安全运营工具开发
IOC Explorer
IOC: Indicator of Compromise
关联失陷指标是安全事件调查乃至威胁狩猎的重要步骤。发现一个主机的IP地址与多个恶意文件存在关联,并且进一步确认这个主机旨在提供恶意文件下载服务,该发现有助于让安全运营团队实施更加有效的安全预防措施,比如:阻断内部主机与该恶意IP的访问连接。
IOC Explorer旨在协助分析人员在所有可用的威胁情报源中自动执行迭代查询,并在所有失陷指标间构建清晰的树状关系结果。在减轻了人工负担的同时,该工具也会协助分析人员发现更多调查线索。
威胁发现设备
TDA:Threat Discovery Appliance
这个概念主要围绕威胁的发现、定位和处置。常常是软硬件结合的,需要专家经验的(当然,自动化是方向)。
全流量检测设备
部署场景主要为以下几种:
-
内网部署,连接内网交换机端口镜像进行流量采集
-
出口部署,连接网络出口交换机的镜像端口
-
分布式探针部署,探针模式,并常采用分布式部署进行流量采集
-
骨干网部署,高带宽场景下,对采集率和还原能力有特别的要求
-
便携式部署,使用特定的硬件设备,可随身携带进行检测