奇智威胁情报峰会：金融企业威胁情报建设历程与运营实践

金融企业威胁情报建设历程与运营实践周正虎

华泰证券信息安全中心华泰威胁情报体系威胁情报应用场景实践威胁情报自动化运营威胁情报共享Q&A目录CONTENTS020403010501华泰威胁情报体系

建设历程网络安全框架能力中心，给其他职能小伙伴提供情报调用服务4356IOC情报（商业

+

开源）

1华泰证券威胁情报体系

建设历程漏洞情报（

360+xz+cve

…

）

规则情报(ET

pro+sigma)蜜罐以及IP监测情报（sinkhole、良性scanner）87响应情报（家族信息+响应知识库）Hash情报（Virustotal+Sandbox）黑灰产（薅羊毛站点+暗网

…）数据泄露（Github

+

网盘）情报中心2The

NISTCybersecurity

FrameworkIDENTIFY

PROTECT

DETECT

RESPONSE

RECOVER华泰证券威胁情报体系

Cybersecurity

Framework参考：/cyberframework234防护8b78a7615恢复识别响应检测02威胁情报应用场景实践l

识别(监控）类情报l

检测类情报l

防护类情报l

响应类情报重点关注：•外包员工•实习生•分公司员工泄露响应•

人工调查蜜罐诱饵代码伪装关键字反馈参考：/0xbug/Hawkeye收集代码指纹•

项目开发语言

•

研发应用组件

•

项目常用包头

•

定义全局变量

•

公司项目名称

•

变量命名规则

•

员工工号规则

•

…筛选Repo•

辅助判断指标（文件类型、

repo文件数量

…）•

“人肉”运营威胁情报应用场景实践

识别(监控）类情报采集Repo•

多Github用户•

周期性爬取Github代码泄露数据泄露监控关键字公司相关名称（中英文、缩写、域名...）产品名称（XX开户）相关业务名称(低佣)特定活动名称（返现、xx大毛）行业数据名称（证券业、股民、股票配置）……暗网薅羊毛站点微信搜索引擎搜索引擎薅羊毛站点微信公众号威胁情报应用场景实践

识别(监控）类情报黑灰产情报23及时性1薅羊毛站点&微信&搜索引擎l

搜集站点入口(黑灰产\微信\搜索引擎)l

关键字搜索与匹配l

周期监控l

推送合规运营人员l

后续调查威胁情报应用场景实践识别(监控）类情报搜索引擎会滞后暗网数据贩卖l

找到稳定暗网入口l

收集暗网站点l

关键字匹配l

反爬对抗l

周期性监控l

数据购买与验证l

后续调查

什么类型数据

可能发生时间

哪些人掌握

负面公关…威胁情报应用场景实践识别(监控）类情报参考：https://g/C4o/ChineseDarkWebCrawler推送安全人员关键字处理威胁情报应用场景实践识别(监控）类情报•漏洞运行环境•漏洞触发条件•漏洞修复建议TVM（Threat

andVulnerability

Management）NLP提取关键信息•漏洞影响版本参考：/toolswatch/vFeed漏洞预警情报告警工单推送资产匹配多源汇聚提醒内外网漏洞运营未修复状态为安全团队内部标识状态发送jira工单未修复0扫描器误报修复中已修复漏洞再次被扫出复测中漏洞再次被扫出点击jira工单[关闭问题]威胁情报应用场景实践识别(监控）类情报忽略开始或进行中或重新打开点击jira工单[解决问题]Jira状态:待验证Jira状态:关闭1周内漏洞未被扫出Jira状态:暂缓修复1724635开源情报•

CIF

v3（30+源）•VirusTotal（

pdns

、sandbox、

relationship）•SHODAN

(rdns、

port、tag、devicetype)•

Greynoise（tag）辅助分析

为主主失陷情报为主主参考：/csirtgadgets/bearded-avengerhttps://viz.greynoise.io/威胁情报应用场景实践检测类情报商业情报奇安信ThreatbookIOC情报IOC情报生产Hash样本网络行为

样本家族

回连的Domain以及IP

过滤白名单

…预定义、重放僵尸网络通信协议，探测恶意IP

C2:端口探活->协议探活

P2P:伪造Bot节点,利用p2p协议特点来迭代探测(端口也会是个范围）分布式部署蜜罐

捕获样本、

Downloader、C2

…

蠕虫:A端口被扫描且扫描主机A端口存活，扫描主机有较大概率被感染

Botnet扫描，反查设备指纹来判定

…威胁情报应用场景实践检测类情报category:malwareHash

&FamilyPORT&PROTOCOL指向性可断言DomainFHD进

程H威胁情报应用场景实践检测类情报电灯手电IP内部资产IOC情报消费样本家族IPIOC情报IOC情报IOC情报样本2样本3样本1IPIP:185.242

162

159Port:81Protocol:tcpResponse:BF7CAB464EFBIOC情报消费与采集不同的视角:1.作为一个点远远不够，还其他点需要串起来需要采集的点多!采集什么/从哪hunting2.情报自带可(断言)验证字段（如端口、协议）触发后自己验证指向性&可断言检测类情报情报生产者的分析思路，指引情报消费方Hunting的方向威胁情报应用场景实践IOC告警自动批处理定位hash多源情报接入归一化整合匹配由内到外发起的IOC连接威胁情报应用场景实践检测类情报IOC定位至进程进程定位到文件HashOsquery

SysmonHash情报响应情报Hash定性PUP多！响应情报查询

更新情报中心：

Sinkhole

蜜罐情报IOC情报…IOC情报生产的反向操作源IP目的IP与端口主机归属查杀建议更新规则防护措施威胁情报应用场景实践检测类情报bro-dns存储进程上下文：父子进程

主机行为

网络行为

hash值Hash分类后，找出真正的

威胁VirustotalHash情报进程信息：名称文件路径hash值响应情报：家族信息自有响应库定位到主机不变的Hash可变的IOC告警sysmonosquery无厂商提供上下文拼凑出上下文IOC情报(黑/灰)ipdomainproc_calltrace资产信息Hashlist外连1.IOC情报：奇安信判定为dorkbot微步情报判定为sinkhole

，dorkbot2.

