探究什么是威胁信息,其实安全圈一直在使用它们。 漏洞库、指纹库、IP信誉库,它们都是威胁信息的一部分。 信息是线索,威胁信息是恢复已经发生的攻击和预测未发生的攻击所需的一切线索。 “威胁信息是发现和应对威胁的适当知识。 这个知识是我们说的威胁信息”。
威胁信息有什么用? 网络安全曾经经历过流氓群殴、侠客对决、黑社会群殴等阶段,如今形成了攻击者有组织图谋、防御者有侦查战术的局面。 ——无论是攻击还是防御都超越了点对点的战术,越来越依赖全面的战术。 简而言之,谋求安全的不仅是编程指南,也根据孙子兵法。 既然是正规军的对决,战法就必须相对立体。 知己知彼,百战不殆。威胁情报,就像是八百里加急快报送来的敌情。
二战期间,盟军依靠电脑之父图灵天才破译德国密码,得知德国很快就会轰炸考文垂。 但为了赢得更大的决定性胜利,盟军选择不让德国人知道对方解密了密码。 因此,盟军方面没有对考文垂采取明确的防御措施。 于是德国人相信那个密码依然安全,一步步进入了盟军的圈套。
在威胁信息中,安全公司也使用了同样的方法和黑客法。 例如,在各个安全论坛之间穿梭,假装黑客,愉快地讨论最近哪些攻击方式最流行,哪些漏洞可用。 然后回家修补漏洞。
因此,威胁信息将使企业对未来的攻击具有免疫力,从根本上改变原有的攻防态势。 黑客可能可以使用整整一年的攻击手段,但一旦进入威胁信息就会受到重点监控。 如果攻击者第二次也使用同样的后门,就会积极地跑到探照灯下。
一位大神透露,目前美国正试图有组织地揭露其他国家的基础设施攻击。 这句话非常可怕,这表明美国已经有了准确的威胁信息,很清楚攻击者的攻击路径。 为了不打草惊蛇,其中有60%-70%的攻击路径,美国没有曝光。 没错,美国静静地看着对方戴上x。
威胁信息给谁用? 从个人角度提供代理IP时,想要刷流量的人(绕过IP限制); 如果提供僵尸网络IP,我想要安全防御者,其实我也想要攻击者。 攻击者总是比防御者要求更多,所以Ta们可以达到目的。
公司方面,首先在项目之间,做WAF的、扫码的、做漏洞管理平台的可以交换漏洞信息,杀毒的和入侵检测的可以交换恶意样本信息,做业务诈骗的和网络攻防的可以交换IP信用信息所有这些,在内部资源(IPS等安全组件(甚至外部资源)开源资源的集合、供应商资源的交换)的整合)现状下,企业越大,这些信息就越碎片化)。 只有整合才能发挥协同效应,深入分析发现真正有价值的攻击事件和高度难以发现的APT现货攻击事件。
过去,我们在实时防御上花了太多力气,但没有完全屏蔽威胁。 这个时代已经过去了。 我们需要建立完整的防御系统,甚至防御、检测响应,甚至威胁信息预测攻击事件。 所有这些核心都是掌握大量数据,拥有强大的数据分析能力。 威胁信息是防御思路从传统的以脆弱性为中心的方法向以威胁为中心的方法演进的必然结果,正在形成大数据安全分析、基于攻击链的纵深防御等思想和新一代防御体系的基础。
归纳威胁信息分类战略威胁信息
战略威胁信息(Strategic Threat Intelligence )旨在从全球角度看待威胁环境和业务问题,并告知董事会和管理层决策。战略威胁情报通常不涉及技术性情报,主要涵盖诸如网络攻击活动的财务影响、攻击趋势以及可能影响高层商业决策的领域。运营威胁信息
运营威胁信息(Operational Threat Intelligence )与具体的、即将发生的或预期的攻击有关。 这有助于高级安全人员预测何时何地发生攻击,并采取有针对性的防御措施。 战术威胁情报
战术威胁信息(Tactical Threat Intelligence )关注攻击者的TTP,并与针对特定行业或地理范围的攻击者使用的特定攻击向量有关。 此外,确保类似的应急响应者针对此类威胁攻击准备了适当的响应和行动策略。 技术威胁信息
技术威胁信息(Technical Threat Intelligence )主要是缺陷标识,可以自动识别和屏蔽恶意攻击行为。
目前,业界应用更广泛的威胁信息主要在技术威胁信息层面。 前面提到的也主要是TTI,狭义的威胁信息,其主要内容是文件HASH、IP、域名、程序运行路径、注册表项等用于识别和检测威胁的缺失标识和相关归属标签。 请参阅文章:
33559 www.cn blogs.com/AC hao123/p/4980591.html
https://baike.baidu.com/item/威胁信息/23311172? fr=aladdin