终于明白什么是威胁情报
威胁情报初探
什么是威胁情报,其实安全圈一直在使用着它们,漏洞库、指纹库、IP信誉库,它们都是威胁情报的一部分。情报就是线索,威胁情报就是为了还原已发生的攻击和预测未发生的攻击所需要的一切线索。“所谓的威胁情报就是帮助我们发现威胁,并进行处置的相应知识。这种知识就是我们所说的威胁情报”。
威胁情报有啥用?
互联网安全曾经历经了流氓互殴,侠客对决、黑社会火并等等阶段,现在已经形成了攻击者有组织有预谋,防御者有侦查有战术的局面——无论是攻击还是防御,都超越了点对点的战术,而越来越倚仗于全面的战法。简单来说,就是搞安全的不仅要看编程指南,还要看孙子兵法了。既然是正规军对垒,战法就要变得相对立体。所谓知己知彼,百战不殆。威胁情报,就像是八百里加急快报送来的敌情。
二战中,盟军依靠计算机之父图灵的天才破解了德国的密码,得知德国马上要对考文垂进行轰炸(月光奏鸣曲计划)。但是为了争取更大的决定性胜利,盟军选择不让德国人知道对手已经破译了其密码。因此盟军方面没有对考文垂进行有针对性的的防御措施。于是德国人相信其密码依然是安全的,从而一步步走进了盟军的圈套。
在威胁情报中,安全公司同样运用类似的方法和黑客斗法。例如:穿梭各大安全论坛,装作黑客的样子,开心地与之讨论最近哪种攻击方式最流行,有哪些漏洞可以利用。然后回家修补漏洞。
于是,通过威胁情报,企业会对未来的攻击拥有免疫力,这就彻底改变了原本的攻防态势。原来也许黑客可以用上整整一年的攻击手段,一旦进入威胁情报,就被重点监控。如果攻击者第二次还在用同样的后门,就等于主动跑到了探照灯下。
某大神爆料,目前美国正在有计划有组织地曝光其他国家对其基础设施发动的攻击。这句话让人细思极恐,这表明美国已经拥有了一份精准的威胁情报,对其攻击者的攻击路径已经了如指掌。为了不打草惊蛇,其中有60%-70%的攻击路径,美国并没有曝光。没错,美国正在静静地看对手装X。
威胁情报给谁用?
从个人角度,如果提供代理IP,刷流量的人想要(绕过IP限制);如果提供僵尸网络IP,安全防御者想要,其实攻击者也想要,攻击者要的总是比防御者多,所以Ta们更能达到目的。
从公司角度而言,先说项目之间,做WAF的、做扫描器的、做漏洞管理平台的可以交换漏洞信息,做杀毒的和入侵检测的可以交换恶意样本信息,做业务欺诈的和做网络攻防的可以交换IP信誉信息,这些都是为了做到内部资源(扫描器,WAF,IPS等安全组件)甚至外部资源(开源资源集合、厂商资源交换)的整合(现状是公司越大,这些信息越碎片化),整合才能起到协同防御的效果,才能有能力地进行深度分析去发现真正有价值的攻击事件与高级的难以发现的APT定点攻击事件。
过去,我们将太多的精力放在实时防御上面,但并没有将威胁完全挡住,这个时代已经过去了。我们需要建立一个完整的防御体系,从防御、检测到响应,甚至通过威胁情报将攻击事件的预测做起来,而这一切的核心就是要掌握海量的数据,并具备强大的数据分析能力。威胁情报,是面向新的威胁形式,防御思路从过去的基于漏洞为中心的方法,进化成基于威胁为中心的方法的必然结果,它和大数据安全分析、基于攻击链的纵深防御等思想正在形成新一代的防御体系的基石。
威胁情报分类总结
- 战略威胁情报
战略威胁情报(Strategic Threat Intelligence)提供一个全局视角看待威胁环境和业务问题,它的目的是告知执行董事会和高层人员的决策。战略威胁情报通常不涉及技术性情报,主要涵盖诸如网络攻击活动的财务影响、攻击趋势以及可能影响高层商业决策的领域。 - 运营威胁情报
运营威胁情报(Operational Threat Intelligence)与具体的、即将发生的或预计发生的攻击有关。它帮助高级安全人员预测何时何地会发生攻击,并进行针对性的防御。 - 战术威胁情报
战术威胁情报(Tactical Threat Intelligence)关注于攻击者的TTP,其与针对特定行业或地理区域范围的攻击者使用的特定攻击向量有关。并且由类似应急响应人员确保面对此类威胁攻击准备好相应的响应和行动策略。 - 技术威胁情报
技术威胁情报(Technical Threat Intelligence)主要是失陷标识,可以自动识别和阻断恶意攻击行为。
当前,业内更广泛应用的威胁情报主要还是在技术威胁情报层面。前面论述的也主要是TTI,是狭义的威胁情报,其主要内容为用于识别和检测威胁的失陷标识,如文件HASH,IP,域名,程序运行路径,注册表项等,以及相关的归属标签。
参考文章:
https://www.cnblogs.com/achao123/p/4980591.html
https://baike.baidu.com/item/%E5%A8%81%E8%83%81%E6%83%85%E6%8A%A5/23311172?fr=aladdin
终于明白什么是威胁情报相关推荐
- “威胁情报”在手,反黑客终于有地图了!
