写威胁情报
阿旺是学习信息安全的高职学生,信安相关的知识技能七七八八也努力学了一堆,基本功算是扎实。大三时他成功的找了一家小的安全服务公司实习。到公司报道的第一天,组长给他分了一个小任务,让他每周写一份威胁情报发给相关客户。组长说之前都是用Python爬虫把网上资源爬下来,然后再自己筛选几条主要的信息进行组合排版就可以了。可阿旺还想深入了解一下威胁情报的作用,也想了解一下每个客户需要什么样的威胁情报,他觉得这样才能给客户更好的信息服务。阿旺自己默默思索了一下,这份工作可以分以下几个部份来做。
跟老员工学一下,看他怎么一步步做的,用的什么工具?之前的威胁情报也翻来仔细看看。(难度:1颗心)
自己网上查查威胁情报的来龙去脉,了解一下行业情况,学习怎么写更贴合的威胁情报。(难度:1颗心)
了解一下客户情况,通过网上查询和查阅公司资料库,或者和各个驻场工程师聊聊,尽量了解客户环境,以便筛选出更适合他们的威胁情报。(难度:2颗心)
还可以在收集威胁情报的过程中多阅读学习一些相关知识,并且学习如何用编程完成自动操作。(难度:3颗心)
阿旺想清楚后撸起袖子就加油干了起来。组长帮阿旺找到一直做威胁情报工作的老康:“康师傅,你带阿旺做一次威胁情报吧,后面就阿旺来出情报了。” 阿旺拖了旁边的椅子坐下,竖着耳朵仔细听老康的讲解和演示,十分钟差不多就搞清楚老康的做法了(如果老康说话利索点,估计阿旺还能更快)。阿旺本想坐在老康旁边看他操作,但是老康露出了尴尬的笑容。阿旺心想:“老康应该是不习惯也不乐意别人坐旁边盯着他干活儿,我只需要知道关键的几步就行了,具体怎么写威胁情报可以自己创作啊,确实也没必要坐在这里。” 于是阿旺说:“康师傅,这样吧,你做好后把文档发我看看就行了,我先回去自己研究一下。”老康点点头,长嘘了一口气,彼此内心都感觉轻松多了。
回到自己的工位,阿旺把老康教的先捋了一遍,用电子文档记录好,方便以后工作时直接查看调用。阿旺想:“老康教的虽然简单,但都是实打实的经验啊,有些实用价值。我可以在这个基础上迭代优化,但首先我得摸熟练他的这个步骤。”
老康教的步骤如下:
到github上找这个资源,这个是别人写的爬虫,每天会定期爬数据出来,https://github.com/VulnTotal-Team/yarb/tree/main/archive/2023,在这个步骤上,老康建议自己把爬虫程序下载到本地,用python3去跑,这样可以避免线上资源突然没有的尴尬局面。还可以根据自己的需要修改这个爬虫程序。
2、把最近7天的资源都阅览一遍,然后按照操作系统漏洞(Windows和Linux)——办公环境相关漏洞(办公软件如浏览器、数据库等相关漏洞)——恶意IP等进行搜集整理,写到模板上。
3、把写好的威胁情况上传到公司项目资源库(用开源的seatable做的),组长会进行审核,审核通过后由组长发给相关客户。
阿旺把这个步骤理完并阅读了一份老康写的历史威胁情报,这时候他抬起头看看时间,差不多已经过去3小时了。 阿旺接了一杯水走到窗前看看远方,休息一下眼睛。然后他继续干起来,他想了想,再花2小时阅读一下威胁情报相关的知识和内容,明天就可以尝试自己写一份威胁情报了。后面就在这个基础上每周迭代更新自己的知识库,应该差不多一天就能完成本周的威胁情报攥写吧。如果专业知识提升了,阅读会很快的,应该半天也就可以了。
上班第一天就要结束了,阿旺分析了今天的收获:
1、上午入职培训了解了公司现在的情况,大概有什么项目和产品,也得到了自己的任务分配,写威胁情报,其余时间跟着项目组跑,去观摩学习并跟进项目进度。
2、初步学习了如何写威胁情报。
阿旺对今天的收获不是很满意,他觉得还应该多阅读一些威胁情报或者多看看公司目前的项目情况和各个报告并学习一些专业知识,不管怎么说,今天就先这样了,下班了还是要做点生活相关的事情,比如锻炼一下身体,打打球跑跑步,或者做点好吃的,干点自己感兴趣的其他事情。
