Esta pregunta sobre amenazas persistentes avanzadas (APT) fue publicada por Rich Mogull en twitter. Lo copié aquí porque también tengo curiosidad.
Rich publicó estos tweets de seguimiento:
Y por APT me refiero a real APT .... Cosas específicas de China.
Cosas de tipo Netwitness / Mandiant / HBGary.
Realmente se especializan en esto. La mayoría de lo que he visto es muy personalizado.
Debido a la naturaleza sensible de la APT y que está estrechamente relacionada con el espionaje, la única forma real de obtener un alimento adecuado será a través de agencias gubernamentales o nacionales encargadas de hacer cumplir la ley.
La dificultad estará en establecer un nivel de confianza para permitir el intercambio de información.
Para organizaciones dentro de los EE. UU., el consejo es ponerse en contacto con la oficina local del FBI y organizar una reunión informativa sobre la amenaza sobre el tema.
Para las organizaciones dentro del Reino Unido, la mejor opción sería hacer contacto con CPNI (Centro para la Protección de Infraestructura Nacional). CPNI tiene una serie de foros de 'Intercambio de información' específicos de la industria que pueden ser de ayuda. Sin embargo, vale la pena señalar que CPNI se enfoca en la infraestructura nacional crítica para el Reino Unido y si su organización se sale de esto, puede impactar en el acceso a eso.
No sé si tienen feeds SIEM / IDS específicos, pero una buena fuente de inteligencia históricamente ha sido iDefense (ahora parte de Verisign - enlace ).
Históricamente (antes de la investigación de seguridad, son más conocidos por ahora) iDefense era una organización de inteligencia comercial y pasaba mucho tiempo rastreando la delincuencia organizada y los grupos de malware en nombre de sus clientes.
Publique que HBGary es propietario, parece que endgames.us ofrece estos servicios.
Personalmente, me gustaría combinar DShield con los datos de SHODAN y comenzar a construir tu propio.