51CTO首页
AI.x社区
博客
学堂
精品班
直播训练营
企业培训
鸿蒙开发者社区
WOT技术大会
AIGC创新中国行
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术2024年软考PMP项目管理软考资讯
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO题库小程序
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
账号设置 退出

威胁情报怎么用

作者:ZenMind
安全
本文主要分析威胁情报的种类及其作用。

威胁情报在国内已经火了几年,威胁情报怎么用,具体的使用场景是什么,这方面的话题似乎较少。下面想根据个人所知,谈谈这方面,不完善准确的地方也请大家指正。

有些时候情报和威胁情报很容易被划等号,其实不然。威胁情报(和攻击者相关)、漏洞情报(和脆弱点相关)、资产情报(内部IT业务资产和人的信息),都属于情报的范畴,但作用和生产维护方法都不同,需要明确区分。它们都是安全分析需要的信息,资产和漏洞在多年前就一直被重视,甚至安全建设就是被认为是围绕着资产和漏洞的。现实中攻防对抗的不断演进,让我们不得不进入主动安全建设阶段(或者说自适应安全架构ASA),我们需要更多的去关注威胁,让威胁情报去引领安全建设,进一步的完善检测、分析、预测预防的能力,并由此发现防御上的不足,给予针对性的完善。这种动态平衡的安全理念,成为被广泛接受的安全建设指导思路。

威胁情报

言归正传,下面就具体谈谈威胁情报的种类。基于整体应用场景,我们可以将情报分为3类:以自动化检测分析为主的战术情报、以安全响应分析为目的的运营级情报,以及指导整体安全投资策略的战略情报。

战术级情报

战术情报的作用主要是发现威胁事件以及对报警确认或优先级排序。常见的失陷检测情报(CnC 情报)、IP情报就属于这个范畴,它们都是可机读的情报,可以直接被设备使用,自动化的完成上述的安全工作。

失陷检测情报,即攻击者控制被害主机所使用的远程命令与控制服务器情报。情报的IOC往往是域名、IP、URL形式(有时也会包括SSL证书、HASH等形式),这种IOC可以推送到不同的安全设备中,如NGFW、IPS、SIEM等,进行检测发现甚至实时阻截。这类情报基本上都会提供危害等级、攻击团伙、恶意家族等更丰富的上下文信息,来帮助确定事件优先级并指导后续安全响应活动。使用这类情报是及时发现已经渗透到组织APT团伙、木马蠕虫的最简单、及时、有效的方式。

IP情报是有关访问互联网服务器的IP主机相关属性的信息集合,许多属性是可以帮助服务器防护场景进行攻击防御或者报警确认、优先级排序工作的。譬如:利用持续在互联网上进行扫描的主机IP信息,可以防止企业资产信息被黑客掌握(很多时候黑客对那些主机开放了SMB端口、那些可能有Struts 2 漏洞比企业的网管掌握的更清楚);利用在互联网进行自动化攻击的IP信息可以用来进行Web攻击的优先级排序;利用IDC主机或终端用户主机IP信息可以用来进行攻击确认、可疑行为检测或垃圾邮件拦截;而网关IP、代理IP等也都各自有不同的作用,相关场景很多,就不一一列举了。

运营级情报

运营级情报是给安全分析师或者说安全事件响应人员使用的,目的是对已知的重要安全事件做分析(报警确认、攻击影响范围、攻击链以及攻击目的、技战术方法等)或者利用已知的攻击者技战术手法主动的查找攻击相关线索。第一类活动属于事件响应活动的一部分,第二类活动更是有一个高大上的名字“安全狩猎”。

事件响应活动中的安全分析需要本地的日志、流量和终端信息,需要企业有关的资产情报信息,也需要运营级威胁情报。这种情况下情报的具体形式往往是威胁情报平台这样为分析师使用的应用工具。有一个和攻击事件相关的域名或IP,利用这个平台就有可能找到和攻击者相关更多攻击事件及详情,能够对攻击目的、技战术手法有更多的认识;通过一个样本,我们能够看到更多的相关样本,也可以对样本的类型、流行程度、样本在主机上的行为特征有更多的了解;同样的利用这个平台可以持续的跟踪相关的攻击者使用的网络基础设施变化;发现相关资产是否已经被攻击者所利用,等等。

