威胁情报分析_第一站
文章目录
- 常见技能要求
- 引言和概念
- 现实难题
- 动态积极防御 VS 静态被动防御
- 概念
- 常见情报标签
- Botnet
- Nitol家族
- C&C服务器
- IDC服务器
- Alman蠕虫病毒
- Trojan特洛伊
- 威胁情报分类(待)
- 行业标准和规范(待)
- 威胁情报平台
- 1.微步在线
- 2.RedQueen-天际友盟
- 3.安恒威胁情报中心
- 4.360威胁情报中心
- 5.IBM X-Force Exchange
- 6.AlienVault
- 情报实验室
- 安恒猎影实验室
- 个人感受
- 参考
常见技能要求
一、安全研究员(情报威胁) 启明星辰安全 岗位职责:
1、负责威胁情报的收集,及时关注国内外安全动态,挖掘有价值的情报并纳入监控;
2、负责APT组织的分析和追踪,通过信息挖掘、特征提取形成有价值的行业分析报告;
3、负责数据的分析处理,协助内部分析平台建设,帮助完善产品体系;
4、负责重大安全事件和来自客户的应急响应分析;
岗位要求:
知识架构:
1.熟练掌握OD、IDA、WINDBG等调试工具。
2.熟悉Python/C/C++等至少一门语言。
3.有良好的文字能力和英文基础,可独立撰写行业分析报告。
相关经验:
1.2年以上相关病毒木马等样本的分析工作经验,有多种平台病毒木马分析经验。
2.参与过重大安全事件、黑客团伙的溯源分析。
二、兴华永恒科技有限责任公司
职位描述:
1、关注国内外出现的重大安全事件和APT攻击行动,深度分析输出相关的安全威胁信息;
2、跟进公司产品发现的高级威胁事件,进行追踪溯源和关联分析,形成专业的安全研究报告;
3、通过对安全数据的运营分析,制定和优化威胁情报的分析方式,参与相关安全项目的研发。
职位要求:
1、思路清晰,思维敏捷,有较好的英文读写能力;
2、熟悉威胁情报的获取、分析和挖掘,了解最新的黑客攻击手法;
3、3年以上安全从业经验,有过独立追踪APT事件溯源分析经验者优先。
三、中资网络信息安全科技有限公司 发布于2020-12-23 威胁情报分析师
岗位职责:
1、负责威胁情报的生产、运营和优化;
2、负责情报产品的开发。
岗位要求:
1、深入理解威胁情报概念和原理,有威胁情报实战经验;
2、熟悉python或go编程语言;
3、熟悉安全事件归类和溯源分析方法;
4、有APT情报追踪溯源经验。
四、北京奇虎科技有限公司(奇虎360),招聘部门-情报云,岗位类别-高级软件工程师
1、基于云端或外部数据进行挖掘,发现高风险攻击事件或攻击团伙线索(含APT);
2、对攻击团伙&事件进行溯源分析,获取攻击目的、攻击技战术手法、虚拟身份等;
3、产出高价值IOC情报,以及威胁分析报告;
任职要求
1、安全专业毕业,或者计算机行业毕业并在安全厂商服务2年以上;
2、掌握恶意软件分析的基本技能,可以较熟练的进行逆向分析;
3、有通过网络数据、第三方情报对攻击线索进行溯源的经验;
4、有通过云端样本、行为数据,或者VT来源对攻击线索出现发现、跟踪的经验;
5、有过新团伙、已知团伙发现经验者优先;
6、有公开的威胁分析报告编写经验者优先。
五、杭州安恒,招聘-安全威胁分析
岗位职责:
1.对产品发现的威胁数据、样本和日志进行分析,输出安全威胁分析报告。
2.负责安全事件案例、培训资料和技术方案的撰写和管理;
3.负责面向公司内部销售,技术,售后等部门的产品和技术培训;
4.根据公司安排,支持各分支机构的重要项目;
任职要求:
1.语言/书面表达能力强,同时具备较强的学习能力,能承受一定强度的工作压力。
2.熟悉常见web攻击、病毒木马的攻防原理 ,了解沙箱分析技术。
3.具备丰富的日志分析经验,熟悉安全设备如IDS、APT、防火墙等安全产品的使用和日志分析,对APT攻击的方法和对抗有一定见解。
4.较强的文档能力,思维清晰而有条理,注重实施和结果,注重细节。
引言和概念
现实难题
传统的防御机制根据“经验”构建安全防御策略,难以应付未知攻击。
在网络攻击呈现多样化、复杂化、专业化的趋势下,我们需要一种能够根据过去和当前网络安全状况动态调整防御策略的手段,威胁情报应运而生。
动态积极防御 VS 静态被动防御
优势:在对威胁情报进行收集及处理后,可以直接将相应的结果以机读的形式分发给安全设备,实现精准的动态防御,达到“未攻先防”的效果。
概念
简单理解,威胁情报是指对企业产生危害的信息。
威胁情报描述了现存的、或者是即将出现针对资产的威胁或危险,并可以用于通知主体针对相关威胁或危险采取某种响应。
威胁情报分析是一种基于数据的,对组织即将面临的攻击进行预测的行动。
核心价值:加快检测和响应、掌握威胁根源、辅助安全决策、让威胁治理更高效。
常见情报标签
Botnet
