威胁情报 检测与分析
防御效果如何 是否可以检测到APT系列 收集的数据有用吗 我的工具使用重复了吗
购买厂家的防御产品能帮助我的组织有效防御吗 进行红队攻击检测可以解决以上所有问题
从哈希值 IP地址等方面入手防御,红队可以很容易的发生改变让检测失效 从ATT&CK的TTP部分开始思考有效的防御
注意指标的利弊:指标会规避真正有价值的事情,呈现出的值只是最后的结果。
对于从来没有见过真正攻击的安防人员来说:ATT&CK是一个对手行为的知识基础。
基于现实世界的观察:红队模仿威胁检测真正的防御产品。
红队所有的攻击是免费,开放,全球可访问。可以用它检测和集成到安全产品中,检测质量
信息来源于社区:ATT&CK所有信息来自于社区,无法提供所有的答案,它们是维护者,无法得到所有的对手行为。需要大家共同建设。
直击对手要害,而不是一步一检查,一米一个哨:侦查 武器化 交互点 漏洞利用 控制 执行 保持后门
依赖防火墙,他们永远不会进去,我们知道这是骗小孩子的。
PRE-ATT&CK:侦查 武器化
企业ATT&CK:交互点 漏洞利用 控制 执行 保持后门
横向:对手达到哪一步,试图得到什么。
纵向:不同的实现技术。
检测实验室
github.com/clong/detectionLab
medium.com/@clong/introducing-detection-lab-61db34bed6ae
原子红队有很多命令可以尝试:atomicredteam.io/
看看有哪些坏的,写一些检测:github.com/Cvb3rWard0g/ThreatHunter-Playbooks
https://jpcertcc.github.io/ToolAnalysisResultSheet/
https://ion28.github.io/BLUESPAWN/#layerURL=https%3A%2F%2Fion28.github.io%2FBLUESPAWN%2Fassets%2Fcoverage.json
https://github.com/ION28/BLUESPAWN
https://malicious.link/post/