金融公司眼中的网络威胁情报十大目标

很久没有更新的样子，翻来一篇美国金融公司的网络安全和威胁情报副总裁讲述的网络威胁情报的十大目标。虽然不能百分百符合国情，虽然不如那个情报金字塔那么明确和具备实操性的内容。但是从宏观上看，还是有一定的借鉴意义，一定程度上回答了，到底情报关注什么。

首先情报的来源比以往要多得多。例如有：

从涉及的层面看：

• World Wide Web，最表层，公开，往往容易访问得到

• Deep Web，不可搜索，动态的，私有的，短暂的

• Dark Web，自定义的交换协议，往往有法律风险

从类型上看：

• 开源情报：通常都是非机构化，可信赖性变动非常大，免费

• 商业情报：通常都可以结构化，但是有成本，需要收费

• 内部情报：内部的，通常是结构化的，可信度高，当然还是“免费”

正因为这些数据众多，企业更应该对威胁情报的目标进行一个优先排序。因此建议通过三方方面来进行排序：

• 你的公司

• 你的行业

• 你的互联网

YourCompany

最优先的四个威胁：

1）直接的风险，例如针对性的，确定的，（相关的）公共通用漏洞

2）间接的风险，供应商的，提供服务的或技术上有依赖关系的

例如硬件、软件的供应商的漏洞威胁，例如PC桌面，服务器，网络，手机，数据库等等的漏洞，还有提供服务的供应商，例如ISP，商业合作伙伴，提供设备的厂商，还有一些技术上的比如SSL、DNS、TLS漏洞。

3）攻击者，攻击运动（campaign），攻击工具，或者攻击的策略是针对你的公司或者部门的

好比年初那个Lizard Squad的DDoS的团伙攻击

4）内部的调查（leadership,corp communications,or technical areas）

Your Industry

5）影响着你行业里头多家公司的

6）影响着你行业里头大的公司或者领导者地位的公司的

7）影响着与你对应体量的公司（例如市场，规模相当，地域位置相仿等）

因为作者是针对他所在金融行业来说的，因此举的例子像ATM，PoS机病毒，像摩根，Bank of American等的例子都是他同行业里面比较好的佐证。

Your Internet

8）大型的攻击运动（例如分布很广，有重要价值或者攻击水平很高的成功攻击）

9）已经或者预期会有引起至关重要的媒体关注

10）新出现的，至关重要的攻击者，攻击运动，工具或者攻击策略

这个原文的作者Russ Pierce有19年的从业经验，之前一直在通讯和金融服务公司从事安全相关的工作。现在是负责Cyber Security and Threat Intelligence的VP。其实如果一家情报公司提供的情报服务能如上所述，越往前面几点，或者说越直接跟企业相关的，估计也会越值钱。

原文来自《10 Threat Intelligence Goals for Financial Institutions》

---

欢迎关注zsfnotes的公众号

本文始发于微信公众号（张三丰的疯言疯语）：金融公司眼中的网络威胁情报十大目标