终于明白什么是威胁情报

最新推荐文章于 2025-03-19 15:15:26 发布
最新推荐文章于 2025-03-19 15:15:26 发布
阅读量2.9k 收藏 10
点赞数 1
分类专栏: 信息安全 威胁情报
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bomb324/article/details/119347692
版权

威胁情报初探

什么是威胁情报,其实安全圈一直在使用着它们,漏洞库、指纹库、IP信誉库,它们都是威胁情报的一部分。情报就是线索,威胁情报就是为了还原已发生的攻击和预测未发生的攻击所需要的一切线索。“所谓的威胁情报就是帮助我们发现威胁,并进行处置的相应知识。这种知识就是我们所说的威胁情报”。

威胁情报有啥用?

互联网安全曾经历经了流氓互殴,侠客对决、黑社会火并等等阶段,现在已经形成了攻击者有组织有预谋,防御者有侦查有战术的局面——无论是攻击还是防御,都超越了点对点的战术,而越来越倚仗于全面的战法。简单来说,就是搞安全的不仅要看编程指南,还要看孙子兵法了。既然是正规军对垒,战法就要变得相对立体。所谓知己知彼,百战不殆。威胁情报,就像是八百里加急快报送来的敌情。

二战中,盟军依靠计算机之父图灵的天才破解了德国的密码,得知德国马上要对考文垂进行轰炸(月光奏鸣曲计划)。但是为了争取更大的决定性胜利,盟军选择不让德国人知道对手已经破译了其密码。因此盟军方面没有对考文垂进行有针对性的的防御措施。于是德国人相信其密码依然是安全的,从而一步步走进了盟军的圈套。

在威胁情报中,安全公司同样运用类似的方法和黑客斗法。例如:穿梭各大安全论坛,装作黑客的样子,开心地与之讨论最近哪种攻击方式最流行,有哪些漏洞可以利用。然后回家修补漏洞。

于是,通过威胁情报,企业会对未来的攻击拥有免疫力,这就彻底改变了原本的攻防态势。原来也许黑客可以用上整整一年的攻击手段,一旦进入威胁情报,就被重点监控。如果攻击者第二次还在用同样的后门,就等于主动跑到了探照灯下。

某大神爆料,目前美国正在有计划有组织地曝光其他国家对其基础设施发动的攻击。这句话让人细思极恐,这表明美国已经拥有了一份精准的威胁情报,对其攻击者的攻击路径已经了如指掌。为了不打草惊蛇,其中有60%-70%的攻击路径,美国并没有曝光。没错,美国正在静静地看对手装X。

威胁情报给谁用?

从个人角度,如果提供代理IP,刷流量的人想要(绕过IP限制);如果提供僵尸网络IP,安全防御者想要,其实攻击者也想要,攻击者要的总是比防御者多,所以Ta们更能达到目的。
  从公司角度而言,先说项目之间,做WAF的、做扫描器的、做漏洞管理平台的可以交换漏洞信息,做杀毒的和入侵检测的可以交换恶意样本信息,做业务欺诈的和做网络攻防的可以交换IP信誉信息,这些都是为了做到内部资源(扫描器,WAF,IPS等安全组件)甚至外部资源(开源资源集合、厂商资源交换)的整合(现状是公司越大,这些信息越碎片化),整合才能起到协同防御的效果,才能有能力地进行深度分析去发现真正有价值的攻击事件与高级的难以发现的APT定点攻击事件。

过去,我们将太多的精力放在实时防御上面,但并没有将威胁完全挡住,这个时代已经过去了。我们需要建立一个完整的防御体系,从防御、检测到响应,甚至通过威胁情报将攻击事件的预测做起来,而这一切的核心就是要掌握海量的数据,并具备强大的数据分析能力。威胁情报,是面向新的威胁形式,防御思路从过去的基于漏洞为中心的方法,进化成基于威胁为中心的方法的必然结果,它和大数据安全分析、基于攻击链的纵深防御等思想正在形成新一代的防御体系的基石。

威胁情报分类总结

  1. 战略威胁情报
    战略威胁情报(Strategic Threat Intelligence)提供一个全局视角看待威胁环境和业务问题,它的目的是告知执行董事会和高层人员的决策。战略威胁情报通常不涉及技术性情报,主要涵盖诸如网络攻击活动的财务影响、攻击趋势以及可能影响高层商业决策的领域。
  2. 运营威胁情报
    运营威胁情报(Operational Threat Intelligence)与具体的、即将发生的或预计发生的攻击有关。它帮助高级安全人员预测何时何地会发生攻击,并进行针对性的防御。
  3. 战术威胁情报
    战术威胁情报(Tactical Threat Intelligence)关注于攻击者的TTP,其与针对特定行业或地理区域范围的攻击者使用的特定攻击向量有关。并且由类似应急响应人员确保面对此类威胁攻击准备好相应的响应和行动策略。
  4. 技术威胁情报
    技术威胁情报(Technical Threat Intelligence)主要是失陷标识,可以自动识别和阻断恶意攻击行为。
    当前,业内更广泛应用的威胁情报主要还是在技术威胁情报层面。前面论述的也主要是TTI,是狭义的威胁情报,其主要内容为用于识别和检测威胁的失陷标识,如文件HASH,IP,域名,程序运行路径,注册表项等,以及相关的归属标签。
    在这里插入图片描述

