CloudSecurityAlliance/cti
GitHub: CloudSecurityAlliance/cti
面向 AWS、Azure、GCP 的云威胁情报仓库,通过 STIX/CAVEaT 格式提供针对具体云平台的可操作缓解措施和检测即代码实现。
Stars: 0 | Forks: 2
# Cloud Security Alliance CTI 仓库
## 独特的云威胁情报方法
传统的 CTI 通常主要关注数百种不同安全产品的指标和通用缓解措施,与此不同的是,Cloud Security Alliance CTI 采用了一种独特的方法:
1. **针对特定 Provider 的缓解措施**:我们专注于为主要云提供商(AWS、Azure、GCP)提供可操作的、具体的缓解步骤。我们提供准确的控制台路径、CLI 命令、API 调用和基础设施即代码示例来实现保护,而不是泛泛的建议。
2. **全球覆盖**:云环境支持在传统环境中根本无法实现的全球性保护操作。单个 AWS 安全策略或 Azure 控制措施就可以保护全球范围内的资源,这使得缓解措施更加有力且全面。
3. **标准化的服务**:与本地安全产品碎片化的现状(数百家防火墙供应商、IDS 系统等)不同,云提供商提供具有一致安全接口的标准化服务,从而允许提供更精确、更可靠的缓解指导。
4. **检测即代码 (Detection as Code)**:我们使用 AWS GuardDuty、Azure Sentinel 或 GCP Security Command Center 等云原生工具提供实际的检测实现,而不仅仅是概念性的检测策略。
## STIX 格式与扩展
本仓库包含 STIX 格式的 Cloud Adversarial Vectors, Exploits, and Threats (CAVEaT) 数据,并带有自定义扩展以支持:
- 特定于云的战术和技术
- 特定于 Provider 的缓解步骤
- 用于安全控制的基础设施即代码示例
- 到云提供商安全服务的映射
- 指向官方文档和服务公告的链接
## CAVEaT 框架
Cloud Adversarial, Vectors, and Threats (CAVEaT) 专注于记录在案的云攻击向量和基于证据的缓解措施:
- [WG-CAVEaT 主仓库](https://github.com/CloudSecurityAlliance-WG/WG-CAVEaT)
- [Circle 中的 WG-CAVEaT 工作组](https://circle.cloudsecurityalliance.org/community-home1?communitykey=cce2fd58-ba71-4280-9e3d-018c352d4100)
- [CAVEaT Chatbot v3](https://chatgpt.com/g/g-xXpnPwHaD-cloud-adversarial-vectors-and-threat-solutions-v3)
- [CAVEaT Chatbot v2](https://csaurl.org/CAVEaT-Chatbot)
- [Chatbot 数据仓库](https://github.com/Cloudsecurityalliance-Chatbots/chatbot-CAVEaT-data)
使用 Chatbot 创建条目的示例:[https://chatgpt.com/share/67356abd-a78c-8013-91b1-473053aea9c2](https://chatgpt.com/share/67356abd-a78c-8013-91b1-473053aea9c2)
## 策略:基于证据的威胁识别
我们通过观察提供商在安全功能上的投资来识别重大的云威胁。当云提供商投入大量资源(通常是数十万或数百万美元)来开发新的安全服务时,这预示着这些威胁已经严重到值得关注。
示例包括:
- AWS GuardDuty Malware Protection for S3
- Microsoft Defender for Cloud
- GCP Security Command Center
这些投资揭示了主要提供商的安全团队认为最关键的威胁。
## 我们监控的来源
TODO:添加对以下内容的支持:
- 官方云提供商安全公告和博客
- API 和 IAM 变更跟踪器:
- [AWS API 变更](https://awsapichanges.com/)
- [AWS IAM 变更](https://awsiamchanges.com/)
- [GCP API 变更](https://gcpapichanges.com/)
- [Azure IAM 变更](https://azureiamchanges.com/)
- 安全博客,特别是产品发布公告(例如,[Cloudflare Security](https://blog.cloudflare.com/tag/security/))
- 特定于云服务的 CVE
- 关于云漏洞的安全研究出版物
### 用于 CTI 数据贡献的 Git 仓库设置
要为 CTI 仓库做出贡献:
1. **Fork 该仓库**:
- 访问 https://github.com/CloudSecurityAlliance/cti/
- 点击右上角的“Fork”按钮
- 这将在您的 GitHub 账户下创建该仓库的您自己的副本
2. **在本地 Clone 您的 Fork**:
git clone https://github.com/YOUR-USERNAME/cti.git
cd cti
3. **添加 upstream remote**:
git remote add upstream https://github.com/CloudSecurityAlliance/cti.git
这允许您保持您的 Fork 与主仓库同步。
4. **为您的工作创建一个分支**:
git checkout -b feature/your-feature-name
5. **进行更改、commit 并推送到您的 Fork**:
git add .
git commit -m "Description of your changes"
git push origin feature/your-feature-name
6. **创建 Pull Request**:
- 在 GitHub 上访问您的 Fork
- 点击“Pull Request”
- 选择您的分支和主仓库的 main 分支
- 提供对您更改的描述
- 提交 pull request
### 使用 WG-CAVEaT 工具
Cloud Security Alliance CAVEaT 工作组提供了各种工具,以帮助创建、验证和管理针对云威胁的 STIX 数据:
1. **访问工具仓库**:
- 访问 https://github.com/CloudSecurityAlliance-WG/WG-CAVEaT
- 该仓库包含专门为处理云威胁情报而设计的工具、模板和实用程序
2. **使用 Model Context Protocol 设置本地环境**:
- 按照 WG-CAVEaT 仓库中的设置说明,为 AI 助手配置本地文件访问权限
- 这使得 STIX 对象的创建和验证更加高效
3. **使用提供的模板**:
- 该仓库包含了针对常见云攻击模式的模板
- 这些模板有助于确保各项贡献之间的一致性
4. **利用 CAVEaT Chatbot 提示词**:
- 该仓库包含用于与 AI 助手配合的专用提示词
- 这些提示词有助于指导创建结构良好的 STIX 对象
有关使用这些工具的详细说明,请参阅 [WG-CAVEaT 仓库](https://github.com/CloudSecurityAlliance-WG/WG-CAVEaT)。
## 许可证
CC0 1.0 Universal (CC0 1.0) Public Domain Dedication
标签:AWS安全, Azure安全, GCP安全, Homebrew安装, STIX, 威胁情报, 安全合规, 开发者工具, 漏洞利用检测, 网络代理