安全是一场攻防战,那么,如今这样的攻防战发展到了什么level了呢?日前,安全领域的大神们进行了一场闭门研讨 .大神们表示,如今要想保证自己的安全,你不仅需要武器,还需要侦察兵,需要一份威胁情报. 纳 ...
- 深度学习——从网络威胁情报中收集TTPs
从网络威胁情报中收集TTPs 摘要 为啥要用网络威胁情报 被动防御 & 主动防御 网络威胁情报的概念 何为情报(Intelligence)? 何为网络威胁(Cyber Threat)? 何为网 ...
- 被安全数据淹没?如何令威胁情报为你服务
本文讲的是被安全数据淹没?如何令威胁情报为你服务,公司该怎样运作风险和安全项目?更具体点,大数据时代,公司该怎样运作其威胁情报处理? 很多公司貌似认为自己知道打开他们企业王国大门的钥匙是什么,以及入口 ...
- 国外开源威胁情报feed站点 简介
目录 1 blocklist.de 2 openphish.com 3 www.malwaredomains.com 4 spamhaus 5 vx ...
- 看完这篇文章之后,终于明白了编译到底怎么回事。
看完这篇文章之后,终于明白了编译到底怎么回事. 1 对于同一个语句,有如下三种:高级语言.低级语言.机器语言的表示 C语言 a=b+1; 汇编语言 mov -0xc(%ebp),%eax add ...
- 看完这篇文章之后,终于明白了编译到底怎么回事
看完这篇文章之后,终于明白了编译到底怎么回事. 1 对于同一个语句,有如下三种:高级语言.低级语言.机器语言的表示 C语言 a=b+1; 汇编语言 mov -0xc(%ebp),%eax add ...
- 网络钓鱼者钓到威胁情报公司的身上 黑客惨遭溯源
黑客和互联网诈骗未必总是复杂高端的.域名中一个小小的迷惑性拼写错误,黑客就可以伪装成高管给员工下令转账.这种诈骗形式被称为钓鲸或商业电子邮件攻击. 诈骗者研究管理钱款的员工,用公司惯用语言针对那些通常 ...
- 迈克菲实验室:仅42%的网络安全专业人士使用共享威胁情报
Intel Security 近日公布了<迈克菲实验室威胁报告:2016 年 3 月刊>,报告评估了 500 位网络安全专业人士对于共享网络威胁情报 (CTI) 的看法,探讨了 Adwin ...
- 威胁情报大会直击 | 企业IT部王森:腾讯企业终端安全管理最佳实践
8月29日,2018网络安全分析与情报大会在北京新云南皇冠假日酒店正式开幕,本次大会由国内威胁情报领军企业微步在线主办,十数位来自政府.央企.金融.互联网等一线公司的安全专家将对威胁情报的落地应用进行 ...
最新文章
- J-Link该如何升级固件?
- c语言二级考试基础知识,2018年计算机二级考试《C语言》考点:C语言基础知识...
- cat /etc/redhat-release 查看centos版本
- 大数据分析有几种方法
- MVC之使用Nhibernate
- 想进入互联网公司,怎能不知道互联网的技术架构!
- 案例应用|如何借助SPC软件实现汽车零配件品质管理
- python计算两点间距离_已知经纬度坐标求两点间距离,用python表示
- 74ls20设计半加器_实验二++组合逻辑电路的设计与测试.ppt
- nginx上传文件大小报错500的解决办法
- 数值分析中MATLAB的应用
- 如何将带Dxperience组件的Asp.net 2.0网站部署到服务器(转载)
- 在Linux下安装hping3
- Windows系统怎么使用TeamViewer打印
- Scrapy之10行代码爬下电影天堂全站
- MySQL主从架构、读写分离、集群相关面试问题
- Java 后端工程师的书单推荐,周立功linux开发教程
- Firefox在线安装Firebug插件
- matlab 洛朗展开,将函数在圆环内展开成洛朗级数
- 【图像识别】简单验证码识别