前言
这里默认你已经了解了面向SRC的威胁情报的基础(概念,类别,3W1H/5W2H等)
如有不足,可以参考各大SRC的说明,如
情报来源
企业收集威胁情报是为了提高安全方面工作效率并应对安全威胁,什么地方会产生威胁呢?
- 黑产
- 黑客行为主义/犯罪团伙
- 供应链/竞争者
- 内部员工
由此我们可以简单得到一些情报来源
-
搜索引擎
-
威胁情报平台
-
安全新闻站点
-
官方漏洞披露平台
-
社交平台
-
通讯软件
-
代码托管平台
-
网盘搜索引擎(扫描件/合同/通讯录)
-
XX娱乐网|相关论坛(BUG)
-
暗网论坛
收集方法
直接写会限制思维,没有套路死板硬套,随意发挥。只提一点,能自动化尽量自动化。
举个例子
-
蚂蚁金服
- 支付宝→黑产洗钱→威胁组织→上游对接/下游对接→。。。
-
腾讯
- 公众号→刷量→微信号买卖/手机号注册→买号,养号/卡商交易→。。。
-
百度
- 博彩信息→黑商/黑渠道推广→黑户来源/黑商跑服务的技术细节(关键词,时间)/业务逻辑/服务漏洞→。。。
最好能形成一个闭合的O环,从起点出发回到起点,抓住一个点,参照5W1H(Why What Who When Where How),深挖背后的细节。