从dns和pdns初步分析：内网中出现有大量可疑DGA域名；外连地址都指向同一个IP

：43

pdns信息为相似同类型域名3.

得出关键字威胁情报应用场景实践检测类情报43

dorkbotC2DGAsinkholeIOC情报案例,威胁情报应用场景实践检测类情报关联sysmonevent_id:3外连地址43

，发现内部某台主机已被感染；伪装进程名为mspaint.exe外连端口为3720（非常用端口）同时该主机在没有启动calc.exe程序情况下，已有进程calc.exe关键字：mspaint.exe

,calc.exe,3720威胁情报应用场景实践检测类情报1.以分析出的关键字，查询得到相关响应情报2.匹配响应情报上下文3.参考处置建议4.事件响应5.作为响应情报案例存储威胁情报应用场景实践检测类情报格式化后的响应情报响应情报-处置建议响应情报-事件描述Suricata-updateDMZ区suricataSuricata告警确认1

）通过Scirius查找告警关键字2

）查看具体的告警rule3

）优化误报规则4）反馈过滤规则scirius分支机构suricata规则自更新规则管理办公区suricata威胁情报应用场景实践检测类情报参考：/StamusNetworks/sciriushttps://github.com/OISF/suricata-update私有云suricata…核心区suricataSuricata规则的更新与管理规则情报ET

pro滤出malware

，找出真正有威胁的告警参考：https://gi/malicialab/avclassnoPUPYes忽略威胁情报应用场景实践检测类情报no部署EDR深入调查Yes家族判定Sandbox

(网络+邮箱)VirusTotalAPIHash分类服务自抓取Github泄露的apikeyHash情报EDR采集响应情报Anti-Virus批量注册账户内网蜜罐情报•横向移动VS

内网隔离VS蜜罐部署体力活！•

内网蜜罐按优先级覆盖（由外到内，优先覆盖DMZ）•减少成本，申请虚拟化主机部署（特殊区域：考虑Raspberry

Pi）•

内网蜜罐不重点伪造服务，访问/扫描即触发告警（MHN+p0f）•与真实业务服务”交互“(ARP广播，注入蜜罐IP地址…)•适当投递诱饵(如配置文件，拓扑图等)威胁情报应用场景实践检测情报类Domain告警（sinkhole

IP130+）SinkholeIP识别开源Sinkhole

IP

Sinkhole

IP迁移•PDNS

Domains•rdns

hostname•80/443http

header

/location•

TLSCertificateChain•

DNS（name

response）•

Whoisinfo(email®ister)…收集识别维度确认威胁情报应用场景实践检测情报类参考:《SinkMiner:

Mining

BotnetSinkholesforFunand

Profit》提升IOC情报命中效率威胁情报应用场景实践检IP报类参考：https://sinkdb.abuse.ch/https://github.com/brakmic/SinkholesSinkholeIP识别良性scanner（

良性IP：2600+研究机构:25）ipippdrlabsshodansonarcybergreenstretchoidprobethenetpingdomteam

cymrucensysexposuremonitoringpingzappernetcraftuniversityofnew

mexicoquadmetricsampereinnotechbinaryedgeShadowserver…收集

识别白名单过滤•rdns

hostname•80/443

http

resp•

Whois

info(email®ister)•

周期性…威胁情报应用场景实践检测情报类ScannerIP良性Scanner识别良性Scanner识别安全、研究

机构IP自动化攻击IP（如Botnet）其他IP定向攻击IP威胁情报应用场景实践检测情报类威胁情报应用场景实践响应类情报样本家族信息搜索引擎自有响应

情报业务系统逼真蜜网后台服务用户账户数据库历史漏洞邮箱诱饵(与业务混在一起)•

IP

+端口•

业务子域名•

系统服务•

账户密码•

客户端软件•

入口URL•

邮箱•

API接口…代码泄露IT资产泄露文档信息泄露邮箱信息泄露供应商信息泄露端口/服务信息历史漏洞…Github

…论坛

…百度云

…微信

…Shodan...诱饵部署与运维（

自动化）参考：https://反制措施：诱饵捆绑payload水坑（XSS/UAF

…

）钓鱼预警&反制威胁情报应用场景实践防护类情报适

配“

姿

势”内存CPUOS/p1r06u3/opencanary_web外网蜜罐情报Wifi

…MetasploitCobaltStrikeBeEFVeilShellterAvet威胁情报应用场景实践防护情报类基于外网蜜罐的反制溯源(护网期间)CobaltStrike

log03威胁情报自动化运营l

SOARl

运营场景安全运营后比较固化的成熟流程响应•剧本、手册、工作流•按逻辑组织的操作计划•在集中的位置控制、激活安全产品SOAR(Security

Orchestration,Automation,

and

Response,安全编排和自动化响应)自动化威胁情报自动化运营

SOAR编排•

自动化脚本•

可扩展产品集成•

剧本任务的机器执行•

案例存储与管理•

分析和报告•

交流与协作场景l

漏洞自动化运营场景l

邮件沙箱钓鱼场景l

自有蜜罐情报联动微信(不轻易联动防火墙)l

暴力破解(登录失败/