APT)を*本当に*扱っているあなたは、SIEM / IDS / etcに推奨されるインテリジェンスフィードを持っていますか?
Advanced Persistent Threats(APT)に関するこの質問は、Twitterの Rich Mogull によって投稿されました。私も興味があるので、ここにコピーしました。
リッチはこれらのフォローアップツイートを投稿しました:
そしてAPTとはrealAPT ....中国固有のもの。
Netwitness/Mandiant/HBGaryタイプのもの。
本当にこれに特化しています。私が見たもののほとんどは非常にカスタムです。
APT=のデリケートな性質とスパイ活動に密接に関連しているため、適切なフィードを取得する実際の方法は、政府または国家の法執行機関を経由することのみです。
情報の共有を可能にする信頼レベルを確立することは困難です。
米国内の組織の場合、アドバイスは、お近くのFBI現地事務所に連絡し、この件に関する脅威のブリーフィングを手配することです。
英国内の組織の場合、CPNI(国家インフラ保護センター)に連絡するのが最善の選択肢です。 CPNIは、役立つ可能性のある業界固有の「情報交換」フォーラムを多数開催しています。ただし、CPNIは英国にとって重要な国家インフラに重点を置いており、組織がこれに当てはまらない場合、英国へのアクセスに影響を与える可能性があることに注意してください。
特定のSIEM/IDSフィードがあるかどうかはわかりませんが、優れたインテリジェンスソースは歴史的にiDefense(現在はVerisignの一部です http://labs.idefense.com/ )です。
歴史的には(現在はより有名なセキュリティ研究以前)iDefenseは商業諜報機関であり、クライアントに代わって組織犯罪やマルウェアグループの追跡に多くの時間を費やしていました。
HBGaryが所有されるようになった後、 endgames.us がこれらのサービスを提供しているようです。
個人的には、DShieldとSHODANデータを組み合わせて自分で構築します。