也不知道,大家(甲方)这些年买的威胁情报到底是什么?最近跟甲方老师和乙方专家闲聊了一下。
笔者:
如果威胁情报厂商卖的都是最底层的IOC,那跟传统的NIDS规则有多大区别?
甲方A:
好的情报技术含量很高的,需要多少数据源、分析师,才能搞出来
笔者:
情报生产技术含量非常高,情报产品以及对用户的价值又是另外一回事。所以乙方也不必以为自己情报能力有多厉害,关键是对用户的价值,比如,你抓了美帝的APT,很厉害嘛,但是对用户的价值,如何体现?
甲方B:
情报还是得提升消费者对上下文的理解,而不是干扰
。。。。。。
正文:
在网络安全领域,“威胁数据源(threat data feeds,这里指IOCs)”和“威胁情报”常常被误解为同一概念,但实际上它们有本质的区别。更困难的是,“威胁情报”这个术语被过度使用和简化,让区分两者变得更为复杂。
威胁数据源(threat data feeds)在网络安全领域指的是实时提供有关网络威胁的数据流。这些数据源可以包含各种类型的信息,例如恶意软件样本、IP地址、域名、URL链接和恶意软件哈希值。这些信息通常来源于多个渠道,如蜜罐网络、网络传感器、恶意软件分析平台和安全情报供应商。
威胁数据源的主要作用是提供原始的、未经加工的安全数据,帮助安全团队识别和理解网络威胁的特征和行为模式。然而,这些数据通常需要进一步的分析和处理才能转化为实际可用的安全洞察或情报。在没有适当的处理和解读的情况下,单纯的威胁数据源可能难以直接应用于企业的具体安全策略和操作中。因此,安全团队通常需要结合自动化工具(如人工智能和机器学习)和专业人员的分析来提取和利用这些数据。
理解二者差异的一个简单方法是把它们比作天气预报。全国性的天气预报提供全国范围的概况,这虽然有助于了解大环境,但通常不足以指导具体行动。而地方性的天气预报则提供更具体的信息,如温度、风速、气压等,帮助你规划近期活动。
威胁数据源类似于全国性天气预报,它提供网络安全领域的高层次信息。例如,了解某软件的漏洞很重要,但如果你的组织并未使用该软件,这信息就显得不那么直接相关。同样,知道哪些威胁组织活跃也有帮助,但重要的是了解它们是否针对你的行业或组织,以及他们使用的方法和工具。
网络安全数据来源广泛,包括蜜罐、传感器、恶意软件分析平台等。这些数据既有开源的,也有商业的,它们为安全供应商提供大量原始数据,如哈希值、IP 地址和恶意网址。但企业要将这些数据转化为实际操作所需的信息,需要依赖自动化技术和专业人员的分析。
安全专家必须从威胁数据中提取对自己组织有价值的情报,以便更好地理解网络犯罪者的策略和技巧。这些洞察有助于制定更有效的安全策略。
然而,按照 ISC2 的统计,全球目前缺少约 340 万网络安全专业人员。只有资源雄厚的大型企业能够承担对大量数据进行分析和提炼的工作。对于小型组织来说,处理这些数据源本身就是一个巨大挑战。
威胁情报在此发挥着关键作用,它并非像威胁数据源那样提供一个宏观视角让企业自行解读,而是针对每个企业的特定行业、规模和独特环境量身定制。威胁情报能够深入到数据源所无法触及的层面。例如,在暗网上发现数据泄露出售往往是首个迹象。同样地,网络访问权限也在暗网被交易,而网络所有者往往对此毫不知情。拥有这些“事后”信息对于快速控制损失至关重要。暗网仅是众多威胁情报来源之一,还包括社交媒体、公开网络,乃至人力情报。
通过情报信息,安全团队能够理解攻击者的策略、技术和程序(TTP),以及他们的动机和目标。这类信息使企业能够迅速设定优先级并采取行动。
不同于威胁数据源,威胁情报是特定于组织的,为企业提供有关其整体安全状况的信息:攻击者是谁,攻击手段是什么,目的何在。凭借这些信息,组织能够通过加固弱点、减轻未来威胁和更快地应对当前事件来提升安全性。
例如,当威胁情报显示某特定攻击者团体正在针对特定行业或地区时,安全团队可以采取预防措施,如增强安全控制或进行针对性员工培训。正如暗网的例子所示,威胁情报还能提供缓解攻击损害的关键信息,包括攻击者使用的策略和工具。这些信息不仅有助于应对当前攻击,还能预防未来攻击。
一个简单的测试就能帮助理解威胁情报与威胁数据源之间的区别:如果它增加了更多工作量,那么它可能是数据源;如果它帮助现有员工进行优先级划分和运营,则可能是威胁情报。再次回到天气比喻,地方天气预报能够具体告诉你是否适合打高尔夫以及最佳时间。尽管你可能从全国天气预报中得到相似信息,但要想确信就为时已晚。
往期精选
围观
威胁猎杀实战(六):横向移动攻击检测
热文
全球“三大”入侵分析模型
热文
实战化ATT&CK:威胁情报
原文始发于微信公众号(天御攻防实验室):为什么说IOC不是威胁情报
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论