有效信息,可以帮助企业或执法机关快速处理,切记不可提交无把握的现实环境信息,如需提交,请进行详细的证据说明。


WHAT

What:通俗点说,就是犯罪嫌疑人做了什么。比如说,凶杀案之前,是不是抢劫了钱财还是做了其他事,在做这些事之前,在别的地方又做过什么相关联的准备,例如踩点、工具的准备。我们在网络中的威胁情报,比如说业务情报,则指关系到哪个业务,对这个业务造成了哪些损害。如果是技术情报,就需要对实施威胁活动的过程进行描述。在提交时候,对这部分尽可能的详细说明,将可能的利用点、危害点进行大胆性猜测,将可能造成的危害进行详细写出,可能会有助于增加你的情报完整度。


WHY

Why:还是拿凶杀案举例,为什么犯罪嫌疑人本来的目的就是财物获取,达到了目的结果还要杀人灭口了呢。这就是要说明的威胁活动发生的原因,他为什么要选择这里下手,为什么这里的业务会产生情报。通常why会帮助企业发现业务上或者技术上的缺陷,我们在提交的时候,why不是主要的入口点,但是可以对整个情报起到辅助作用。


HOW

How:通俗点说,嫌疑人用什么工具杀人灭口。这里通常的指攻击手法、攻击工具、利用手段等等。或者从白帽子角度来说,是如何发现这个情报的。how作为5W1H的关键点。仔细的描述how的过程,将会增加企业对你的情报认可度与可信度。


最近时间可能比较少,先临时分享这些,希望有所帮助。
后面我会继续补完这个坑。有篇文章《浅谈业务安全中的内部信息泄露风险》最近也会投稿到安全客平台。
个人近期关注黑灰产的手段分析比较多,有兴趣可以一起探讨黑产对抗等等。