威脅情報的定義及理解

2021-10-05 04:08:28 字數 2227 閱讀 9635

根據gartner對威脅情報的定義,威脅情報是某種基於證據的知識,包括上下文、機制、標示、含義和能夠執行的建議,這些知識與資產所面臨已有的或醞釀中的威脅或危害相關,可用於資產相關主體對威脅或危害的響應或處理決策提供資訊支援。業內大多數所說的威脅情報可以認為是狹義的威脅情報,其主要內容為用於識別和檢測威脅的失陷標識,如檔案hash,ip,網域名稱,程式執行路徑,登錄檔項等,以及相關的歸屬標籤。

威脅情報分為四種型別:

戰略威脅情報(strategic threat intelligence)提供乙個全域性視角看待威脅環境和業務問題,它的目的是告知執行董事會和高層人員的決策。戰略威脅情報通常不涉及技術性情報,主要涵蓋諸如網路攻擊活動的財務影響、攻擊趨勢以及可能影響高層商業決策的領域。

運營威脅情報(operational threat intelligence)與具體的、即將發生的或預計發生的攻擊有關。它幫助高階安全人員**何時何地會發生攻擊,並進行針對性的防禦。

戰術威脅情報(tactical threat intelligence)關注於攻擊者的ttp,其與針對特定行業或地理區域範圍的攻擊者使用的特定攻擊向量有關。並且由類似應急響應人員確保面對此類威脅攻擊準備好相應的響應和行動策略。

技術威脅情報(technical threat intelligence)主要是失陷標識,可以自動識別和阻斷惡意攻擊行為。

當前,業內更廣泛應用的威脅情報主要還是在技術威脅情報層面。

威脅情報的產生和週期主要包含五個步驟:

威脅情報1. 明確需求和目標

決策者需要明確所需要的威脅情報型別,以及使用威脅情報所期望達到的目標,而在實際中,這一步往往被忽略。

決策者通常可以明確需要保護的資產和業務,評估其遭受破壞和損失時的潛在影響,明確其優先順序順序,最終確認所需要的威脅情報型別。

威脅情報2. 收集

威脅情報收集從**上包含如下渠道:企業內部網路、終端和部署的安全裝置產生的日誌資料;訂閱的安全廠商、行業組織產生的威脅資料;新聞**、部落格、論壇、社交網路;

一些較為封閉的**,如暗網,地下論壇

威脅情報3. 分析

分析環節是由人結合相關分析工具和方法提取多種維度資料中涵蓋的資訊,並形成準確而有意義的知識,並用於後續步驟的過程。

常用的威脅情報分析方法和模型包括lockheed martin的cyber kill chain,鑽石分析法,mitre att&ck。

威脅情報4. 傳播和分享

當產生威脅情報後,需要將威脅情報按照需要進行傳播和分享。

對於企業內部安全人員,不同型別和內容的威脅情報會共享給如管理層,安全主管,應急響應人員,it人員等。

對於企業內部採用的安全架構實現和安全防禦裝置,威脅情報可以分發並應用到soc,siem,edr等產品中。

對於乙方的威脅情報服務商通常會採用威脅情報平台(tip),或者直接以威脅情報資料服務提供,其中通常採用的威脅情報分享格式為stix和openioc。

威脅情報5. 評估和反饋

評估和反饋環節是用於確認威脅情報是否滿足原始需求和是否達到目的,否則就需要重新執行步驟1的階段進行調整。

從威脅情報的產生**可以分為內部威脅情報和外部威脅情報。

內部威脅情報為企業或機構產生的應用於內部資訊資產和業務流程保護的威脅情報資料,通常為「自產自銷」的模式。

外部威脅情報通常由合作夥伴,安全**商等提供的應用於企業自身的威脅情報資料,而企業作為威脅情報的消費者,而不是生產者。外部威脅情報也可以來自於開源威脅情報(osint),人力情報(humint)等。

作用和價值

威脅情報提高應對威脅的效率

威脅情報中的相關性和上下文資訊能讓企業安全人員明確哪些威脅資料是與企業資訊資產和業務安全息息相關的,威脅的背景,以及可以根據威脅的影響程度選擇響應處理的優先順序。

威脅情報脆弱性管理和風險控制

威脅情報了解威脅環境和用於決策

威脅情報可以幫助企業安全人員了解其所在行業的威脅環境,有哪些攻擊者,攻擊者使用的戰術技術等。威脅情報幫助其了解企業自身正在遭受或未來面臨的威脅,並為高層決策提供建議。

威脅情報應用場景

以下列舉了威脅情報的一些主要的應用場景:

1) 與企業已有的安全架構、產品、流程相整合,如siem、soc、edr等。

2) 應用到企業內部的事件應急響應中,如apt攻擊,勒索等。

3) 應用到企業的業務安全中,如賬號風控,防欺詐,資訊洩露等。

4) 應用到企業的網路資產管理,脆弱性管理和風險控制中。

SOC的未來在於威脅情報

目前,soc給我的感覺就是投入與產出嚴重不成正比,投入的資金多 裝置多 人員多 時間多,相應的造成功能多 告警多 爭議多 運維多,最後使用者獲取到有意義的內容少 價值少 保障少 積累少。我相信,soc的未來一定是屬於威脅情報的,龐大的安全運維中心,甚至是更龐大的it運維中心也會讓位於威脅情報中心,理...

威脅情報的幾個關鍵概念

當前,網路空間的廣度和深度不斷拓展 安全對抗日趨激烈,傳統的安全思維模式和安全技術已經無法有效滿足政企客戶安全防護的需要,新的安全理念 新的安全技術不斷湧現,當前的網路安全正處在乙個轉型公升級的上公升期。目前,資訊保安業界普遍認同的乙個理念是 僅僅防禦是不夠的,更加需要持續地檢測與響應。而要做到更有...

攻擊鏈簡述 二 威脅情報的作用

apt持續破壞的能力與慾望積極地推動我們從傳統的威脅響應方式快速遷移至網路空間安全解決方案。在網路被入侵後進行響應,代價一般會非常昂貴,無論是在消除不良影響方面,還是在清除攻擊者遺留的據點方面 如木馬 為了在防禦中掌握主動權,防禦者需要通過阻止攻擊者的高階手段來改變遊戲的規則,最好是在攻擊鏈的左側就...