本节书摘来自华章计算机《防患未然:实施情报先导的信息安全方法与实践》一书中的第3章,第3.2节,作者:[美] 艾伦利斯卡(Allan Liska) 更多章节内容可以访问云栖社区“华章计算机”公众号查看。
3.2 网络威胁情报的定义
在第2章中介绍了情报的定义:
情报是一个“伞状术语”,指的是一系列活动—从规划和信息收集到分析和传播,以秘密的方式进行,通过提供威胁或者潜在威胁的预警,使预防性策略或者战略(包括必要时的秘密活动)得以及时实施,旨在维护和加强相对安全。
这是定义网络威胁情报的良好开端。Gartner(McMillan,2013)使用如下定义代替:
基于证据、关于资产所面临的现有或新兴威胁及风险的认识,包括环境、机制、指标、可能结果及可付诸行动的建议,可以为威胁或风险应对决策提供信息。
对于本书的目的,这一定义非常合适,因为它包含了网络威胁情报中对安全团队的成功至关重要的所有方面。
和情报的传统定义类似,网络威胁情报的定义集中于一个事实:情报应该是可以付诸行动的。特别是在较小的机构中,网络安全情报必须以即时性措施的形式出现,安全团队可以采取这些措施保护网络。
定义中的另一个方面强调了环境,这一方面在第2章的原始定义中遗漏了,但是仍很重要。环境实际上与两个领域有关。首先,如果目标网络不受影响,那么网络威胁也就不是真正的威胁。在安全威胁情报领域中,环境很重要,知道有哪些威胁是不够的,有效的安全组织还必须全面了解大型组织中所要保护的资产。其次,理解威胁本身的环境是很重要的。分布式拒绝服务攻击(DDoS)的来源是向某个组织发动DDoS攻击然后快速离开的无重点群体,还是使用DDoS掩盖其他活动的有组织团队?
这是区分术语的合适时机。漏洞(Vulnerability)、利用(Exploit)和威胁(Threat)这些术语往往相互重叠,但是每个术语在本书中都有特定的含义。漏洞是应用程序、系统或者过程中的一个弱点,可能被用来获得权限提升、干扰正常使用或者进行其他潜在的恶意活动。利用是可能用于针对漏洞所造成暴露的自动化代码或者人工行为。威胁是组织网络中可能被利用的特定漏洞的存在。威胁和利用是主动性的,而漏洞是被动性的。
前面已经提出过,在此定义中又被重复提到的一个要点是:情报不等于数据。在收集的数据通过内部或者第三方分析之前,它只是信息。只有收集的数据经过整个情报生命期,才能成为情报。上述定义中还提到了指标。在网络威胁情报领域中,指标通常是IP地址、域名、文件散列、注册表项、特征码或者类似的其他信息。这些指标本身并不是情报,它必须与对指标的认识、对目标网络的威胁级别以及目标网络的相关性相结合,才能成为情报。
例如,许多来源(本书后面会用到一些)提供用于保护网络的IP地址列表。这些IP地址列表本身不是情报,而当它们在某个网络或者一个类似网络中被检测到时,就会成为情报。只有在这些IP地址可以付诸行动时,例如,被拦截的威胁,它们才从信息变为潜在的情报。
