Questa domanda su Advanced Persistent Threats (APT) è stata pubblicata da Rich Mogull su Twitter. L'ho copiato qui perché anch'io sono curioso.
Rich ha pubblicato questi tweet di follow-up:
And by APT I mean real APT.... China specific stuff.
Netwitness/Mandiant/HBGary type stuff.
Really specialize in this. Most of what I've seen is very custom.
A causa della natura sensibile dell'APT e del fatto che è strettamente allineato allo spionaggio, l'unico vero modo per ottenere un mangime adatto sarà attraverso le agenzie governative o le forze dell'ordine nazionali.
La difficoltà sarà stabilire un livello di fiducia per consentire la condivisione delle informazioni.
Per le organizzazioni negli Stati Uniti, il consiglio è di contattare l'ufficio locale dell'FBI e organizzare un briefing sulle minacce in materia.
Per le organizzazioni all'interno del Regno Unito, quindi il contatto con CPNI (Centro per la protezione delle infrastrutture nazionali) sarebbe l'opzione migliore. Il CPNI detiene un certo numero di forum specifici per lo scambio di informazioni che possono essere di aiuto. Tuttavia, vale la pena notare che CPNI si concentra sull'infrastruttura nazionale critica per il Regno Unito e se la tua organizzazione non rientra in questo potrebbe avere un impatto sull'accesso.
Non so se hanno feed SIEM / IDS specifici, ma una buona fonte di informazioni è stata storicamente iDefense (ora parte di Verisign - link ).
Storicamente (prima della ricerca sulla sicurezza per ora sono più noti) iDefense era un'organizzazione di intelligence commerciale, e passava molto tempo a rintracciare criminalità organizzata e gruppi di malware per conto dei loro clienti.
Posta la proprietà di HBGary, sembra che endgames.us offra questi servizi.
Personalmente, vorrei combinare DShield con i dati SHODAN e iniziare a costruire il tuo.t