威脅資訊和威脅情報有啥區別？

本文講的是威脅資訊和威脅情報有啥區別？，成品情報，是威脅資訊納入、評估和商業利益匯出的結果。

網路威脅情報領域，混淆一直存在（很多還都是廠商弄出來的），威脅資訊往往被當做了成品情報。

雖然情報過程從威脅資訊收集開始，但資訊收集僅僅，僅僅只是個起始點而已。從大量獲取資訊，到產出成品情報之間，還有好長好長的一段路要走，二者之間簡直是質的不同。

散布圖中各處的1000個點，那是資訊。但以某種形式連線各點顯示出上下文和關聯度(我們稱之為「經評估的情報」)，那就是情報了。這些情報可用於為未來攻擊做應對準備，支撐以前未知的風險，將精力專注到正確的領域。它還能幫助你從事件響應的角度理解發生了什麼，為什麼會發生，以及怎樣發生的。

網路威脅情報(cti)是乙個生命週期過程，最終產出可被不同團體以多種方式消費的可交付產品(取決於所提供的威脅情報的級別——戰略性、操作性還是戰術性)。說白了，cti就是拉取指標饋送或湧入大量資料，並將這些指標應用到你的具體環境中。

威脅情報需要自動化，尤其是在資料收集、處理、篩選和部分分析方面，同時還需和人力分析結合。但人的因素往往在瘋狂饋送中被無視掉了，這是非常錯誤的。

雖然現如今資訊收集挺常見，但無論是從暗網還是從公開資源搜刮，資訊獲取都是相當簡單的(受限黑市和論壇上需要偽裝身份的情況例外)。這就僅僅是收集資料而已。或許也包含了一定的處理和過濾，但真正的秘方，還在於情報分析。

分析做對了，就能確保收集來的資訊在準確度、相關性、時效性和完整性上都得到合理的評估。情報是要置入特定行業或公司的上下文中以獲得不同的意見和決策的，而這需要人類的經驗和對細節的關注。

最終，你需要資訊來產生情報。然而，資訊本身並不是情報，實際上甚至還有可能會讓公司不堪重負，或是將公司指引向錯誤的方向。情報則能說明問題。資訊只是提供大量可能的動作，情報則是有意義且有用的(用濫了的「可執行性」這詞兒真心不想再用)。情報支援計畫制定，提供方向和焦點，最終幫助你在精力和資源分配上做出更好的決策。

分析威脅活動的時候，可以透過「方法途徑」透鏡來觀察：

目標行業——哪些特定公司或組織是攻擊物件？

目標技術——目標公司所用的哪種技術(如：adobe flash、ie等等)可被利用來發起攻擊？

投送方法——攻擊者怎樣將攻擊載荷投送到目標系統(如：魚叉式網路釣魚、第三方侵入等等)？

漏洞利用——攻擊者使用了哪個具體漏洞利用程式或已知(或未知)漏洞？

存在形式——攻擊者獲取/使用什麼級別的存在形式(如：特權賬戶、資料庫訪問等等)來展開攻擊？

達到的效果/傷害——攻擊導致的影響是什麼(如：智財權被盜、服務中斷等等)？

掌握方法途徑可提供有意義的上下文，弄清威脅是什麼，怎麼進行的，威脅目標是什麼，對公司的影響有哪些。成品情報包含此類分析，也包含威脅指標和支援性證據，還有置信度和實際動作建議。所以，情報不僅僅告訴你發生了什麼和怎麼發生的，還給了你影響評估和緩解步驟建議，從事件響應角度、風險策劃和準備方式上給你幫助。

有關威脅情報，「待做事項」是沒有得到充分討論的乙個方面。或許，某些廠商使用「可執行性」情報一詞時指的就是這個意思，但除了「可執行」，情報還應給出解決迫在眉睫的威脅或已識別風險的實際任務。成品情報終究要是威脅資訊納入、資訊評估和商業利益匯出的結果，通常表現為對業務運營潛在影響風險的減小。

如果你還不能從當前cti工作中輕鬆闡明商業利益，或者在建立新cti功能時還沒有定義它們，那你可能就僅僅是在收集威脅資訊，而不是在做威脅情報。

威脅資訊和威脅情報有啥區別？

威脅資料，資訊和情報

開源威脅情報工具和技術

Oracle ASCP 和MRP有啥區別

威脅資訊和威脅情報有啥區別？

威脅資料，資訊和情報

開源威脅情報工具和技術

Oracle ASCP 和MRP有啥區別

相關推薦