BlueTeam--威胁情报介绍

最新推荐文章于 2024-01-31 12:00:00 发布

网盾网络安全服务

最新推荐文章于 2024-01-31 12:00:00 发布

阅读量4.4k

点赞数 3

文章标签：网络安全

本文链接：https://blog.csdn.net/qq_69775412/article/details/124243860

版权

简述

威胁情报是一种基于证据的知识，包括了情境、机制、指标、影响和操作建议。威胁情报描述了现存的、或者是即将出现针对资产的威胁或危险，并可以用于通知主体针对相关威胁或危险采取某种响应。

很多参加hvv的小伙伴都关注漏洞相关的信息去了，却对威胁情报、态势感知这样的系统不感冒，忽略了这些产品起到的作用。对与blue team来说，这些情报是拦截攻击的重要依据，如果说修复漏洞是从根本上解决攻击问题，那么利用威胁情报就是从源头上解决受攻击问题。

威胁情报分类

引用绿盟科技中各个安全情报厂商的情报平台白皮书的关键词，有个三级别的大词，其中出现最多的大词为：

一级大词：信息
二级大词：情报、关联、域名、IP和文件
三级大词：查询、恶意和威胁

对于威胁情报的分类，无论是国内国外，业界也有众多定义，最为广泛传播是Gartner定义的，按照使用场景进行分类：以自动化检测分析为主的战术级情报、以安全响应分析为目的的运营级情报，以及指导整体安全投资策略的战略级情报。关于分类，在这里简单介绍企业间通用的几个大类

基础情报

简而言之，基础情报就是这个网络对象(IP/Domain/email/SSL/文件)是什么，谁在使用它。具体到基础数据则包含开放端口/服务、 WHOIS/ASN、HASH、地理位置信息等

威胁对象情报

威胁对象情报，相对于比较容易理解。此类情报指的是提供和威胁相关的对象信息，比如说IP地址、域名等等，简单地说，就是提供犯罪分子的犯罪证据和记录。

IOC情报

Indicator of compromise，意为威胁指示器，通常指的是在检测或取证中，具有⾼置信度的威胁对象或特征信息。

事件情报

事件情报则是综合各种信息，结合相关描述，告诉运营者外部威胁概况和安全事件详情，进而让安全运营者对当前安全事件进行针对性防护。

威胁情报平台介绍

微步在线

中国首家专业的威胁情报公司。它是国内第一个综合性的威胁分析平台，秉承公开、免费、自由注册的原则，为全球的安全分析人员提供了一个便利的一站式威胁分析平台，用来进行事件响应过程的工作，包括：事件确认、危险程度和影响分析、关联及溯源分析等。主要特征：

自由公开的服务、多引擎文件检测、行为沙箱、集成互联网基础数据、集成开源情报信息、关联分析、机器学习、可视化分析。

特点：基于海量网络基础数据生产威胁情报，具有覆盖度高、可执行力强、专业性强、准确度高、可扩展性强等优势。

查询地址：https://x.threatbook.cn/

IBM X-Force Exchange

IBM X-Force Exchange是一款基于云的威胁情报共享平台，支持使用、共享威胁情报并采取行动。它支持快速搜索全球最新安全威胁，汇总可操作情报、向专家咨询并与同行进行合作。IBM X-Force Exchange由人员和机器生成的情报支持，可利用IBM X-Force的规模来帮助用户在新兴威胁面前保持领先地位。

查询地址：https://exchange.xforce.ibmcloud.com/

360威胁情报中心

360 Alpha威胁分析平台，是360企业安全为安全分析师提供一站式分析工具，具备完备的威胁情报和互联网基础数据，在数据覆盖度、信息种类、数据的时间/空间跨度都具备较大优势。

查询地址：https://ti.360.com/#/homepage

AienVault

它递送社区生产的威胁数据，能够协作各个来源的威胁数据，自动更新你的安全基础设施。其收购了threatcrowd，拥有IP、域名、文件、邮件等情报。主要特征：垃圾页面、钓鱼网页、恶意软件和间谍软件、匿名代理攻击和P2P网络、暗网IP、管理僵尸网络的C&C服务器、域名、IP地址、邮件地址、文件哈希、杀软检测。