威胁情报基础

什么是威胁？ 

        根据定义，威胁是可能损害这些系统的企业资产的潜在危险。在许多情况下，威胁、漏洞和风险这三个术语之间存在混淆；正如我之前解释的那样，第一个术语是潜在的危险，而漏洞是已知的弱点或资产中的漏洞。风险是威胁利用漏洞的结果。换句话说，您可以将其视为前两个术语的交集。用于攻击资产的方法称为威胁向量。

        存在三种主要类型的威胁：* 自然威胁 * 无意威胁 * 故意威胁

什么是高级持续威胁 (APT)？

维基百科对“高级持续威胁”的定义如下：

        “高级持续性威胁是一种隐蔽的计算机网络威胁行为者，通常是民族国家或国家资助的团体，它未经授权访问计算机网络并在很长一段时间内未被发现”

什么是威胁情报？

维基百科对“威胁情报”的定义如下：

        “网络威胁情报是有关威胁和威胁参与者的信息，有助于减轻网络空间中的有害事件。网络威胁情报来源包括开源情报、社交媒体情报、人类情报、技术情报或来自深网和暗网的情报“

威胁情报经过以下步骤：

• 规划和方向

• 收藏

• 加工和开发

• 分析与生产

• 传播与整合

什么是妥协指标 (IOC)？

        危害指标是有关威胁的信息，可用于检测入侵，例如 MD5 哈希、URL、IP 地址等。

        借助以下机构，这些部分可以在不同的组织之间共享：* 信息共享和分析中心 (ISAC) * 计算机应急响应小组 (CERT) * 恶意软件信息共享平台 (MISP)

        为了促进共享/收集/分析过程，这些 IOC 通常尊重并遵循某些格式和协议，例如：

• OpenIOC

• 结构化威胁信息表达 (STIX)

• 可信的自动情报信息交换 (TAXII)

原文始发于微信公众号（Khan安全攻防实验室）：威胁情报基础