資安專家和安全團隊如何利用社群媒體收集可用來保護其組織的威脅情報?

本文重點:
- 使用社群媒體情報(SOCMINT)
使用社群媒體情報(SOCMINT)
社群媒體平台可以讓使用者和組織進行通訊和分享資訊。而對資安專家來說,它可能不僅僅是個網路工具。還是個能夠提供從漏洞、漏洞攻擊碼和惡意軟體到惡意份子及異常網路活動等有價值資訊的來源。事實上,有44%的受訪組織提到社群媒體情報(SOCMINT)對其數位風險保護解決方案的重要性。
我們開發了用來檢查 Twitter上資料和案例研究的工具,以了解如何利用社群媒體來收集可供行動的威脅情報。好的一面:社群媒體可以成為另一個資訊來源,只要經過驗證就可以用來保護組織對抗威脅。壞的一面:社群媒體可能被利用來破壞公眾人物或組織的聲譽。
我們的研究還揭示了一些警告。社群媒體情報(SOCMINT)可以進一步為研究人員提供脈絡資訊,或讓企業的資安團隊有更多資料可以用來保護線上資產。但這需要脈絡資訊、準確性和可靠性才能真正有用。使用社群媒體情報(SOCMINT)的資安專家必須在將資料整合進企業的網路安全解決方案和策略前先加以審查。
透過Twitter收集威脅情報
處理社群媒體資料
從社群媒體管道收集威脅情報需要可被處理、分析、驗證和能夠提供脈絡的資料。
有多種方法可以取得原始資料。有開放原始碼的情報工具(如TWINT)能夠抓取資料,或用公開的Twitter串流API來收集樣本資料進行分析。另一種作法是對現有資料集進行更深入的研究,例如被美國政治數據分析網站FiveThirtyEight用來分析酸民推文的資料集。而我們的研究使用了Twitter公開API,因為它符合Twitter的服務條款和使用政策。我們還將本研究所有得到的入侵指標(IoC)回報給Twitter。
繼續閱讀