2023年5月18日,darkreading發表了一篇文章,題為威脅情報實戰。這個文章提及了威脅情報分析的重要性。
作者認為,在面對新型威脅,新技術革新(例如雲計算)的時候,安全專家們需要改變傳統的安全防禦思路。對此,我也表示贊同。
首先,要確定所要保護的重要資產。正如《當apt成為主流》中所述,在對抗新型威脅的時候,現在已經沒有經歷去保護網路內部的每個資產了,必須有所取捨,有所重點,要重點保護關鍵資產。
其次,要獲取對網路的可視性(visibility)。這個我以前的博文也多次提及。要想知道網路中存在什麼樣的威脅,首先要看到現在網路的執行狀態。而可視性的更高境界可以稱作態勢感知(situational awareness),則是在獲悉狀態的基礎上分析下一步的可能走勢。
要獲取對網路的可視性,必須借助一套生產力工具,siem是其中乙個重要的工具。借助siem,可以快速獲知對網路的可視性。
在獲知可視性後,就要進行進一步的安全威脅分析,從表象中看出潛在的威脅和風險。這就需要對海量的安全資訊進行智慧型化的分析,這個過程可以稱作「安全智慧型」(security intelligence)分析,而分析的結果就是獲取網路內部的安全威脅情報(security threat intelligence)。
要想分析出威脅情報,不是那麼容易的。需要一系列相關的理論和演算法。基於規則的關聯分析只是其中一種方法,除此之外,還有很多其他方式,例如基於統計學的方法,基於bi多維分析的方法,等等。
借助成型的分析工具是很有必要的,這也是siem目前正在盡力去達到的能力。優秀的siem應該具有良好的、智慧型化的分析能力,產生威脅情報。更進一步地,這些威脅情報不僅僅只是參考性的,而應該是可執行的,叫做actionable intelligence。
上面提到的威脅情報主要是指來在客戶網路內部的情報,是通過對內部的安全資訊分析獲取的情報。而我在《安全威脅情報分析》一文中提及的威脅情報主要是指來自客戶網路外部的,來自cyberspace的威脅情報。
內部和外部的威脅情報對於客戶而言都是很有用的。
要想獲取外部威脅情報,一方面可以尋找osint資源,另一方面可以購買情報提供商的服務。
在獲取外部情報的時候,應該盡可能地與內部網路情報相結合,例如,相比於購買大量的c&c伺服器的情報資訊,不如購買通過內部情報分析發現已經對網路發起過***的c&c伺服器的資訊更加有用。
安全威脅情報實戰
2012年5月18日,darkreading發表了一篇文章,題為威脅情報實戰。這個文章提及了威脅情報分析的重要性。作者認為,在面對新型威脅,新技術革新 例如雲計算 的時候,安全專家們需要改變傳統的安全防禦思路。對此,我也表示贊同。首先,要確定所要保護的重要資產。正如 當apt成為主流 中所述,在對抗...
文章記錄 威脅情報
20200915 本篇文章是美團安全部分發表在安全脈搏的一篇文章,文章按照以下脈絡進行闡述。1 企業威脅定義 2 如何評估企業威脅情報質量 3 威脅情報體系構建 4 威脅情報體系運營 以上四個角度進行了闡述,在最終講解了乙個利用自然語言處理的技術來產出情報的案例。其中威脅情報的體系由資料 平台 運維...
威脅資料,資訊和情報
威脅資料,資訊和情報存在很大的差異,找到並辨別他們彼此之間到底區別,能夠幫助企業最大化的利用威脅情報平台所生產的資料 從資料到資訊到情報,這些資訊的數量在不斷地減少,但價值在不斷地增加 威脅情報平台只能生產資料和資訊,而人工則能區分確實可利用的威脅情報 計算機永遠也無法生產真正的威脅情報,但人類也並...