安全狩猎是一个基于已知技战术手法(TTP:技术、工具、过程)发现未知威胁事件,同时获得进一步黑客技战术相关信息的过程。安全狩猎的过程需要特定的内部日志、流量或终端数据和相应分析工具,还需要掌握有较丰富对手技战术手法的安全分析师。这类情报往往通过基于安全事件的分析报告,或者特定的技战术手法数据库得到,国际上在这方面已经有较多的进展,包括了各类开源或限定范围的来源可以提供这样的信息,而国内相对较少,并且一些安全事件报告因为这样那样的问题,并不能公开发表最宝贵的TTP层面分析内容。

战略级情报

战略层面的威胁情报是给组织的安全管理者使用的,比如CSO。一个组织在安全上的投入有多少,应该投入到那些方向,往往是需要在最高层达成一致的。但面临一个问题,如何让对具体攻防技术并不清楚的业务管理者得到足够的信息,来确定相关的安全投资等策略?这时候如果CSO手中有战略层面的情报,就会成为有力的武器。它包括了什么样的组织会进行攻击,攻击可能造成的危害有哪些,攻击者的战术能力和掌控的资源情况等,当然也会包括具体的攻击实例。有了这样的信息,安全投入上的决策就不再是盲目的、而是更符合组织的业务状况及面临的真实威胁。

小结

威胁情报大体就这三种类型,分别用来支撑安全运维人员、安全分析师和安全管理者。但在一篇短文中是不可能覆盖这些类型的所有使用场景的,并且这也是个创新领域,会不断的涌现出更多的应用场景和方式,希望能听到更多的声音,告诉大家遇到的、想到的。

责任编辑:赵宁宁 来源: 简书
威胁情报漏洞攻击
相关推荐
到手的新兴威胁情报工具应该怎么?
你的企业正在使用威胁情报吗如果是这样,你可能已经注意到这种信息缺乏标准化,并且,组织和政府机构之间缺乏合作……

2015-02-11 09:15:55

威胁情报 = 数据 + 人
我们已经看过许多威胁情报的演讲和文章,也向很多专业人员咨询过威胁情报怎样利用的问题。其中抱怨最多的就是:现在所谓的威胁情报根本就是聚焦点很窄的平面(flat)数据。有时候,这些数据会派上用场,但多数时候,根本没用。

2016-03-12 22:04:29

解惑|威胁情报指南
虽然网络世界里有些人觉得威胁情报是新晋流行词,其实情报在我们身边已经很久了。政府早已利用情报在外交上、战场上、对抗恐怖主义上占据优势。公司为获得竞争优势,攫取市场、销售和财务商业信息,也纷纷应用情报战术。情报的概念行之有效,久经考验。

2016-10-14 15:00:45

威胁情报那些事儿
目前,安全界普遍认同的一个理念是:仅仅防御是不够的,被动的“挨打”永远不会是解决之道,要想保证自身的安全,需要拿起武器,主动反击。安全情报,就像是八百里加急快报送来的敌情。

2018-09-26 06:50:19

威胁情报给2017年做安全趋势预测
过去一年的大量网络威胁数据中,蕴藏着一些明显的趋势,我们可以用来提供未来12个月的网络安全指南和策略。

2017-01-12 19:49:14

成长中的威胁情报
如果企业的长期目标是拥有成熟的威胁情报规划,那它们需要进行内部风险评估和制订行动计划。

2015-09-02 12:05:45

威胁数据,信息和情报
当上升到信息级别的时候,能否转化成安全工作是唯一真正重要的,只是拥有威胁数据或信息并没有什么价值,除非你能利用它去来提高安全性或低于即将到来的攻击。

