为方便您的阅读,可点击下方蓝色字体,进行跳转↓↓↓
- 01 威胁情报
- 02 蜜罐技术
01 威胁情报
威胁情报(Threat Intelligence),也被称作安全情报(Security Intelligence)、安全威胁情报(Security Threat Intelligence)。
关于威胁情报的定义有很多,一般是指从安全数据中提炼的,与网络空间威胁相关的信息,包括威胁来源、攻击意图、攻击手法、攻击目标信息,以及可用于解决威胁或应对危害的知识。
在攻防演练中,防守单位可在威胁情报平台上检索攻击源IP,获取更多相关资讯信息。曾有安全分析人员分享到,他通过威胁情报实现了IP地址到QQ号的精准定位,让我们看看究竟他是如何做到的呢?
首先安全分析人员经威胁研判分析平台IP反查域名得到目前攻击IP:112.xx.xx.xx解析的域名为sxxx.xxxxd.cc。
继续在威胁研判分析平台查询该域名的whois注册信息,得到关键信息注册人:xxxxxxxxwang,QQ邮箱:10xxxxxxx@qq.com。
并通过该QQ进行搜索,其资料上也有该域名的相关字样,可以确定该域名属于该QQ的持有者,至此实现了IP地址到QQ号的精准定位。
02 蜜罐技术
蜜罐是对攻击者的欺骗技术,用以监视、检测、分析和溯源攻击行为,其没有业务上的用途,所有流入流出蜜罐的流量都预示着扫描或者攻击行为,因此可以比较好的聚焦于攻击流量。
蜜罐可以实现对攻击者的主动诱捕,能够详细地记录攻击者攻击过程中的许多痕迹,可以收集到大量有价值的数据,如病毒或蠕虫的源码、黑客的操作等,从而便于提供丰富的溯源数据。举个例子,倘若攻击者使用如下用户名进行登录:
在蜜罐后台的攻击列表中查看,就可以发现其触发了SQL注入的检测规则。
