网络威胁情报在防御网络犯罪、APT组织和黑客主义中起关键作用。美国国防工业基地(DIB)通过Project Spectrum等项目,利用内部和外部数据源加强网络安全。DIB成员通过信息共享和分析中心(ISAC)等平台交换失陷指标(IoC),提高防御能力。文章还介绍了各种威胁情报来源,包括威胁交流社区和商业情报平台。
网络威胁情报(CTI)是一门情报学科,利用收集,完善和分析数字信息来应对网络空间领域中存在的威胁。网络威胁情报基于内部到外部数据源,威胁社区或商业产品中收集的数据,可以帮助检测和防御网络犯罪分子,高级持续威胁组织(APT)和黑客主义者。
由美国国防部支持的Project Spectrum项目,编写了一本专注于美国国防工业基地(DIB)中组织可用的威胁情报来源和社区的白皮书,其中介绍了一些该计划会使用到的一些网络威胁情报数据源。
国防工业基地(Defense Industrial Base,DIB),一个专注于国防工业技术发展的大规模研究机构,专注对先进制造技术的开发与应用,支持国防安全需要。从其对威胁情报的研究来看,不难看出他们在国防工业网络安全防御方面也有一定建树。
美国政府监察办公室(GAO,Government Accountability Office)曾对美国工业基地专门出具风险分析报告,以帮助其改进相关工作。
白皮书这样写道:
网络威胁情报为什么如此重要?正如诗人约翰·多恩(John Donne)曾经写道:“没有人会成为一个完整的岛屿。” 这种想法也适用于国防工业基地的网络安全方面,因为基地成员都面临着相同的威胁和对手。通过交换失陷指标(IoC)并共享有关APT组织和网络犯罪分子的情报,可以更好地防御其基础设施。了解IP地址,唯一User-Agent字符串或与攻击者相关的域名可以帮助设置黑名单和网络监测。通过威胁情报可以立即阻断攻击的发生。
威胁情报的一些重要术语
高级持续性威胁(APT)– APT组织是持续的网络攻击类威胁的参与者,经常得到国家或团体的支持。他们可以是外国情报服务机构,复杂的网络犯罪集团,甚至是寻求声名狼藉的极端主义团体。FireEye和MITER是有关已知APT组织的信息的绝佳来源。
失陷指标(IoC)– IoC是与攻击者相关的元数据。它们可以是作为唯一电子邮件地址的精确IoC(也称为“硬IoC”),也可以是本身并不那么独特的更广泛的IoC(又称为“软IoC”),例如IP地址范围。
网络杀伤链(CKC)– CKC由洛克希德·马丁公司(Lockheed Martin)在2011年开发,是最流行的攻击者威胁模型,用于描述“黑客”网络攻击的各个阶段。它分为七个阶段,是大多数攻击组织的威胁情报基础。
最低0.47元/天 解锁文章
扫一扫
2050
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
