7.3. 威胁情报

文章目录

  • 7.3. 威胁情报
    • 7.3.1. 简介
    • 7.3.2. 相关概念
      • 7.3.2.1. 资产(Asset)
      • 7.3.2.2. 威胁(Threat)
      • 7.3.2.3. 脆弱性 / 漏洞(Vulnerability)
      • 7.3.2.4. 风险(Risk)
      • 7.3.2.5. 安全事件(Event)
    • 7.3.3. 情报来源
    • 7.3.4. 威胁框架

7.3. 威胁情报

7.3.1. 简介

威胁情报(Threat Intelligence)一般指从安全数据中提炼的,与网络空间威胁相关的信息,包括威胁来源、攻击意图、攻击手法、攻击目标信息,以及可用于解决威胁或应对危害的知识。广义的威胁情报也包括情报的加工生产、分析应用及协同共享机制。相关的概念有资产、威胁、脆弱性等,具体定义如下。

一般威胁情报需要包含威胁源、攻击目的、攻击对象、攻击手法、漏洞、攻击特征、防御措施等。威胁情报在事前可以起到预警的作用,在威胁发生时可以协助进行检测和响应,在事后可以用于分析和溯源。

常见的网络威胁情报服务有黑客或欺诈团体分析、社会媒体和开源信息监控、定向漏洞研究、定制的人工分析、实时事件通知、凭据恢复、事故调查、伪造域名检测等。

在威胁情报方面,比较有代表性的厂商有RSA、IBM、McAfee、赛门铁克、FireEye等。

7.3.2. 相关概念

7.3.2.1. 资产(Asset)

对组织具有价值的信息或资源,属于内部情报,通过资产测绘等方式发现。

7.3.2.2. 威胁(Threat)

能够通过未授权访问、毁坏、揭露、数据修改和或拒绝服务对系统造成潜在危害的起因,威胁可由威胁的主体(威胁源)、能力、资源、动机、途径、可能性和后果等多种属性来刻画

7.3.2.3. 脆弱性 / 漏洞(Vulnerability)

可能被威胁如攻击者利用的资产或若干资产薄弱环节。

漏洞存在多个周期,最开始由安全研究员或者攻击者发现,而后出现在社区公告/官方邮件/博客中。随着信息的不断地传递,漏洞情报出现在开源社区等地方,并带有PoC和漏洞细节分析。再之后出现自动化工具开始大规模传播,部分漏洞会造成社会影响并被媒体报道,最后漏洞基本修复。

7.3.2.4. 风险(Risk)

威胁利用资产或一组资产的脆弱性对组织机构造成伤害的潜在可能。

7.3.2.5. 安全事件(Event)

威胁利用资产的脆弱性后实际产生危害的情景。

7.3.3. 情报来源

为了实现情报的同步和交换,各组织都制定了相应的标准和规范。主要有国标,美国联邦政府标准等。

除了国家外,企业也有各自的情报来源,例如厂商、CERT、开发者社区、安全媒体、漏洞作者或团队、公众号、个人博客、代码仓库等。

7.3.4. 威胁框架

比较有影响力的威胁框架主要有洛克希德-马丁的杀伤链框架(Cyber Kill Chain Framework)、MITRE的ATT&CK框架(Common Knowledge base of Adversary Tactics and Techniques)、ODNI的CCTF框架(Common Cyber Threat Framework,公共网空威胁框架),以及NSA的TCTF框架(Technical Cyber Threat Framework,技术性网空威胁框架)。


上一篇:7.2. 安全开发 下一篇:7.4. ​​ATT&CK

你可能感兴趣的:(Web安全学习笔记,威胁情报,资产,脆弱性,/,漏洞,情报来源,威胁框架)