什么是威胁情报,其实安全圈一直在使用着它们,漏洞库、指纹库、IP信誉库,它们都是威胁情报的一部分。情报就是线索,威胁情报就是为了还原已发生的攻击和预测未发生的攻击所需要的一切线索。“所谓的威胁情报就是帮助我们发现威胁,并进行处置的相应知识。这种知识就是我们所说的威胁情报”。

  互联网安全曾经历经了流氓互殴,侠客对决、黑社会火并等等阶段,现在已经形成了攻击者有组织有预谋,防御者有侦查有战术的局面——无论是攻击还是防御,都超越了点对点的战术,而越来越倚仗于全面的战法。简单来说,就是搞安全的不仅要看编程指南,还要看孙子兵法了。既然是正规军对垒,战法就要变得相对立体。所谓知己知彼,百战不殆。威胁情报,就像是八百里加急快报送来的敌情。

  二战中,盟军依靠计算机之父图灵的天才破解了德国的密码,得知德国马上要对考文垂进行轰炸。但是为了争取更大的决定性胜利,盟军选择不让德国人知道对手已经破译了其密码。因此盟军方面没有对考文垂进行有针对性的的防御措施。于是德国人相信其密码依然是安全的,从而一步步走进了盟军的圈套。

  在威胁情报中,安全公司同样运用类似的方法和黑客斗法。例如:穿梭各大安全论坛,装作黑客的样子,开心地与之讨论最近哪种攻击方式最流行,有哪些漏洞可以利用。然后回家修补漏洞。

  于是,通过威胁情报,企业会对未来的攻击拥有免疫力,这就彻底改变了原本的攻防态势。原来也许黑客可以用上整整一年的攻击手段,一旦进入威胁情报,就被重点监控。如果攻击者第二次还在用同样的后门,就等于主动跑到了探照灯下。

  某大神爆料,目前美国正在有计划有组织地曝光其他国家对其基础设施发动的攻击。这句话让人细思极恐,这表明美国已经拥有了一份精准的威胁情报,对其攻击者的攻击路径已经了如指掌。为了不打草惊蛇,其中有60%-70%的攻击路径,美国并没有曝光。没错,美国正在静静地看对手装X。 

  讲了什么是威胁情报,接下来说威胁情报有什么用?威胁情报给谁用?

  从个人角度,如果提供代理IP,刷流量的人想要(绕过IP限制);如果提供僵尸网络IP,安全防御者想要,其实攻击者也想要,攻击者要的总是比防御者多,所以Ta们更能达到目的。从公司角度而言,先说项目之间,做WAF的、做扫描器的、做漏洞管理平台的可以交换漏洞信息,做杀毒的和入侵检测的可以交换恶意样本信息,做业务欺诈的和做网络攻防的可以交换IP信誉信息,这些都是为了做到内部资源(扫描器,WAF,IPS等安全组件)甚至外部资源(开源资源集合、厂商资源交换)的整合(现状是公司越大,这些信息越碎片化),整合才能起到协同防御的效果,才能有能力地进行深度分析去发现真正有价值的攻击事件与高级的难以发现的APT定点攻击事件。

  过去,我们将太多的精力放在实时防御上面,但并没有将威胁完全挡住,这个时代已经过去了。我们需要建立一个完整的防御体系,从防御、检测到响应,甚至通过威胁情报将攻击事件的预测做起来,而这一切的核心就是要掌握海量的数据,并具备强大的数据分析能力。威胁情报,是面向新的威胁形式,防御思路从过去的基于漏洞为中心的方法,进化成基于威胁为中心的方法的必然结果,它和大数据安全分析、基于攻击链的纵深防御等思想正在形成新一代的防御体系的基石。

  

转载于:https://www.cnblogs.com/achao123/p/4980591.html

什么是威胁情报(Threat Intelligence)相关推荐

  1. 威胁情报 设备之外的安全能力

    网络攻击手法日趋纯熟及精密并具破坏性.从网络安全商角度来看,为众多每天受到攻击的企业解决问题成为日益严峻的挑战. Fortinet创始人兼CTO 谢华 现代网络安全技术,假设企业已具备所需的专业人员. ...

  2. [Darkweb Cyber Threat Intelligence Mining]暗网威胁情报挖掘 - 1

    1 简介 最近,漏洞利用工具包,恶意软件,僵尸网络租用,教程和其他黑客产品的在线市场一直在发展,而这个市场曾经是一个难以渗透的专有市场,其购买者主要是西方政府[95] 现在,更广泛的人群更容易使用. ...

