¿Alguno de ustedes que está * realmente * relacionado con APT tiene alguna información de inteligencia recomendada para SIEM / IDS / etc?

12

Esta pregunta sobre amenazas persistentes avanzadas (APT) fue publicada por Rich Mogull en twitter. Lo copié aquí porque también tengo curiosidad.

Rich publicó estos tweets de seguimiento:

  

Y por APT me refiero a real APT .... Cosas específicas de China.
  Cosas de tipo Netwitness / Mandiant / HBGary.
  Realmente se especializan en esto. La mayoría de lo que he visto es muy personalizado.

    
pregunta Tate Hansen 03.01.2011 - 22:57
fuente

3 respuestas

7

Debido a la naturaleza sensible de la APT y que está estrechamente relacionada con el espionaje, la única forma real de obtener un alimento adecuado será a través de agencias gubernamentales o nacionales encargadas de hacer cumplir la ley.

La dificultad estará en establecer un nivel de confianza para permitir el intercambio de información.

Para organizaciones dentro de los EE. UU., el consejo es ponerse en contacto con la oficina local del FBI y organizar una reunión informativa sobre la amenaza sobre el tema.

Para las organizaciones dentro del Reino Unido, la mejor opción sería hacer contacto con CPNI (Centro para la Protección de Infraestructura Nacional). CPNI tiene una serie de foros de 'Intercambio de información' específicos de la industria que pueden ser de ayuda. Sin embargo, vale la pena señalar que CPNI se enfoca en la infraestructura nacional crítica para el Reino Unido y si su organización se sale de esto, puede impactar en el acceso a eso.

    
respondido por el David Stubley 06.01.2011 - 10:41
fuente
3

No sé si tienen feeds SIEM / IDS específicos, pero una buena fuente de inteligencia históricamente ha sido iDefense (ahora parte de Verisign - enlace ).

Históricamente (antes de la investigación de seguridad, son más conocidos por ahora) iDefense era una organización de inteligencia comercial y pasaba mucho tiempo rastreando la delincuencia organizada y los grupos de malware en nombre de sus clientes.

    
respondido por el Justin Clarke 06.01.2011 - 16:37
fuente
1

Publique que HBGary es propietario, parece que endgames.us ofrece estos servicios.

Personalmente, me gustaría combinar DShield con los datos de SHODAN y comenzar a construir tu propio.

    
respondido por el atdre 28.03.2011 - 08:39
fuente

Lea otras preguntas en las etiquetas