Botnet(僵尸网络) 是指采用一种或多种传播手段,将大量主机感染bot程序(僵尸程序)病毒,从而在控制者和被感染主机之间所形成的一个可一对多控制的网络
Nitol家族
Nitol是一种通过dll劫持的方式进行蠕虫式传播的僵尸网络病毒,影响windows操作系统。其会通过网络共享和移动介质等进行传播和扩散。
危害:主要功能是搜集被感染主机的信息发送给攻击者,并接收攻击者的控制指令,可以下载和运行别的病毒家族,对外进行DDoS流量攻击,还可以作为肉鸡跳板机。
中毒症状:释放恶意lpk.dll、释放病毒文件到C:\Windows\System32目录下、添加启动项、病毒进程、网络行为
C&C服务器
命令及控制服务器(Command and Control Server,简称C&C服务器),在僵尸网络中,进行指挥的关键节点便是C&C服务器。
IDC服务器
互联网数据中心(Internet Data Center,简称IDC)也叫数据中心服务器,最初被理解为商业化的“机房”。
主要提供四种服务:主机托管、资源出租、增值服务、应用服务。
Alman蠕虫病毒
Trojan特洛伊
威胁情报分类(待)
行业标准和规范(待)
威胁情报平台
1.微步在线
地址:https://x.threatbook.cn
中国首家专业的威胁情报公司。它是国内第一个综合性的威胁分析平台,秉承公开、免费、自由注册的原则,为全球的安全分析人员提供了一个便利的一站式威胁分析平台,用来进行事件响应过程的工作,包括:事件确认、危险程度和影响分析、关联及溯源分析等。主要特征:自由公开的服务、多引擎文件检测、行为沙箱、集成互联网基础数据、集成开源情报信息、关联分析、机器学习、可视化分析。
特点:基于海量网络基础数据生产威胁情报,具有覆盖度高、可执行力强、专业性强、准确度高、可扩展性强等优势。
2.RedQueen-天际友盟
地址:https://redqueen.tj-un.com/IntelHome.html
天际友盟的情报应用解决方案已在国内多家政府机构,以及金融、互联网、通信、能源等行业的多家龙头企业得到实践,有用综合应用多项业内领先的情报应用技术。主要特征:安全情报、漏洞情报、最新资讯、威胁溯源、自由公开的服务、集成互联网基础数据、集成开源情报信息、关联分析、机器学习、可视化分析。
3.安恒威胁情报中心
地址:https://ti.dbappsecurity.com.cn/
4.360威胁情报中心
地址:https://ti.360.cn/
5.IBM X-Force Exchange
地址:https://exchange.xforce.ibmcloud.com
IBM X-Force Exchange 是一款基于云的威胁情报共享平台,支持使用、共享威胁情报并采取行动。它支持快速搜索全球最新安全威胁,汇总可操作情报、向专家咨询并与同行进行合作。IBM X-Force Exchange 由人员和机器生成的情报支持,可利用 IBM X-Force 的规模来帮助用户在新兴威胁面前保持领先地位。
6.AlienVault
地址:https://www.threatcrowd.org
它递送社区产生的威胁数据,能够协作各个来源的威胁数据,自动更新你的安全基础设施。其收购了threatcrowd,拥有IP、域名、文件、邮件等情报。主要特征:垃圾页面、钓鱼网页、恶意软件和间谍软件、匿名代理攻击和P2P网络、暗网IP、管理僵尸网络的C&C服务器、域名、IP地址、邮件地址、文件哈希、杀软检测。
情报实验室
安恒猎影实验室
个人感受
理解:数据收集分析,帮助事前预防。
病毒家族、木马、蠕虫,可以扩大视野,提高行业认知、促进职业规划,甚至是调整研究方向。
参考
《新品发布 | 安恒信息威胁情报检测平台 全方位发现失陷主机 》,2019-06
文章地址https://www.dbappsecurity.com.cn/show-145-363-1.html
《威胁情报专栏:谈谈我所理解的威胁情报——认识情报》,2019-06
文章地址https://blog.csdn.net/bluebubble/article/details/92798916
《Nitol病毒分析与查杀 》,2017-9
文章地址https://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=35957
《命令及控制(C&C)服务器·亟需警惕的木马主犯 》,2017-05
https://www.sohu.com/a/139862488_561752
威胁情报分析_第一站相关推荐
- 【恶意代码分析】_第一站
文章目录 概述 基本概念 有损压缩 加壳 壳的装载及其分类 压缩器和保护器 恶意程序在线分析网站 UPX实验 介绍UPX 使用UPX压缩文件 UPX加壳原理 使用工具查看和脱壳 Lord PE 工具P ...
