关于对威胁情报的一些记录（入门级）

一、概念
简单来说，是指对企业被威胁主体利用，导致信息安全（保密性、完整性、可用性）受到破坏的相关消息。

例如：有一个威胁主体（黑客）在网上倒卖自己的数据等情报。

其实安全圈一直在使用着它们，漏洞库、指纹库、IP信誉库，它们都是威胁情报的一部分。情报就是线索，威胁情报就是为了还原已发生的攻击和预测未发生的攻击所需要的一切线索

二、分类
（1）战略威胁情报

（2）运营威胁情报

（3）战术威胁情报

（4）技术威胁情报

通俗的话可以分为

科学和技术：提供关于对手技术和能力的息
　　
动态：关注日常事件及其影响

警示：对于紧急事件给予注意，并发布通知

估测：关注可能发生的事情

研究：为某事件提供了一个深入的研究
三、情报来源
（1）论坛平台

（2）相关站点出现数据异常

（3）通过特殊手段绕过阿里的业务逻辑

（4）社交软件:一系列获取信息的社交软件

（5）搜索引擎:大型搜索引擎
常用命令:site:www.xxx.com inurl:xxx.com
搜 target.con|公司名字 intitle:xxx.com
intitle：平台|数据|BUG

这里主要运用了语法索引

例如Site：把搜索精确到特定的站点

（6）定向监控威胁团伙活动和推出作弊程序

（7）其他平台
四、收集原则遵守5W5H
who(谁)威胁组织的人员信息QQ号,手机号,QQ群,论坛账户YY等

How Much(产生多大危害）

How(利用的方法)
业务规则绕过
恶意行为
实名认证绕过等

where:(地点)产品,业务,接口

why(什么原因)

what(做什么事)
平台订单数据泄露
商家运营数据
平台官方的活动方案
员工账户密码泄露
批量盗取平台账户
售卖平台账户
恶意注册小号
无限刷积分
提高信用,套现,恶意评价,恶意退款,恶意删除差评的人员信息营销活动作弊实现过程实名认证绕过等等。。。。

五、厂商特别注重的情报

（1）利用的漏洞

（2）数据泄露

（3）涉及相关核心业务的

六、情报提交模板
核心关注点(3W1H)

谁(Who)在什么位置( Where)利用什么方式(How)做什么事(What)

Who【0~3分】:情报涉及到的威胁人员,如可定位到入侵者个体或组织的情报;

Where【0~3分】:情报所涉及的利用点,如订单信息泄露页面或接口

How【0~3分】:情报所涉及的问题是如何被利用的,包括相应的流程、技术手段、工具等

What【0~1分】:情报所涉及的主要问题,如黑产、入侵、炒信等;

辅助关注点(2W1H)

When【0~1分】:情报所需要用到的重要时间点,如入侵开始、结束的时间点等

Why【0~1分】:情报背后的深层原因,如APT的背后组织者、进行攻击的根本原因

How much【0~1分】:情报所涉及问题已造成的危害程度,如黑产组织已造成的损失等注:

辅助关注点仅当在对情报有突出意义时才计分。