面對新型威脅和更加有針對性的網路***,人們必須尋求新的技術和對抗手段。安全情報分析成為乙個新的熱點。其實,安全情報也不是什麼新話題,我在以前的博文中也多次提到,安全情報也稱作actionable intelligence,意即可付諸行動的情報,可以直接為安全防禦提供可操作的指令。安全情報可以分為多種形式,有技術層面的,也有戰略層面的,最熱門的乙個分支就是威脅情報(threat intelligence)。
圍繞威脅情報,也有很多個方面,有側重於威脅情報獲取,有的側重於利用威脅情報進行企業和組織網路的安全分析,有的側重於威脅情報在不同組織和企業之間進行共享和交換。
在rsa2013大會上,受dhs之託,mitre介紹了他們的stix這個威脅情報的分享標準。其實這個stix中觸及到了乙個很基礎性的問題——威脅情報的建模。
如圖,展示了stix v1.0的架構。核心是8個威脅的屬性。
incident(突發事件):描述這個威脅的外在表象,威脅導致的後果;
indicator(威脅指標):表徵這個威脅的特徵指標。也就是威脅外在表象的內在特徵。通過檢視這些特徵可以判定是否真的遭受了這個威脅的***。
obsverable:我們可以觀察到的***活動。
ttp(威脅技戰術和行動部署):對方是怎麼***的?
exploittarget:對方在***的過程中利用到了哪些弱點?
course of action:我們能夠採取什麼樣的應對措施?
threatactor:***發起方是誰?對***者的描述。
campaign:***者的行動目標
【參考】
安全威脅情報分析
stix:乙個網路空間威脅情報分享的標準
RSA2013系列(3) 安全情報分析成為熱點
面對新型威脅和更加有針對性的網路 人們必須尋求新的技術和對抗手段。安全情報分析成為乙個新的熱點。其實,安全情報也不是什麼新話題,我在以前的博文中也多次提到,安全情報也稱作actionable intelligence,意即可付諸行動的情報,可以直接為安全防禦提供可操作的指令。安全情報可以分為多種形式...
RSA2013系列(1) 中國成為熱點
rsa2013年大會已經落下帷幕。在這次會上,有多個講演都涉及到了中國,當然還有apt。據我初步估算,直接相關的主題大概有6個之多,都是談及來自中國的apt 其中有個session是講中美的網路衝突和中國網路戰研究。演講者是 二十一世紀的中國網路戰 一書的作者。這個曾經在美國研讀過中文的美國人從西方...
RSA2012系列(3) 建立SOC的最佳實踐分享
在rsa2012大會上,有乙個技術研討會,題目是建立soc 安全運營中心 講演者是前bt的乙個夥計,現在已經在甲方幹活了。他的講演從建立soc所需的技術 流程和組織三方面進行了闡述,並著重說到了自建和外包soc的選擇問題。大體的提綱如下 1 soc規劃注意事項 全面審視現有的流程 選址 資源投入計畫...