- 【周易与中国文化】_第一站
文章目录 课程认知 课程(阅读材料) 自我消化和摸索(重点) 基本概念 "死记硬背" 反思 课程认知 课程报录比:50/280. 渊源学识:老师的博士论文是关于周易与北宋儒 ...
- 【移动安全技术】_第一站
文章目录 课程概述 安装软件 体验app编程(主要内容) Android逻辑视图的目录列表 从零创建一个No Activity项目 相关概念 Gradle 参考 课程概述 课程内容:安卓APP编程 ...
- 爬虫入门实战第一站——梨视频视频爬取
爬虫入门实战第一站--梨视频视频爬取 简介 博主最近重新开始了解爬虫,想以文字方式记录自己学习和操作的过程.本篇文章主要是使用爬虫爬取梨视频网站中的视频并下载到本地,同时将视频简介和视频网站保存在ex ...
- 创业第一站丨产品经理、海归转型成创业者有多难?
5月24日,阿尔法公社与PMCAFF共同主办的创业第一站如期举行,阿尔法公社创始合伙人蒋亚萌.搜狗输入法之父马占凯.诸葛io创始人孔淼.Qury创始人郑伟与几十位计划创业.已经创业的产品人一起就产品经 ...
- 2015生命之旅---第一站重庆
老邓的流水账又来了.... 这篇文章来源于我的2015年7月-九月的一系列出行,跟程序无关,我只想把我的经历告诉大家,让大家与我共勉.为什么会有这次旅行,为什么是生命之旅,这还得从去年说起,去年九月, ...
- 2019《去哪儿》春季校招第一站(含笔试题)
PS:点进来的小伙伴,我想先声明,标题中的去哪儿指的是517Na这家公司. 离职已经过去了4天,这几天算是过上了悠闲而轻松的日子.瞌睡也睡了(忘记了早餐存在的价值),篮球也打了(下午一个人在小区里打篮 ...
- c++语言编程,一个电灯两个开关控制,[理学]四川大学计算机学院精品课程_面向对象程序设计C++课件_游洪越_第一章绪论.ppt...
[理学]四川大学计算机学院精品课程_面向对象程序设计C课件_游洪越_第一章绪论 主讲教师: 游洪跃 个人主页: /~youhongyue 邮件地址: youhongyao@ 教材:<C++面向对 ...
- 架构师成长之旅_第一篇:插件与框架是什么?
架构师成长之旅_第一篇:c++插件开发 目录 踏入工作前的准备 框架是什么? 多人开发 一.踏入工作前的准备 在即将踏入工作时,最主要的是你的代码量和你编码能力,最重要的是你的代码质量,在编码界代码质 ...
最新文章
- VirtualBox - RTR3InitEx failed with rc=-1912 (rc=-1912)
- Android Studio下的目录结构
- Abstract class虚拟类
- 02、如何进行网站性能优化或怎么加快页面的加载速度
- iOS 调用h5页面 视频不自动播放的问题
- 顶层 pom 中的 dependencies 与 dependencyManagement 区别
- 城市规划Java_智慧城市通过边缘计算转向高层次的城市规划
- Cassandra中的数据建模
- 在命令行上启用 64 位 Visual C++ 工具集
- 又来Hello World了,Hello Python
- NYOJ--6--喷水装置(一)
- 【HighCharts系列教程】一、认识Highcharts
- “独立博客”为什么独立?
- cfa equity
- 【毕业季·进击的技术er】大学生计算机毕业设计应该这样写
- 医院信息化建设,产品规划要求​
- UE4基础知识总结(一)
- js实现外链访问劫持代码 可劫持百度快照
- 解决Android Studio无法安装HAXM问题(特点:AMD CPU、Windows10家庭中文版系统)
- 【转载】经典SQL语句大全(绝对的经典)
热门文章
- 【中英双语】Python 交易算法:市场中性对冲基金策略
- java 短信 条数 计算_接收短信验证码条数限制(java发送短信验证码限制)
- 移动webDay1—Day7
- 简要评说Adobe的FlashPlayer的渲染算法--续1
- ESP32设备驱动-MPU-9250 3轴陀螺仪/加速度计/磁力计驱动
- 小米 红米6 解BL锁教程 申请BootLoader解锁教程
- android 微信播放语音文件,如何将微信语音导出为MP3音频文件-Android平台
- php 孕周自测,妇产基本功 | 孕周的计算,你真的掌握了吗?
- Colab如何解压rar和zip文件
- 一八年第三天晚上十点半的thinking