参考文章:
https://www.cnblogs.com/achao123/p/4980591.html
https://baike.baidu.com/item/%E5%A8%81%E8%83%81%E6%83%85%E6%8A%A5/23311172?fr=aladdin

什么是威胁情报
Zk_zkzk的博客
04-24 6381
现今网络攻防环境愈发复杂,威胁情报现在作为一种弥补攻防信息不对称的安全技术逐渐得到了广泛的认识,更多企业也开始接受并购买威胁情报数据来建设企业安全。笔者对当下的威胁情报应用较多的场景进行了一些总结,期待与业界各位权威进一步交流。 面对越来越隐蔽和复杂的网络罪犯,只是孤身作战将是无效且昂贵的。显然易见,无论是企业还是国家的关键基础设施,更加准确、全面的威胁情报交换将加速其对于网络攻击所做出的反应能力,并有效提升对网络威胁的防御。威胁情报共享就成为全球网络安全中永恒的重要话题也是产业发展的必要条件。 网络威
威胁建模系统教程-简介和工具(一)
weixin_47208161的博客
03-18 3200
背景很多人对威胁建模这项活动抱有陌生感,什么是威胁?什么是建模?和安全威胁情报是不是有关?和架构安全分析(Architecture Risk Analysis)什么关系?...
什么是威胁情报(Threat Intelligence)
angaoqian2008的博客
11-20 1117
  什么是威胁情报,其实安全圈一直在使用着它们,漏洞库、指纹库、IP信誉库,它们都是威胁情报的一部分。情报就是线索威胁情报就是为了还原已发生的攻击和预测未发生的攻击所需要的一切线索。“所谓的威胁情报就是帮助我们发现威胁,并进行处置的相应知识。这种知识就是我们所说的威胁情报”。   互联网安全曾经历经了流氓互殴,侠客对决、黑社会火并等等阶段,现在已经形成了攻击者有组织有预谋,防御者有侦...
​网安学习——什么是威胁情报
xyx112的博客
05-15 2792
情报[1]:指被传递的知识或事实,是知识的激活,是运用一定的媒体,越过空间和时间传递给特定用户,解决具体问题所需要的特定知识和信息。威胁[1]的三要素包括意图、能力和机会,如果攻击者有意图有能力,但是攻击对象没有脆弱性或者说没有机会,那么攻击者并不构成威胁。因此,安全威胁情报应是在先了解自己的基础上去了解对手,即先知已后知彼。
网络安全 | 什么是威胁情报
最新发布
2401_88751289的博客
03-19 889
威胁情报也称为“网络威胁情报”(CTI),是详细描述针对组织的网络安全威胁的数据。威胁情报可帮助安全团队更加积极主动地采取由数据驱动的有效措施,在网络攻击发生之前就将其消弭于无形。威胁情报可帮助组织更有效地检测和应对进行中的攻击行为。安全分析师通过从多个来源收集原始的安全威胁信息以及与安全相关的信息,然后将这些数据关联起来并进行分析,以发现趋势、模式和关系,深入了解实际或潜在的威胁,从而创建威胁情报
初识威胁情报
学而思(xiejava的blog)
06-25 1301
随着网络空间的广度和深度不断拓展,当今网络攻击的多样化、复杂化、专业化,安全对抗日趋激烈,传统的安全思维模式和安全技术已经无法有效满足政企客户安全防护的需要,新的安全理念、新的安全技术不断涌现。业界普遍认同:仅仅防御是不够的,更加需要持续地检测与响应。而要做到更有效的检测与更快速的响应,安全情报必不可少。有效的威胁情报可以提高安全产品的对恶意攻击识别能力,提高溯源效率,并及时采取应对措施,减少甚至消除攻击的危害。 本文收集了互联网上的威胁情报的相关知识信息,试图从威胁情报的定义、分类、应用三个方面对威胁
网安学习——什么是威胁情报
xnxqwzy的博客
01-31 2070
情报[1]:指被传递的知识或事实,是知识的激活,是运用一定的媒体,越过空间和时间传递给特定用户,解决具体问题所需要的特定知识和信息。威胁[1]的三要素包括意图、能力和机会,如果攻击者有意图有能力,但是攻击对象没有脆弱性或者说没有机会,那么攻击者并不构成威胁。因此,安全威胁情报应是在先了解自己的基础上去了解对手,即先知已后知彼。
《为实现成功的网络安全威胁情报交换构建坚实基础》
03-04
《为实现成功的网络安全威胁情报交换构建坚实基础》一文探讨了在云环境中如何有效地进行网络安全威胁情报的共享,以提高整体的网络安全防护能力。本文由Cloud Security Alliance发布,旨在为那些希望在应对安全事件...
国内漏洞情报
03-17
