威脅情報的幾個關鍵概念

2021-09-04 10:06:16 字數 1289 閱讀 3009

當前,網路空間的廣度和深度不斷拓展、安全對抗日趨激烈,傳統的安全思維模式和安全技術已經無法有效滿足政企客戶安全防護的需要,新的安全理念、新的安全技術不斷湧現,當前的網路安全正處在乙個轉型公升級的上公升期。

目前,資訊保安業界普遍認同的乙個理念是:僅僅防禦是不夠的,更加需要持續地檢測與響應。而要做到更有效的檢測與更快速的響應,安全情報必不可少。

安全情報是乙個寬泛的概念,主要包括了威脅情報、漏洞情報、事件情報以及基礎資料情報。其中,威脅情報已然成為近幾年國內外安全領域的熱點。

首先,必須明確地指出,嚴格意義上,威脅情報和漏洞情報是不同的兩種安全情報,不應該將它們混淆。從防禦者的角度來看,獲取漏洞情報是為了知己,而獲取威脅情報是為了知彼。

gartner

認為,威脅情報是一種基於證據的知識,包括了情境、機制、指標、隱含和實際可行的建議。威脅情報描述了現存的、或者是即將出現的針對資產的威脅或危險,並可以用於通知主體針對相關威脅或危險採取某種響應。forrester認為威脅情報是針對內部和外部威脅源的動機、意圖和能力的詳細敘述,包括了這些敵對方的戰技過程(ttp)的描述。

簡言之,威脅情報可以幫助企業和組織快速了解到敵對方對自己的威脅資訊,從而幫助他們提前做好威脅防範、更快速地進行***檢測與響應、更高效地進行事後***溯源。

威脅情報可以分為面向中高層管理人員的戰略威脅情報和面向安全裝置或系統的、驅動其執行安全控制策略的戰術威脅情報。戰術威脅情報也被稱作機讀威脅情報。

威脅情報要發揮價值,核心在於情報資訊的共享

。只有建立起一套威脅情報共享的機制,讓有價值的威脅情報流動起來,才能真正加速安全防禦的效率、效能,取得切實的防禦效果。

威脅情報的生態系統包括兩個方面:威脅情報的生產和威脅情報的消費

。 威脅情報的生產就是通過對原始資料/樣本的採集、交換、分析、追蹤,產生和共享有價值的威脅情報資訊的過程。

威脅情報的消費是指將企業和客戶網路中的安全資料與威脅情報進行比對、驗證,以及企業和客戶方的安全分析師利用威脅情報進行分析的過程。

威脅情報的生產和消費構成了乙個情報生態系統的閉環。只有生產沒有消費,威脅情報的價值無法實現;而只有消費沒有生產,威脅情報就成了無源之水。

對於政企客戶而言,威脅情報的應用/消費是實現情**值的關鍵。各類安全裝置都應該能夠消費威脅情報,但

關鍵的是安全管理平台

/soc

對威脅情報的應用

。威脅情報只有與處於企業和組織網路安全中樞位置的安管平台

/soc

整合,才能最大限度地發揮出情報的價值,並進而實現全網的基於威脅情報的協同聯動。

分享幾個威脅情報平台

01 國內威脅情報平台 2 天際友盟redqueen安全智慧型服務平台 3 360威脅情報中心 4 奇安信威脅情報中心 5 venuseye威脅情報中心 6 nti 威脅情報中心 7 安恆威脅情報中心 8 安天威脅情報中心 9 深信服安全中心 02 國外威脅情報平台 1 ibm x force 2 ...

評估威脅情報服務的關鍵是什麼

在本文中,專家ed tittel 了評估威脅情報服務的關鍵標準,以幫助企業選擇滿足其需求的最佳服務。在企業確定威脅情報服務候選產品名單後,下一步工作是選擇最滿足其需求的服務。由於威脅情報服務市場仍然相對較新,詳細對比服務細節來了解服務提供的內容是乙個挑戰。例如,有些服務可能有三種水平的標準檔案格式資...

SOC的未來在於威脅情報

目前,soc給我的感覺就是投入與產出嚴重不成正比,投入的資金多 裝置多 人員多 時間多,相應的造成功能多 告警多 爭議多 運維多,最後使用者獲取到有意義的內容少 價值少 保障少 積累少。我相信,soc的未來一定是屬於威脅情報的,龐大的安全運維中心,甚至是更龐大的it運維中心也會讓位於威脅情報中心,理...