导读
威胁情报的源头是什么?威胁情报有什么用?谁希望获取威胁情报?如何生产威胁情报?由谁生产威胁情报?围绕这写问题,看看威胁情报从哪来,到哪去。
威胁情报行业现状建议看这《网络安全威胁情报行业发展报告(2021年)》。本文主要讨论威胁情报生产部分。
0x01 宇宙呃不,威胁情报的源头是哪?
铁岭?啊哈哈不是。我的理解,威胁情报的源头当然是威胁事实。威胁事实,是指谁、在什么时间、用什么手段、威胁到了谁。威胁主体,是指威胁事实的主要参与者(人/组织/软件)。威胁行为,是指威胁主体的行为。威胁情报是描述威胁事实、威胁主体特征及威胁行为特征的一组信息。发现威胁事实的过程称之为威胁捕获或威胁狩猎。分析威胁主体特征与威胁行为特征的过程,称之为威胁分析。威胁情报是威胁捕获和威胁分析的成果之一。
0x02 威胁情报有什么用?
参考《网络安全威胁情报行业发展报告(2021年)》精简版PPT。简要通俗说,就是威胁情报能帮助自己检出和防御威胁,帮助别人检出和防御威胁,帮助有需要的人分析更高级别的威胁事实。
0x03 谁希望获取威胁情报?
网络运营商、易受网络攻击的政企、高校,生产威胁检测与防御产品的厂商等。(因为他们有检出和防御网络威胁需求,且有一定情报使用能力)
微步、360等部分安全行业的企业。(因为他们有运营威胁情报,或分析更高级别威胁事实的需求)
0x04 如何生产威胁情报?由谁生产威胁情报?
生产威胁情报的三个关键步骤:
-
一获取威胁事实
-
二分析威胁事实、威胁主体特征及威胁行为特征
-
三将分析成果使用易于理解的方式描述。
不同组织,使用不同形式的情报生产方式:
依据获取威胁事实的途径不同,分为集中捕获型,分散捕获型,单独捕获型。
集中捕获型
依赖于存在大量威胁事实的环境。一般由威胁检测产品厂商,与甲方合作进行。例如流量威胁检测厂商在企业网络中,使用威胁检测产品,捕获威胁事实进行分析。
再例如主机威胁检测厂商,购买批量软件样本,在主机威胁监控系统中分析。
分布式捕获型。
依赖于广泛部署的终端软件。例如云厂商,利用部署在用户主机上的HIDS,捕获威胁事实进行分析。
再例如杀毒软件厂商,利用终端杀毒软件中的主机监控程序或沙箱程序,捕获威胁事实进行分析。
单独捕获型
易实现,但威胁事实捕获能力有限。例如蜜罐厂商,利用部署在公网或甲方网络中的蜜罐产品,捕获威胁事实进行分析。
再例如安全从业者,在私有环境部署各种免费安全产品,捕获威胁事实进行分析。
总结
总而言之,是关注网络安全的人或组织,想尽各种手段生产威胁情报,用于抵御网络攻击。威胁情报的源头是威胁事实。威胁情报最终的用途,是检出或阻止威胁事实。它从哪里来就滚回哪里去。
------
原创文章,转载请注明出处
作者邮箱:[email protected]
↑↑↑长按图片识别二维码关註↑↑↑
原文始发于微信公众号(全栈网络空间安全):威胁情报从哪里来到哪里去?
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论