威胁信息和威胁情报有啥区别?

简介: 本文讲的是威胁信息和威胁情报有啥区别?,成品情报,是威胁信息纳入、评估和商业利益导出的结果。

本文讲的是威胁信息和威胁情报有啥区别?,成品情报,是威胁信息纳入、评估和商业利益导出的结果。
image

网络威胁情报领域,混淆一直存在(很多还都是厂商弄出来的),威胁信息往往被当做了成品情报。

虽然情报过程从威胁信息收集开始,但信息收集仅仅,仅仅只是个起始点而已。从大量获取信息,到产出成品情报之间,还有好长好长的一段路要走,二者之间简直是质的不同。

散布图中各处的1000个点,那是信息。但以某种形式连接各点显示出上下文和关联度(我们称之为“经评估的情报”),那就是情报了。这些情报可用于为未来攻击做应对准备,支撑以前未知的风险,将精力专注到正确的领域。它还能帮助你从事件响应的角度理解发生了什么,为什么会发生,以及怎样发生的。

网络威胁情报(CTI)是一个生命周期过程,最终产出可被不同团体以多种方式消费的可交付产品(取决于所提供的威胁情报的级别——战略性、操作性还是战术性)。说白了,CTI就是拉取指标馈送或涌入大量数据,并将这些指标应用到你的具体环境中。

威胁情报需要自动化,尤其是在数据收集、处理、筛选和部分分析方面,同时还需和人力分析结合。但人的因素往往在疯狂馈送中被无视掉了,这是非常错误的。

虽然现如今信息收集挺常见,但无论是从暗网还是从公开资源搜刮,信息获取都是相当简单的(受限黑市和论坛上需要伪装身份的情况例外)。这就仅仅是收集数据而已。或许也包含了一定的处理和过滤,但真正的秘方,还在于情报分析。

分析做对了,就能确保收集来的信息在准确度、相关性、时效性和完整性上都得到合理的评估。情报是要置入特定行业或公司的上下文中以获得不同的意见和决策的,而这需要人类的经验和对细节的关注。

最终,你需要信息来产生情报。然而,信息本身并不是情报,实际上甚至还有可能会让公司不堪重负,或是将公司指引向错误的方向。情报则能说明问题。信息只是提供大量可能的动作,情报则是有意义且有用的(用滥了的“可执行性”这词儿真心不想再用)。情报支持计划制定,提供方向和焦点,最终帮助你在精力和资源分配上做出更好的决策。

分析威胁活动的时候,可以透过“方法途径”透镜来观察:

目标行业——哪些特定公司或组织是攻击对象?
目标技术——目标公司所用的哪种技术(如:Adobe Flash、IE等等)可被利用来发起攻击?
投送方法——攻击者怎样将攻击载荷投送到目标系统(如:鱼叉式网络钓鱼、第三方侵入等等)?
漏洞利用——攻击者使用了哪个具体漏洞利用程序或已知(或未知)漏洞?
存在形式——攻击者获取/使用什么级别的存在形式(如:特权账户、数据库访问等等)来展开攻击?
达到的效果/伤害——攻击导致的影响是什么(如:知识产权被盗、服务中断等等)?
掌握方法途径可提供有意义的上下文,弄清威胁是什么,怎么进行的,威胁目标是什么,对公司的影响有哪些。成品情报包含此类分析,也包含威胁指标和支持性证据,还有置信度和实际动作建议。所以,情报不仅仅告诉你发生了什么和怎么发生的,还给了你影响评估和缓解步骤建议,从事件响应角度、风险策划和准备方式上给你帮助。

有关威胁情报,“待做事项”是没有得到充分讨论的一个方面。或许,某些厂商使用“可执行性”情报一词时指的就是这个意思,但除了“可执行”,情报还应给出解决迫在眉睫的威胁或已识别风险的实际任务。成品情报终究要是威胁信息纳入、信息评估和商业利益导出的结果,通常表现为对业务运营潜在影响风险的减小。

如果你还不能从当前CTI工作中轻松阐明商业利益,或者在创建新CTI功能时还没有定义它们,那你可能就仅仅是在收集威胁信息,而不是在做威胁情报。

原文发布时间为:四月 24, 2017
本文作者:nana
本文来自云栖社区合作伙伴安全牛,了解相关信息可以关注安全牛
原文链接:http://www.aqniu.com/learn/24498.html

相关文章
|
5月前
|
存储 安全 网络安全
现代网络安全与信息保护
随着信息技术的迅猛发展,网络安全和信息保护变得日益重要。本文探讨了网络安全漏洞、加密技术及安全意识的关键方面,为读者提供了深入的技术性见解和实用建议。
30 0
|
存储 安全 网络安全
网络安全威胁的主要内容
网络安全威胁的主要内容
83 0
|
11月前
|
存储 机器学习/深度学习 监控
网络安全之认识托管威胁检测与响应(MDR)
随着数字化转型加速,企业的IT环境日益复杂,面临的网络安全威胁也在不断增加。传统的防御措施已经无法有效应对新型威胁,而且很多企业缺乏专业的网络安全团队和技术手段,导致大量的安全事件未能及时被发现和处理。 在这种背景下,托管威胁检测响应服务(MDR)应运而生。MDR能够利用现代安全运营中心的技术和专业人员,为客户提供全天候的安全监测和快速响应,从而缩短威胁发现和响应之间的窗口期,降低风险并减轻安全运营压力。
402 1
|
机器学习/深度学习 人工智能 安全
网络安全威胁的识别和防范策略
网络安全威胁的识别和防范是当今数字化时代不可忽视的问题。恶意软件、网络钓鱼等威胁不断演变,需要持续关注和采取措施来保护个人隐私和企业数据。通过有效的识别方法和防范策略,我们可以更好地应对不断变化的网络安全挑战。
432 1
|
存储 安全 物联网安全
网络安全定义和安全威胁
定义: 网络安全具有信息安全的属性,属于信息安全的一个分支;计算机安全负责信息存储和处理过程的安全。 网络安全负责信息传输过程的安全。 信息安全发展的四个阶段: 1.通信安全阶段 2.计算机系统信息安全阶段
134 0
|
监控 安全 网络安全
威胁情报:最危险的网络安全工作
威胁情报、APT分析师、事件检测和响应专家、欺骗式或攻击性防御技术开发者和渗透测试人员们经常需要出没暗网、分析危险的恶意软件,或者追踪危险的网络犯罪分子。
威胁情报:最危险的网络安全工作
|
云安全 安全 数据安全/隐私保护
攻击威胁促使云安全标准迅速建立
据一名安全专家的预测,随着越来越多的公司开始选择将数据和应用从内部IT系统迁移到第三方提供的云服务上;因此,针对供应商基础设施的攻击也将变得“越来越严重”。专家认为这些威胁将促使相关人员就建立云标准的必要性展开讨论。
842 0
|
监控 安全 网络安全
什么是威胁情报?如何依据威胁情况识别安全威胁?
本文讲的是 什么是威胁情报?如何依据威胁情况识别安全威胁?,简单来说,威胁情报就可以帮助人们识别安全威胁并做出明确决定的知识。
1765 0