什么是威胁情报?
威胁情报涉及分析有关网络攻击的基于证据的信息,使网络安全专家能够根据情况识别问题并针对发现的问题制定有针对性的解决方案。
威胁情报以数据为基础,类似于开源情报 (OSINT),它提供背景信息(例如谁在攻击您、他们的动机和能力是什么,以及在您的系统中要寻找哪些妥协指标 (IOC)),帮助您就安全做出明智的决策。
—记录未来
值得注意的是,在网络威胁情报(CTI)主题中,有几个重要的子主题需要理解;妥协指标、高级持续性威胁和交通灯协议是与 CTI 相关的三个关键研究领域。
攻击指标 (IOC)
入侵指标是指可以表明组织可能已受到外部行为者的入侵的数据。安全团队使用它们来丰富 SIEM 中的日志,例如,如果威胁情报提供商将新域标记为恶意域,并且检测到组织与域之间的活动,则应向安全团队发出警报并进行调查。
IOC 数据类型包括:
IP 地址
域名
恶意文件名
文件哈希
网址
高级持续性威胁 (APT)
高级持续性威胁 (APT) 是一种复杂、持续的网络攻击,入侵者会在网络中建立不被察觉的存在,以便在较长时间内窃取敏感数据。APT 攻击经过精心策划和设计ÿ