昨天,趁着中午雾霾还不严重的时候,小编,早早的启程去下午的ASRC组织的雷峰沙龙北京站。

这届会议的主题是威胁情报。地点是在北京西城区的北京金台饭店。

第一个议题是flashsky分享的《基于组织视角的威胁情报》。

Flashsky告诉了大家,情报学是一门有针对性收集和分析对手的学问。情报具有机密性,反情报学在情报学里也是非常重要的。在公司里,情报是帮助组织获得竞争优势,同时也是能成为防御体系的重要一部分。在对付黑产中,掌握自己的生态环节是至关重要的一部分。

从信源到情报,情报和反情报是一体的。在信息安全中,蜜罐等都属于信息对抗里的威胁情报范畴。什么是安全情报?哪些又属于安全情报?

威胁情报的核心是事件视角到威胁视角。

以事件为中心,是自然安全的视角,而公司的威胁情报应该是以威胁视角为中心。

离开了威胁的视角,那这个情报分析就不能很好的分析。

同时情报的分析又要分一定的阶梯来分析。

同时flashsky又为我们共享了阿里巴巴作出的威胁情报分析规则和标准。

听了,flashsky的演讲,真是大长见识。

第二个议题是TSRC的flyh4t的《TSRC威胁情报奖励计划实践》。

Flyh4t是目前TSRC的负责人。

目前TSRC平台原漏洞响应计划升级为威胁情报响应计划。原本不收集威胁情报的,如今开始收集和腾讯有关的第三方关系的威胁情报。

每个公司都应该建立属于自己的安全威胁情报体系,就像Flyh4t举例的那样,当初他和国内一些同样兴趣爱好的黑客建立了一个论坛,人数很少且互相认识,有一天,论坛被黑了,实在想不到是为啥,后来追踪到是其中一名会员被社了,而这么会员被社是因为另外一个他经常登的论坛被爆漏洞,拿到了他的密码。

所以威胁情报不仅仅是只和自己有关的情报,同时也要关注其他东西的威胁是否也会波及到自己的公司和用户。

今年的XcodeGhost事件,Flyh4t介绍说在很早就已经追踪到这名作者,同时也发现微信某一个版本会发送一些奇怪的数据到公网其他IP上。然后在短短的那几天里,马上扫描ios的各种产品是否发生这类奇怪的行为。

同时威胁情报的价值要综合考虑,尽量以最大威胁方向考虑。

最后,Flyh4t向我们介绍了新的TSRC奖励计划。

第三个议题是赵武的《白帽汇-“开源”情报平台介绍》。

因第三个议题有点敏感,演讲者要求不要拍照。所以这个议题很少有照片.

赵武告诉我们在威胁情报方面,很多情况下,企业漏洞修复了以后,并不会因为这个漏洞的原因从而改变公司的网络体系,也不会因为一个漏洞的修复从而改变关键人物的联系方式或者帐号。

所以很多公开在wooyun上,github上,各种库的论坛上,这些数据都是长期有效的。

很多黑客可以通过这些公开的数据关联上很多有用的数据,同时也可以通过这些公开的数据来进行二次攻击。如今我们应该快点建立起威胁情报的标准和规则,然后各大公司之间应该共享这些威胁情报,从而实现利益上的双赢。

随后,赵武演示了通过马化腾这个名字,如何拿到马总的电话号码,公司邮箱和车牌号。因为演示不许拍照,所以小编在这无法提供演示的各种详情,总之是很炫酷了。

最后一个议题是:iceyes的《ASRC威胁情报收集计划分享》。

老马哥哥,在这边给我们带来了压轴的议题。

纵观ASRC的建设历史,威胁情报对公司的业务和体系越来越重要。

老马哥哥介绍了阿里巴巴的威胁情报体系,如今的阿里威胁情报体系的主要数据来源:开源,联盟合作,社区扫描器,奖励计划。

关心的问题:云安全,电商安全,和支付安全。

遇到的问题:白帽子的参与度(对威胁情报的理解)、运营推进流程、对业务安全的理解。

可能的风险:法律风险(数据来源途径)、隐私保护。

最后,感谢阿里提供给我们这些关注“威胁情报”的人们一个交流探讨的平台,也希望“威胁情报”能在中国的安全圈里被越来越多的人和企业重视,它的价值能被更大程度的挖掘和利用。