2017-03-27 15:57:49

20%的预算实现80%的威胁情报目标
以下,我们整理了业界专家的一系列建议,帮助那些缺少安全预算的企业组织,以20%的预算投入达成80%的威胁情报工作。

2021-10-20 11:47:26

威胁情报网络威胁网络安全
认识威胁情报系统
当前网络空间安全形势非常复杂,入侵手段不断攀升,比如匿名网络(TheOnionRouter简称Tor)、网络跳板、僵尸网络(Botnet)、恶意URL地址等方式在网络攻击者大量使用,发现困难、追踪更难,这些都攻击手段的出现带来了新的挑战。

2016-10-08 00:09:52

技术专题·安全威胁情报
安全威胁情报(ThreatIntelligence)是2015年信息安全产业中的一个热词,不管是传统的产业巨头还是新兴的初创公司都在宣称可以提供某种形式和类型的威胁情报,发布自己的威胁情报交换方案或技术平台,相应的共享和交换标准也在推进中。其实在国外的安全业,对威胁情报已经有比较明确的定义。

2016-01-22 12:02:09

威胁情报的私有化生产和级联:威胁狩猎及情报共享
随着互联网特别是移动互联网的发展,网络环境愈发复杂,传统以防御漏洞为主的安全策略在面对层出不穷的新型、持续性、高级风险时难以及时有效的检测、拦截和分析。

2019-12-12 14:08:32

威胁情报威胁狩猎情报共享
威胁情报工具:更快?更聪明?
当今,网络威胁的覆盖面越来越广,渗透速度也越来越快。调查显示,60%的案例中攻击者能在数分钟内攻陷一家公司。更令人震惊的是,遭受攻击的企业中85%都不知道自己已经被攻破数周了。

2015-07-02 14:21:04

威胁情报不是知识产权
威胁情报的深度和广度是安全厂商的主要区分因素这一概念已经是安全行业广为接受的认知,而我们需要打破并改变这一看法。

2015-10-13 15:54:09

开源威胁情报平台路在何方?
企业对威胁情报分享以及威胁情报在各个网络安全领域融合应用的热情,源自威胁情报日益凸显的价值,以下是IDC对威胁情报给企业安全运营带来的价值分析:

2020-03-11 20:29:26

网络安全IT漏洞
物联网威胁情报研究
本文对物联网威胁情报进行了分析,之后,以某省的物联网资产和UPnP协议的暴露情况为例,分析了如何使用物联网威胁情报。

2019-01-29 04:06:27

黑莓全球威胁情报报告
2023年1月出版第一期季刊以来,《黑莓全球威胁情报报告》已迅速成为网络安全行业的重要参考指南。全球网络安全专业人士(包括CISO、安全经理和其他决策者)使用该报告来了解影响其行业和平台的最新网络安全威胁和挑战。

2023-08-17 15:08:52

如何从威胁数据当中提取出威胁情报
威胁情报供给能力已经成为各类组织机构内网络安全体系的重要组成部分。目前已经有多家安全方案供应商针对最新恶意软件手段、恶意域名、网站、IP地址以及基于主机的违规指标(简称IoC)提供与安全威胁相关的情报反馈。

2016-01-26 11:08:54

安全威胁情报有效使用的基础
威胁情报是近两年来被安全界提及最多的词汇之一。有人说威胁情报是解决现有安全问题的良药,有人说威胁情报不是新鲜事儿,上古”就已有之,这种百家争鸣的形势必将对国内网络信息安全的发展带来巨大影响。

2016-01-26 10:51:50

观点:我们为什么需要威胁情报?
最近被谈论的异常火热的一个术语就是威胁情报,那么威胁情报到底是什么意思,它是一种什么概念或者机制呢本文中我们就来亲密接触一下威胁情报,并了解它所具有的功能,然后给出几个威胁情报的最佳实践示例,最后分析威胁情报有助于SIEM解决什么问题。

2015-11-11 13:35:15

网络威胁情报团队的新使命
网络威胁情报(CTI)是当下发展最快的网络安全细分领域之一,不仅技术和产品在不断更新和演进,方法论和理念也在迅速发展。

2021-08-27 06:00:45

网络威胁情报CTI网络安全
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服