2015-11-09 13:31:38
閱讀:13108次
點讚(2)
收藏(1)
分享到:
簡而言之,威脅情報就是能夠幫助你準確識別安全威脅並做出明智決擇的知識。威脅情報可以幫助你解決以下幾個問題:
· 如何才能從浩如煙海的安全威脅資訊中了解最新的訊息?這包括不良行為、不良方法、脆弱性和威脅目標等等。
· 如何才能積極應對未來的安全威脅?
· 如何告訴上級領導某安全威脅的危險性及後果?
什麼是威脅情報
威脅情報已經獲得了諸多關注。儘管人們對其定義不盡相同,這裡還是摘錄了一些常用的引用:
「威脅情報是一種基於證據的知識,包括了環境、機制、指標、啟示和可行性的建議。威脅情報描述了現存的、或者是即將出現針對資產的威脅或危險,並可以用於通知主體針對相關威脅或危險採取某種響應。」——gartner
「威脅情報是對安全威脅產生的資料進行收集、評估和應用,這包括威脅行為、利用方法、惡意軟體、漏洞和感染指標。」——sans研究所
為什麼它被廣泛關注
威瑞森(verizon)公司2023年調查報告指出7億份負面記錄直接導致約400億美元的經濟損失,這是由79,790起安全事故所造成的。
只要安全威脅和漏洞不斷出現,每一家企業都會尋求保護他們資料的方案。隨著人們對it系統的依賴度越來越高,威脅形式總是在不斷地的變化,企業風險也在持續地提高。
威脅源自外部,同時也源自內部。底線就是,企業都在承受著巨大的壓力來應對威脅。雖然以原始資料形式存在的資訊大量存在,但是從中提取具有指導性建議的資訊很困難並且很耗時間。
這自然吸引了越來越多的使用者來關注威脅情報,因為它能夠從海量資料、告警資訊和攻擊資訊中將威脅按等級排序,並提供決策資訊。
下表列出了一些威脅情報可以識別的常見感染指標:
威脅情報的能力
攻擊可以寬泛地從使用者威脅、應用威脅和基礎設施威脅分類。一些最常見的威脅就是sql注入,ddos,網路應用攻擊和釣魚。
擁有乙個能夠利用威脅情報來積極主動地回應並處理這些攻擊的it安全解決方案很重要。
攻擊者經常變換攻擊方法來挑戰安全系統。因此,企業從多種**獲得威脅情報是不可避免的。
其中乙個讓自己處於主動地位的方法就是利用siem(安全資訊和事件管理系統)來檢測並對威脅做出回應。
siem可以用來追蹤發生在你環境中的每乙個事件,並能夠識別出異常活動。孤立的事件看似不相關,但與關聯事件和威脅情報整合起來,你就會看到在你的環境中到底發生了什麼事情。
如今,it安全專業人員必須偽裝成攻擊者的心態來進行操作。將監控資料與威脅情報中的惡意行為進行對比將更能夠辨別惡意活動。
然而,這可能是需要手動且耗費時間的。將威脅情報指標整合到siem系統的安全解決方案將有助於查明受到威脅的系統,甚至有可能阻止一些攻擊。
最佳實踐
整合威脅情報並響應攻擊是不足以應對日益變化的威脅形式的。你需要結合實際情況,並基於你採取的防範措施來確定你可能面對的威脅。
如下例舉一些最佳實踐:
· 擁有乙份應用黑名單和白名單。這有助於防止執行惡意或未經批准的程式,包括dlls,指令碼和安裝程式
· 仔細檢查日誌並檢視是否存在乙個孤立的攻擊事件,或者這個漏洞是否被利用過。
· 確定在攻擊過程中什麼被更改。
· 審計日誌並確定為什麼這個事件會發生——原因可能會包括從系統漏洞到過時的驅動程式。
威脅情報能讓siem解決什麼問題
siem,就像solarwinds日誌和事件管理器,從監控中收集並處理日誌資料,同時自動標記可疑事件。
借助整合威脅情報機制和內建規則,被監控的事件可以被用來與持續更新的惡意行為列表進行比較。
你可以迅速在實時的日誌資料中搜尋並監視惡意行為並鑑別常見的感染指標。
你還可以設定自動響應,例如阻止已知惡意ip位址訪問以防止惡意攻擊。
什麼是OSINT?以及如何使用開源網路情報工具?
在本文中,我們將帶您快速了解osint開源網路情報的全部內容,以及學習如何使用osint開源網路情報工具。你可能聽說過這個名稱,但不知道它的具體含義,osint代表開源網路情報,它是指可以合法地從有關個人或組織的免費公共 中收集的任何資訊。在實踐中,這往往意味著可以在網際網路上找到資訊,但是從技術上...
什麼是ANR 如何避免它?
anr定義 如何來避免 考慮上面的anr定義,讓我們來研究一下為什麼它會在android應用程式裡發生和如何最佳構建應用程式來避免anr。android應用程式通常是執行在乙個單獨的執行緒 例如,main 裡。這意味著你的應用程式所做的事情如果在主線程裡占用了太長的時間的話,就會引發anr對話方塊,...
什麼是ANR 如何避免它?
anr定義 如何來避免 考慮上面的anr定義,讓我們來研究一下為什麼它會在android應用程式裡發生和如何最佳構建應用程式來避免anr。android應用程式通常是執行在乙個單獨的執行緒 例如,main 裡。這意味著你的應用程式所做的事情如果在主線程裡占用了太長的時間的話,就會引發anr對話方塊,...