目前主要依赖于开源威胁情报平台以及官方发布的安全公告来跟踪最新的漏洞情况。 #### 开源威胁情报中的漏洞情报 开源威胁情报平台提供了丰富的资源用于收集和分析漏洞信息。这些平台通常会整合来自全球范围内的漏洞...
信息安全 安全运营体系建设_——_理论与实践 - 图论.zip
11-06
通过建立有效的威胁情报机制,可以增强安全运营的预见性和响应速度。 总的来说,《信息安全:安全运营体系建设——理论与实践》这份资料详细阐述了信息安全领域的诸多方面,提供了构建和优化安全运营体系的指导,...
【SEP 14.3威胁防御】:网络威胁防御,深入分析与实战演练
本文综合分析了网络威胁的分类、特征以及识别和分析技术,探讨了构建网络防御机制的策略,如防火墙、IDS/IPS、端点防护、沙箱技术和数据丢失预防策略。文章进一步阐述了网络防御在实战应用中的具体实施,包括网络...
威胁情报
stonesharp的专栏
12-20 2916
安全是一场攻防战,那么,如今这样的攻防战发展到了什么level了呢?日前,安全领域的大神们进行了一场闭门研讨 。大神们表示,如今要想保证自己的安全,你不仅需要武器,还需要侦察兵,需要一份威胁情报。       威胁情报是什么鬼?   互联网安全曾经历经了流氓互殴,侠客对决、黑社会火并等等阶段,现在已经形成了攻击者有组织有预谋,防御者有侦查有战术的局面——无论是攻击还是防御,都超越了点对点的
BlueTeam--威胁情报介绍
qq_69775412的博客
04-19 4582
简述 威胁情报是一种基于证据的知识,包括了情境、机制、指标、影响和操作建议。威胁情报描述了现存的、或者是即将出现针对资产的威胁或危险,并可以用于通知主体针对相关威胁或危险采取某种响应。 很多参加hvv的小伙伴都关注漏洞相关的信息去了,却对威胁情报、态势感知这样的系统不感冒,忽略了这些产品起到的作用。对与blueteam来说,这些情报是拦截攻击的重要依据,如果说修复漏洞是从根本上解决攻击问题,那么利用威胁情报就是从源头上解决受攻击问题。 威胁情报分类 引用绿盟科技中各个安全情报厂商的情报平台白皮书的.
威胁情报的定义及理解
AIwenIPgeolocation的博客
04-17 2586
根据GarTner对威胁情报的定义,威胁情报是某种基于证据的知识,包括上下文、机制、标示、含义和能够执行的建议,这些知识与资产所面临已有的或酝酿中的威胁或危害相关,可用于资产相关主体对威胁或危害的响应或处理决策提供信息支持。业内大多数所说的威胁情报可以认为是狭义的威胁情报,其主要内容为用于识别和检测威胁的失陷标识,如文件HASH,IP,域名,程序运行路径,注册表项等,以及相关的归属标签。 威胁情...
威胁情报是什么
weixin_45626840的博客
02-09 1748
威胁情报,IOC
Security+ 学习笔记3 威胁情报
tushanpeipei的博客
09-14 2934
一、威胁情报(Threat intelligence) 二、管理威胁指标(threat indicator) 三、情报共享 四、威胁调查 五、识别(identifying)威胁 六、威胁情报自动化 七、打击威胁
威胁情报的定义
weixin_43210909的博客
07-19 1083
目前被引用最多的威胁情报的定义是2014年Gartner在其 《安全威胁情报服务市场指南》(Market Guide for Security Threat Intelligence Service)中提出的:“威胁情报是一种基于证据的知识,包括了情境、机制、指标、隐含和实际可行的建议。威胁情报描述了现存的、或者是即将出现针对资产的威胁或危险,并可以用于通知主体针对相关威胁或危险采取某种响应。1.1 战略情报战略级情报为总结型的信息,站在全局的角度,为决策层提供参考。
威胁情报:网络安全的重要信息资源
m0_57836225的博客
10-21 640
例如,从某个论坛帖子中获取到一个可能与薅羊毛相关的项目线索,运营人员需要进一步分析帖子内容以及相关链接,找出更多关于该 “项目” 的操作细节,如涉及的网站、账号注册流程、奖励获取方式等,从而还原出完整的作案路径。它与业务安全密切相关,业务安全关注企业主要业务上发生的 “安全问题”,与终端安全、网络安全、web 安全等有所不同,后者主要研究操作系统本身、网络、web 系统的安全性,而业务安全侧重于业务本身的问题,如账号安全、内容安全、营销活动安全等。)上的信息,可以获取相关开源情报。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值