  3. 威胁情报(Threat Intelligence)

    转自https://www.cnblogs.com/achao123/p/4980591.html(博客-北方.的狼) 什么是威胁情报,其实安全圈一直在使用着它们,漏洞库.指纹库.IP信誉库,它们都是 ...

  4. 60+ 安全厂商的选择,为何 TA 一直坚持做威胁情报供应商?

    威胁情报能给企业安全管理人员提供全面.准确.可执行和决策的信息,帮助企业提高应对安全威胁的效率,提升脆弱性管理和风险控制能力,了解其所处的威胁环境并用于决策.可以与企业已有的网络安全架构.产品.流程相 ...

  5. 从RSAC2017看威胁情报如何落地

    年度安全峰会RSA2017已于美国时间2月13日盛大开幕.从最近三年RSA所有演讲的主题词热度可以看出,"Threat"和"Intelligence"都是大家关 ...

  6. AttacKG: Constructing Technique Knowledge Graph from Cyber Threat Intelligence Reports 源码复现

    AttacKG:从网络威胁情报报告构建技术知识图谱 文章摘要 网络攻击越来越复杂和多样化,使得攻击检测越来越具有挑战性.为了打击这些攻击,安全从业者积极总结并以网络威胁情报(CTI)报告的形式交流他们 ...

  7. [论文阅读] (07) RAID2020 Cyber Threat Intelligence Modeling Based on Heterogeneous GCN

    <娜璋带你读论文>系列主要是督促自己阅读优秀论文及听取学术讲座,并分享给大家,希望您喜欢.由于作者的英文水平和学术能力不高,需要不断提升,所以还请大家批评指正,非常欢迎大家给我留言评论,学 ...

  8. 带你读AI论文丨RAID2020 Cyber Threat Intelligence Modeling GCN

    摘要:本文提出了基于异构信息网络(HIN, Heterogeneous Information Network)的网络威胁情报框架--HINTI,旨在建模异构IOCs之间的相互依赖关系,以量化其相关性 ...

  9. 深度学习——从网络威胁情报中收集TTPs

    从网络威胁情报中收集TTPs 摘要 为啥要用网络威胁情报 被动防御 & 主动防御 网络威胁情报的概念 何为情报(Intelligence)? 何为网络威胁(Cyber Threat)? 何为网 ...

最新文章

  1. Sublime Text 3 个人使用总结
  2. LoadRunner系统架构简介与运行原理
  3. 帝国cms后台模板编辑器辅助增强插件代码高亮格式化显示
  4. 对于DataSet中的问题真是郁闷啊
  5. sgi stl 之list
  6. php strtoup,PHP 7 的几处函数安全小变化
  7. optaplanner_OptaPlanner –具有真实道路距离的车辆路线
  8. The Real Time Linux and RT Applications | PREEMPT_RT
  9. PTA — 单词长度 (15 分)
  10. 简易web服务器系统毕业论文设计,毕业论文 简易的WEB服务器的设计
  11. cisco port-channel配置
  12. 浅析DC/DC转换器未来市场的发展前景
  13. 高性能流媒体服务器--mediasoup框架整理
  14. miui patchrom项目 生成原厂包/java内存溢出解决方法
  15. 黑客常用dos命令详解
  16. 无线充电原理是什么?
  17. 网页中通过js修改img的src属性刷新图片时,图片缓存问题现象表述及问题解决
  18. 是谁在撩动着我的服务器
  19. 几种还款方式解读(包含例子,正在更新)
  20. Mysql函数-数学函数

热门文章

  1. JSP基于网络超市商品销售管理系统的设计与实现(源代码+论文)
  2. linux的RHCS服务集群之Heartbeat集群简单搭建
  3. 情人节告白PPT,你准备给ta惊喜了吗?
  4. RTX临界段,中断锁与任务锁
  5. Ubuntu16.04环境下PyTorch简易安装教程
  6. 江汉大学计算机学院有研究生院,江汉大学研究生招生信息网_江汉大学考研信息网-研究生招生报名查询系统...
  7. 网络语言C位出道是什么意思,你们一直说的C位出道到底是什么意思啊?
  8. Routerboard/DR6018CV01-wifi6-Qual-IPQ6010-IPQ6018-FAMILY-2T2R-2.5G-ETH-port-supporting-5G-cellua
  9. 数电学习(八、九、可编程逻辑器件)
  10. 网页分享到微信常见问题