威胁情报的定义及理解

根据GarTner对威胁情报的定义,威胁情报是某种基于证据的知识,包括上下文、机制、标示、含义和能够执行的建议,这些知识与资产所面临已有的或酝酿中的威胁或危害相关,可用于资产相关主体对威胁或危害的响应或处理决策提供信息支持。业内大多数所说的威胁情报可以认为是狭义的威胁情报,其主要内容为用于识别和检测威胁的失陷标识,如文件HASH,IP,域名,程序运行路径,注册表项等,以及相关的归属标签。

威胁情报分为四种类型:

战略威胁情报(Strategic Threat Intelligence)提供一个全局视角看待威胁环境和业务问题,它的目的是告知执行董事会和高层人员的决策。战略威胁情报通常不涉及技术性情报,主要涵盖诸如网络攻击活动的财务影响、攻击趋势以及可能影响高层商业决策的领域。

运营威胁情报(Operational Threat Intelligence)与具体的、即将发生的或预计发生的攻击有关。它帮助高级安全人员预测何时何地会发生攻击,并进行针对性的防御。

战术威胁情报(Tactical Threat Intelligence)关注于攻击者的TTP,其与针对特定行业或地理区域范围的攻击者使用的特定攻击向量有关。并且由类似应急响应人员确保面对此类威胁攻击准备好相应的响应和行动策略。

技术威胁情报(Technical Threat Intelligence)主要是失陷标识,可以自动识别和阻断恶意攻击行为。

当前,业内更广泛应用的威胁情报主要还是在技术威胁情报层面。

威胁情报的产生和周期主要包含五个步骤:

威胁情报1. 明确需求和目标

决策者需要明确所需要的威胁情报类型,以及使用威胁情报所期望达到的目标,而在实际中,这一步往往被忽略。

决策者通常可以明确需要保护的资产和业务,评估其遭受破坏和损失时的潜在影响,明确其优先级顺序,最终确认所需要的威胁情报类型。

威胁情报2. 收集

威胁情报收集从来源上包含如下渠道:企业内部网络、终端和部署的安全设备产生的日志数据;订阅的安全厂商、行业组织产生的威胁数据;新闻网站、博客、论坛、社交网络;

一些较为封闭的来源,如暗网,地下论坛

威胁情报3. 分析

分析环节是由人结合相关分析工具和方法提取多种维度数据中涵盖的信息,并形成准确而有意义的知识,并用于后续步骤的过程。

常用的威胁情报分析方法和模型包括Lockheed Martin的Cyber Kill Chain,钻石分析法,MITRE ATT&CK。

威胁情报4. 传播和分享

当产生威胁情报后,需要将威胁情报按照需要进行传播和分享。

对于企业内部安全人员,不同类型和内容的威胁情报会共享给如管理层,安全主管,应急响应人员,IT人员等。

对于企业内部采用的安全架构实现和安全防御设备,威胁情报可以分发并应用到SOC,SIEM,EDR等产品中。

对于乙方的威胁情报服务商通常会采用威胁情报平台(TIP),或者直接以威胁情报数据服务提供,其中通常采用的威胁情报分享格式为STIX和OpenIOC。

威胁情报5. 评估和反馈

评估和反馈环节是用于确认威胁情报是否满足原始需求和是否达到目的,否则就需要重新执行步骤1的阶段进行调整。

从威胁情报的产生来源可以分为内部威胁情报和外部威胁情报。

内部威胁情报为企业或机构产生的应用于内部信息资产和业务流程保护的威胁情报数据,通常为“自产自销”的模式。

外部威胁情报通常由合作伙伴,安全供应商等提供的应用于企业自身的威胁情报数据,而企业作为威胁情报的消费者,而不是生产者。外部威胁情报也可以来自于开源威胁情报(OSINT),人力情报(HUMINT)等。

作用和价值

威胁情报提高应对威胁的效率

威胁情报中的相关性和上下文信息能让企业安全人员明确哪些威胁数据是与企业信息资产和业务安全息息相关的,威胁的背景,以及可以根据威胁的影响程度选择响应处理的优先级。

威胁情报脆弱性管理和风险控制

威胁情报可以帮助企业安全人员明确其企业的在线信息资产和安全状况,根据企业自身资产的重要程度和影响面,进行相关的漏洞修补和风险管理。

威胁情报了解威胁环境和用于决策

威胁情报可以帮助企业安全人员了解其所在行业的威胁环境,有哪些攻击者,攻击者使用的战术技术等。威胁情报帮助其了解企业自身正在遭受或未来面临的威胁,并为高层决策提供建议。

威胁情报应用场景

以下列举了威胁情报的一些主要的应用场景:

1) 与企业已有的安全架构、产品、流程相整合,如SIEM、SOC、EDR等。

2) 应用到企业内部的事件应急响应中,如APT攻击,勒索等。

3) 应用到企业的业务安全中,如账号风控,防欺诈,信息泄露等。

4) 应用到企业的网络资产管理,脆弱性管理和风险控制中。

你可能感兴趣的:(技术普及,威胁情报)