1、威胁情报的应用现状 2、为什么需要内生情报 3、本地化检测技术方法 4、现实的APT检测案例

数字化转型给企业带来更大的安全风险 网络安全计划与业务发展并进 数字化转型要求网络安全团队主动识别风险 大型企业所面临的安全困境 以情报为核心构建新业态下的安全体系 从威胁出发，构建动态安全体系 打破组织壁垒，构建动态运营管理机制 通过六步走，将内部威胁情报精准化场景化 1.结合业务场景，从攻击者视角，明确监控领域 2.进一步细化识别安全关键因素 3.利用安全因素，细化梳理安全监控指标 4.对安全监控指标进行赋值计算 5.通过大量情报数据，对模型进行训练 6.对模型有效性进行验证，达到持续改进

威胁情报本身是一种历史记录，用于参考，类似于人的信用，让网络中的各个字段也有信用。用数据驱动安全，在攻击者进行攻击时，自动匹配攻击者所使用的网络各个字段的信用，信用低者必将引起注意。威胁情报的来源一般分为由商业产品、开源产品提供的外部情报和由日志平台、FW、WAF、蜜罐等系统提供的内部情报。威胁情报的分类整理是落地应用的基石，所有的分析与应用均应基于此展开。 当前，企业安全普遍面临着防护系统各自为营、海量告警日志人工处理不及时、没有规则就无法发现其他异常流量，很多告警发出后却没有相应的应急响应等痛点。将威胁情报、日志和流量进行关联分析，对分析结果进行自动和人工响应，来补充已部署的各种安全设备和防护系统做不到的防护，通过这些我们才能更清楚地看清生产网络中黑或灰色流量究竟是什么。 公司介绍 威胁情报的价值 威胁情报的分类 威胁情报的来源 生产网络中的应用 深度挖掘

针对企业的定向攻击所具有的技战术多样、过程复杂等特点使得传统的单纯从防御角度出发的防护手段已经力不从心。除传统的被动防御手段外，企业可以利用威胁情报主动地对威胁形势进行预判、感知从而采取预防性的部署。而攻击者对技战术、工具的复用也使得威胁情报可以有效抵御攻击。 卡巴斯基安全服务 卡巴斯基威胁情报中心 威胁情报源 威胁数据馈送 威胁数据支持多种平台 卡巴斯基威胁查询 内部报告 卡巴斯基APT报告 Pyramid of paini 威胁情报报告中的TTP 将TTP转化为检测能力

鸣谢 序言 概览 寻找适合你的评估共享计划 建立共享关系 评估交换平台的能力 建立信任 参与者匿名保护以及数据清除(Data Sanitization) 开放标准 自动化 规模化分析 同业组织小团体(enclaves) 时间同步 在你加入之前为成功构建基石 捕获内部事件威胁 考虑如何使用情报观点 衡量是否参与和价值 制定策略 入门威胁情报交换操作指南 威胁情报交换框架 识别可疑事件 收集相关事件数据 决策如何去共享数据以及与何人共享 事件反馈与关联的监控器 评估合作响应的需要 下一步号召行动 附录 A共享事件信息示例 附录 B额外资源

现状&目标 情报几种分类 情报整合 情报流转 安全运营 安全运营+情报 攻陷分析 决策支持 溯源画像 主动防御 建立行业情报意义 行业情报共享原则 行业情报共享面临问题

一、概述－《威胁情报技术和市场指南报告》 二、应用场景及主要价值 三、案例：通过威胁情报分析行业风险 四、市场现状 五、局限性、挑战和趋势 六、资源

议题概要： 1、终端威胁情报的意义和价值，既是威胁的重灾区，又是威胁情报的主产地。 2、如何获得终端威胁情报，强大的本地引擎和安全运营体系。 3、打开百宝箱——终端威胁情报的深度发掘和产出。

About this guide Terms and definitions Incident Response Basics Attack lifecycle (kill chain) Incident response steps Recommended IR process and rules Preparation Identification Incident triggers Prioritization guidelines Analyzing incidents in SIEM Containment Eradication Recovery Lessons learned Incident response example The attack plan The incident response Preparation (example) Identification (example) Containment (example) Eradication and Recovery (example) Lessons learned (example) Recommended tools and utilities Tools for collecting IOC Sysinternals utilities Tools for creating dumps GRR Rapid Response Forensic Toolkit dd utility Belkasoft RAM Capturer Tools for analysis Kaspersky Threat Intelligence Portal Tools for analyzing memory dumps Tools for analyzing hard disk dumps Strings utility Tools for eradication Kaspersky Virus Removal Tool Kaspersky Rescue Disk AO Kaspersky Lab Trademark notices

目录 态势感知 ·概述 ·关键因素 ·关键技术 威胁情报 ·检测中的作用 ·事件响应中的作用 ·预警、预防 小结 威胁情报是现阶段保障态势感知项目实效，最有力的工具 多种类型的威胁情报保障安全生命周期全过程 关联分析平台的作用不仅是攻击溯源，可以通过多种方式对攻击进行定性分析