威胁情报知识入门

威胁情报知识入门_第1张图片

近期发生的威胁事件有哪些?

1

1

1

北京时间3月12日晚,微软发布安全公告披露了一个最新的SMB远程代码执行漏洞(CVE-2020-0796),攻击者利用该漏洞无须权限即可实现远程代码执行,一旦被成功利用,其危害不亚于永恒之蓝,全球10万台服务器或成首轮攻击目标。 

威胁情报知识入门_第2张图片

图源:腾讯安全

1

2

1

2月12日,国家互联网应急中心刊发了一份《关于近期境外黑客组织拟对我国视频监控系统发起攻击的预警通报》。官方表示,境外黑客组织声称将于2月中旬对我国发起网络攻击,攻击目标主要以我国多家视频监控系统为主 。

威胁情报知识入门_第3张图片

CNCERT发布的预警通报

1

3

1

某集团在Github出现信息泄露事件,邮箱类型、用户名、密码、端口、业务代码、敏感接口密码、业务内部接口。

威胁情报知识入门_第4张图片

威胁情报知识入门_第5张图片

威胁情报是什么?

根据Gartner对威胁情报的定义,威胁情报是某种基于证据的知识,包括上下文、机制、标示、含义和能够执行的建议,这些知识与资产所面临已有的或酝酿中的威胁或危害相关,可用于资产相关主体对威胁或危害的响应或处理决策提供信息支持。

业内大多数所说的威胁情报可以认为是狭义的威胁情报,其主要内容为用于识别和检测威胁的失陷标识,如文件HASH,IP,域名,程序运行路径,注册表项等,以及相关的归属标签。

威胁情报知识入门_第6张图片

威胁信息模型

通俗的讲,威胁情报是关于威胁的信息,利用公开的资源,用于发现威胁并指导行动以改善安全状况。

威胁情报知识入门_第7张图片

威胁情报该如何分类?

传统意义上威胁情报可以分为以下四类:

1. 战略威胁情报

战略威胁情报(Strategic Threat Intelligence)提供一个全局视角看待威胁环境和业务问题,它的目的是告知执行董事会和高层人员的决策。战略威胁情报通常不涉及技术性情报,主要涵盖诸如网络攻击活动的财务影响、攻击趋势以及可能影响高层商业决策的领域。

2. 运营威胁情报

运营威胁情报(Operational Threat Intelligence)与具体的、即将发生的或预计发生的攻击有关。它帮助高级安全人员预测何时何地会发生攻击,并进行针对性的防御。

 

3. 战术威胁情报

战术威胁情报(Tactical Threat Intelligence)关注于攻击者的TTP,其与针对特定行业或地理区域范围的攻击者使用的特定攻击向量有关。并且由类似应急响应人员确保面对此类威胁攻击准备好相应的响应和行动策略。

4. 技术威胁情报

技术威胁情报(Technical Threat Intelligence)主要是失陷标识,可以自动识别和阻断恶意攻击行为。

而从不同角度分析,我们可以将威胁情报分为:国家级别情报、企业安全情报和普通群众情报。

国家级别情报主要包括以影响政治或经济为目的进行网络攻击,其中包括图兰军和委内瑞拉停电事件。

土耳其图兰军在1月21日晚23:00左右,宣称将于22日下午15:00(当地时间),集中对中国站点进行DDoS攻击,并在网页下方提供了相关的部分攻击工具,以及攻击用服务器。

威胁情报知识入门_第8张图片

图兰军

2019年3月7日晚,委内瑞拉发生了大面积停电事件,全国大范围封闭黑暗。ZoomEye通过每日录入入委内瑞拉的banner数量的明显变化,对停电事件进行了分析。完整分析,可以阅读文章《ZoomEye 网络空间测绘——委内瑞拉停电事件对其网络关键基础设施和重要信息系统影响》

威胁情报知识入门_第9张图片

ZoomEye对委内瑞拉停电事件的分析图

企业安全情报包括IP、泄露信息、漏洞披露、暗网监控、仿冒钓鱼以及反欺诈等与企业业务息息相关的威胁情报。

威胁情报知识入门_第10张图片

seebug漏洞库

普通群众情报可以理解为我们在日常生活中遇到的安全风险。其中以个人为单位对假冒网站等信息进行收集的安全联盟也是威胁情报的一种。

 

威胁情报知识入门_第11张图片

浏览器的风险提示

威胁情报知识入门_第12张图片

总结

威胁情报作为近年来安全领域一个比较新也比较火热的概念,有非常多的内容值得我们深入思考。本篇文章是昨日知道创宇安全专家在直播讲座《威胁情报安全预警》里面为大家带来的分享。期待未来我们有机会探讨更多相关内容。

观看本期直播的回放可以扫描下方二维码。(提示:正片在2:03,需手动拖拽进度条。)获取本次讲座PPT请添加微信好友KCSC818

威胁情报知识入门_第13张图片

扫码观看讲座回放

如果你有其他想了解的安全知识,欢迎在本文下方留言并关注我们,未来我们将带来更多干货满满的网络安全直播~

????往期好文回顾

风口上的在线教育,不能忽视的安全风险

知道创宇携手好大夫在线开启免费义诊行动 

知道创宇免费开放千万元产品,助力企业共渡难关

安全战“疫”!知道创宇远程安全运营解决方案助力企业移动办公

知道创宇云安全大会 | 开辟安全净土

你可能感兴趣的:(威胁情报知识入门)