道哥在先知提了乙個問題,就是情報威脅中,事件情報該如何做?個人一些感觸貼出來討論。
以下內容僅僅是個人的一些認識,僅僅是我所說的事件情報與此相關,但是希望能構建乙個大的mrti平台吧。
情報威脅,概念炒了這麼多年,有人說2015,2016是情報威脅新的紀元。安全情報包括威脅情報、漏洞情報、事件情報以及基礎資料情報等,國外已經成為安全熱點。國內環境而言個人認為態勢感知已經開始接近情報威脅這個概念。像錦行發布的幻雲、綠盟的態勢感知,360的態勢感知等。態勢感知從各個感測器獲取的資訊結合大資料加以處理,有些產品利用stix等將所謂的情報丟到上層視覺化平台,最終展示給裝置購買的使用者**。在這個過程中態勢感知的資料獲取基本原理就是我們傳統的ips,防火牆,木馬分析以及大家引以為傲的預知未來的動態檢測,都是態勢感知資料獲取的**,資料獲取後,如何處理資料,資料應該是什麼樣子的才能便於利用,國外很多的研究已經走在我們的前面(或許是小弟還沒有接觸過國內的相關資料),態勢感知產品利用stix對資料進行了處理,丟給了視覺化。最終只是給裝置購買者進行了資料的匯報。
歷史的輪子總是在不斷的重複,我們的態勢感知將傳統的裝置進行整合,形成了乙個小型的網路,結合大資料等新型的一些方案產生了態勢感知平台。態勢感知等類似產品將會造就新的乙個網安拳頭產品(個人認為)。態勢感知中已經開始使用可機讀威脅情報(mrti),在不斷的態勢感知平台發展過程中,情報標準應該會更加的統一化,現在用的較多的stix,cif等,相信未來在情報威脅的標準上肯定走向統一標準化。(歷史的輪子總是不斷的重複,計算機行業的各種標準不就是這樣走下來的麼)
當所有的產品和產商的情報能夠共享,構成乙個大的平台後,想一想情報威脅是不是很爽。未來每乙個態勢感知系統就成了情報威脅的乙個感測器,而共享的情報將形成乙個大的資料平台。很多的前瞻性企業已經開始做這個大的平台了吧。(流口水)
未來的情報威脅對於發現網路攻擊和對攻擊的了解將不是我們像ips認知的這樣,(畢竟apt也炒了這麼久,不知道我是否認知正確,可能是我只對ips了解多一點)從我個人的認知上已經重新整理了攻擊不僅僅是一條流量匹配特徵值。相信技術能夠創造未來。
以上所述討論的是威脅情報。而漏洞情報,我們現在各大眾測平台已經發展成型。從整個大的情報威脅平台來看,眾測的資料是不是就構成了乙個資訊源。(難度較大,利益糾紛太多,只是想想)
事件情報個人認為分兩部分。一為自身,二為外部。自身情報就是指自己被攻擊了以後你知道你被攻擊了,上述討論的態勢感知其實已經做了這方面的產品化,態勢感知資料感測器包含了相關產品的日誌,結合大資料應該能夠分析出一些事件的。二為外部那就是你根本就不知道自己被攻擊了。那我們是不是可以像眾測平台一樣構建乙個平台,讓相關人員將情報是否能夠共享。又構成了大的利益鏈了。。。能在暗網交易還是能和你去交易,這個好像蠻難搞的,不過對於企業而言,保障提交人員的安全和利益相信還是能夠獲取到一些信心的。但是網路安全法的保障,公司就可以起訴人員了,所以想要吃肉還不讓豬長肉這個問題就是利益問題了吧。
我個人從這幾個方面進行了認知,不知道全不全。希望能夠參與到構建情報威脅平台的構建中。現在在做態勢感知方面的東西,只能認識到這麼多了,具體的方面應該深思。
從情報威脅平台的構建上,我舉雙手雙腳贊同並迫切期待,並希望高人能夠實現。
一切盡是惘然,對待網路攻擊,網路暴力。是以暴制暴還是以利制暴,哲學問題嗎?!
談一談sizeof與strlen
sizeof與strlen都可以用來測量字元陣列的大小,通過乙個列子來看它們的不同 例 char ss1 abcdefg char ss2 abcdefg char ss3 10 abcdefg cout sizeof ss1 87107 分析 sizeof衡量的是字元陣列的真是占用的空間,包含預分...
STIX 乙個網路空間威脅情報分享的標準
最近,mitre聯合dhs發布了stix框架 structured threat information expression,結構化威脅資訊表示式 用於網路空間的威脅情報分享。該框架已經在us cert使用。在我以前的博文中,已經多次提到的威脅情報分享的重要性。例如rsa報告 當apt成為主流 讀...
談一談js中的深拷貝與淺拷貝
let a let b a a.age 2 console.log b.age 2從上述例子中我們可以發現,如果給乙個變數賦值乙個物件,那麼兩者的值會是同乙個引用,其中一方改變,另一方也會相應改變。通常在開發中我們不希望出現這樣的問題,我們可以使用淺拷貝來解決這個問題。首先可以通過 object.a...