威胁情报从哪里来到哪里去?

admin 2022年6月9日16:27:08信息情报评论10 views1179字阅读3分55秒阅读模式

导读

威胁情报的源头是什么?威胁情报有什么用?谁希望获取威胁情报?如何生产威胁情报?由谁生产威胁情报?围绕这写问题,看看威胁情报从哪来,到哪去。

威胁情报行业现状建议看这《网络安全威胁情报行业发展报告(2021年)》。本文主要讨论威胁情报生产部分。

0x01 宇宙呃不,威胁情报的源头是哪?

铁岭?啊哈哈不是。我的理解,威胁情报的源头当然是威胁事实。威胁事实,是指谁、在什么时间、用什么手段、威胁到了谁。威胁主体,是指威胁事实的主要参与者(人/组织/软件)。威胁行为,是指威胁主体的行为。威胁情报是描述威胁事实、威胁主体特征及威胁行为特征的一组信息。发现威胁事实的过程称之为威胁捕获或威胁狩猎。分析威胁主体特征与威胁行为特征的过程,称之为威胁分析。威胁情报是威胁捕获和威胁分析的成果之一。

威胁情报从哪里来到哪里去?

0x02 威胁情报有什么用?

参考《网络安全威胁情报行业发展报告(2021年)》精简版PPT。简要通俗说,就是威胁情报能帮助自己检出和防御威胁,帮助别人检出和防御威胁,帮助有需要的人分析更高级别的威胁事实

威胁情报从哪里来到哪里去?

0x03 谁希望获取威胁情报?

网络运营商、易受网络攻击的政企、高校,生产威胁检测与防御产品的厂商等。(因为他们有检出和防御网络威胁需求,且有一定情报使用能力)

威胁情报从哪里来到哪里去?

微步、360等部分安全行业的企业。(因为他们有运营威胁情报,或分析更高级别威胁事实的需求)

威胁情报从哪里来到哪里去?

0x04 如何生产威胁情报?由谁生产威胁情报?

生产威胁情报的三个关键步骤

  1. 一获取威胁事实

  2. 二分析威胁事实、威胁主体特征及威胁行为特征

  3. 三将分析成果使用易于理解的方式描述。

不同组织,使用不同形式的情报生产方式:

依据获取威胁事实的途径不同,分为集中捕获型,分散捕获型,单独捕获型。

集中捕获型

依赖于存在大量威胁事实的环境。一般由威胁检测产品厂商,与甲方合作进行。例如流量威胁检测厂商在企业网络中,使用威胁检测产品,捕获威胁事实进行分析。

威胁情报从哪里来到哪里去?

再例如主机威胁检测厂商,购买批量软件样本,在主机威胁监控系统中分析。

威胁情报从哪里来到哪里去?

分布式捕获型

依赖于广泛部署的终端软件。例如云厂商,利用部署在用户主机上的HIDS,捕获威胁事实进行分析。

威胁情报从哪里来到哪里去?

再例如杀毒软件厂商,利用终端杀毒软件中的主机监控程序或沙箱程序,捕获威胁事实进行分析。

威胁情报从哪里来到哪里去?

单独捕获型

易实现,但威胁事实捕获能力有限。例如蜜罐厂商,利用部署在公网或甲方网络中的蜜罐产品,捕获威胁事实进行分析。

威胁情报从哪里来到哪里去?

再例如安全从业者,在私有环境部署各种免费安全产品,捕获威胁事实进行分析。

威胁情报从哪里来到哪里去?


总结

总而言之,是关注网络安全的人或组织,想尽各种手段生产威胁情报,用于抵御网络攻击。威胁情报的源头是威胁事实。威胁情报最终的用途,是检出或阻止威胁事实。它从哪里来就滚回哪里去。

------

原创文章,转载请注明出处
作者邮箱:[email protected]com









威胁情报从哪里来到哪里去?威胁情报从哪里来到哪里去?

↑↑↑长按图片识别二维码关註↑↑↑



原文始发于微信公众号(全栈网络空间安全):威胁情报从哪里来到哪里去?

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月9日16:27:08
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  威胁情报从哪里来到哪里去? http://cn-sec.com/archives/1097835.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: