什么是威胁情报？

第一次接触情报是2019年，差不多是4月份的时候，当时Waf解散，懵逼的加入态势感知，立即就被要求用C/C++开发了一个异常流量分析引擎，什么ES、什么Kafka、什么PB文件，全部从零开始搞。那个时候的情报还很简单，存在Redis数据库中，都是json格式，主要有IP和Domain，然后撞上了，搭上一个恶意标签。再后来，情报加入了方向，加入了病毒家族等...

• 什么是安全情报？

包含漏洞、资产、威胁、风险、运行和事件等多维度安全知识在内的知识集合。

• 什么是机读情报？

可供机器理解和使用的情报，侧重于高频次、高准确性、强实效的应用场景。

• 什么是人读情报？

信息量更大，需要更多的上下文、背景信息支持人工分析研判和应急响应。

• 什么是画像情报？

针对单一的威胁、资产、漏洞、事件进行分析，形成相应的知识集，概念上类似于用户画像。

• 什么是知识情报？

消费对象和应用场景集中于态势感知、SOC/SIEM类分析平台，输出的并非现在主流的机读情报、人读情报和画像情报，而是基于先验知识的规则模型和算法。这些模型和算法与平台之间高度匹配，可以快速导入平台，结合平台获得的各类数据、信息和情报，实现对某类特定类别的威胁、风险或特定事件的感知、分析、决策和处置。

• 什么是战术级情报？

战术执行层面的行动、决策需要的是与具体的资产、漏洞、威胁、风险、事件相关的可机读情报，一般是IP、URL、域名等IOC指标。

• 什么是运营级情报？

运营管理层面的行动/决策需要的是基于一定情境和机制的，具有较丰富上下文信息的情报。运营级情报是建立在对战术级威胁情报进行多维度分析的成果之上而形成的更高维度的情报知识。

• 什么是战略级情报？

战略/策略指定层面的行动/决策需要的是经由综合性分析得出的，带有建议的战略级情报。（一般部署EDR，抓捕恶意软件）

• 什么是漏洞情报？

运用威胁情报技术，对漏洞进行数据采集、分析和结构化描述后形成的知识。漏洞情报的内容和NVD、CNVD、CNNVD等漏洞库的漏洞条目相似，但更为关注相关漏洞的实现原理POC、利用方式EXP、影响对象CPE和应对措施等。

• 什么是资产情报？

资产情报指运用威胁情报技术，对资产进行数据采集、分析和结构化描述后形成的知识。包括：风险资产情报、资产变更情报、资产发现情报。

• 什么是事件情报？

突出对事件的描述，尤其是对事件相关TTPs（战术，技巧和程序）。运用威胁情报技术，对影响到特定组织的某个特定或一系列相关的网络安全事件进行数据分析，形成的知识。包括事件相关的可观测数据、相关对象、受影响资产、相关TTP、威胁方、目的、攻陷类型、相应措施等信息。

• 什么是情报市场？

情报市场是一种自主订阅机制，通过构建一个核心的安全信息共享平台，针对不同厂商提供的不同类型的安全情报，设计对应的情报卡片，使用户只需要通过自行订阅相应的情报卡片，即可获取并查询对应的情报数据，再通过统一的数据接口get到本地。

• 什么是开源情报？（OSINT）

Open Source Threat Intelligence 开源情报，免费从公开信息来源进行数据采集和分析后形成的情报。

• 什么是商业情报？

Commercial Threat Intelligence 商业情报，在威胁情报领域，根据用户需求提供的付费情报。（有点像侦探小说）

---

常见网络安全情报相关的单词

• APT（Advanced Persistent Threat）高级可持续性威胁
• ATT&CK（Adversarial Tactics,and Common Knowledge）对抗策略和常识
• CNNVD（China Nationl Vulnerability Database of Information Security）国家信息安全漏洞库
• CNVD（China Nation Vulnerability Database）国家信息安全漏洞共享平台
• CVE（Common Vulnerabilities and Exposures）常见漏洞和披露
• DPI（Deep Packet Inspection）深度豹纹检测
• IOC（Indicator of Compromise）攻陷指标