威脅資料,資訊和情報

2021-12-30 01:36:59 字數 3469 閱讀 3741

威脅資料,資訊和情報存在很大的差異,找到並辨別他們彼此之間到底區別,能夠幫助企業最大化的利用威脅情報平台所生產的資料

從資料到資訊到情報,這些資訊的數量在不斷地減少,但價值在不斷地增加

威脅情報平台只能生產資料和資訊,而人工則能區分確實可利用的威脅情報

計算機永遠也無法生產真正的威脅情報,但人類也並不適合資料收集和處理大量的威脅資料這兩種工作

可落地的安全工作永遠是最終的目標,如果不能提高安全性,那麼威脅情報是無用的。.

我們在研究中發現,大多數的組織在投資威脅情報平台的時候都會犯乙個巨大的錯誤,更不幸的是,直到完成整個威脅情報平台解決方案的實施,他們都很少會意識到這個錯誤。當然,決定投資威脅情報並不是問題,否則我們也不會向我們的客戶提供威脅情報服務。這個錯誤其實更基礎——那就是認為威脅情報平台會把一切的事情做好。令人悲傷的是,威脅情報平台並非如此,那麼為了回答這個問題,讓我們來看看威脅資料,資訊和情報之間的區別,和在他們進化的過程中,乙個技能熟練經驗豐富的分析師能夠起到的作用。

資料,資訊和情報

資料,資訊和情報的最大區別實際上是兩點,資料量和可用性。

資料通常可以較為容易地,大量地獲取,他們通常在陳述單個的,無可爭議的事實。比如某個ip發起了鏈結請求,就是乙個很好的例子,因為這是乙個很簡單的事實陳述,並沒有什麼爭議性。

而當一系列的資料點被結合起來回答乙個簡單的問題的時候,資訊就產生了。例如,身高和體重組合在一起可以計算出bmi指數,然後可以用這個來繪製一張圖表來確定你是否屬於正常範圍。要注意的是,雖然這個資訊比原始的資料更加有用,但這並不能直接驅動行為。

情報則像在利用這些資料和資訊來講述乙個故事,這個故事可以用來幫助決策。更重要的是,情報從不回答簡單的問題,而是描繪乙個能夠幫助回答更複雜問題的故事。接著bmi體重指數來舉例,你的體重指數可以交由移植委員會來結合相關研究來確定你是否合適進行器官移植。情報從不直接回答你是不是應該移植器官,但情報確實能夠幫助人們進行決策。

所以我們從資料到資訊到情報的時候,輸出的數量急劇下降而價值會成指數級上公升就並不奇怪了。下面這張來自美國國防部的 「joint publication 2-0: joint intelligence」 報告,就能很好的展示從資料到情報這一過程中的步驟和變化。.

但這如何套用到安全領域中呢?

那我們來舉乙個在安全領域中的資料的例子:單個鏈結請求。就其本身而言,這個資料確定不了任何事情,除了我們收到了乙個從特定的ip位址發來的鏈結請求。

現在讓我們來上公升到資訊,我們假設這個請求在短時間內達到了乙個不正常的極高的數值。那麼現在我們就可以確定,由於某種原因,這個伺服器收到了極大的訪問壓力,需要處理。

最後,情報層面。結合我們自己過去的經驗以及大量的來自殭屍網路的ip的鏈結,我們可以得出結論:伺服器遭受了ddos攻擊。假設我們已有了處理ddos的方案 ,那麼就可以立即採取措施來保護我們的資產。

所以問題在**呢?

現在我們已經了解了威脅資料,資訊和情報之間的差異性,那麼大部分組織會犯的這個巨大的錯誤就變得容易理解了。

其實很簡單,威脅情報平台實際上並不產生真正的威脅情報。聽起來很奇怪,但這並不難理解。威脅情報的產生並不僅僅需要乙個高度複雜的計算機演算法。

大多數現代威脅情報平台都能夠很好的收集威脅資料,而這些平台中很大的一部分都是主要用來組織和展現威脅情報,從而幫助安全分析師的工作。有一些威脅情報工具則做了更多的工作,他們能夠結合和加工這些威脅資料提取出的資訊,這能夠大量的節約安全分析師的工作,因為可以排除許多誤報並進行很多較為簡單的分析。但嚴格的來說,並沒有自動化的產品可以產生真正的威脅情報。只有高度熟練並具有深厚的安全背景的分析師可以有效的提煉出對企業安全系統有效的行動決策。

也就是說,最好的威脅情報**商和產品,可以達到生產資訊之上的高度。那就是使用乙個ai,或者更精確的說乙個「threat ai」,ai可以處理那些相對簡單的威脅情報,但對於那些更複雜的威脅情報,仍然需要人工的參與。

這就是那個大多數組織都會出現的問題:認為採購乙個簡單的平台就能提供安全情報,而忽視了真正產生情報需要大量的人力。

是的,我們也要承認在沒有人工參與的情況下,一些好的威脅情報平台能夠提供一些支援。威脅資訊能夠提供一些簡單問題的答案,比如「軟體系統存在漏洞麼?」這些答案確實是有幫助的。一些更高階的威脅情報產品能提供一些更多的資訊,這可以大大減少分析師的負擔。但獲得真正的有用的威脅情報時,沒有什麼能代替人腦在這裡起到的作用。

資訊過載

當我們討論到這裡,可能會有人疑惑如果威脅情報平台不能生產威脅情報,那麼到底有什麼作用? 最簡單的回答就是大資料,我們拿recorded future來舉個例子。

即使是產生乙個很小的威脅情報,也需要大量的威脅資料,簡單的威脅情報平台能夠獲取並整理大量的威脅資料,這使得分析師的工作更容易和他們的輸出結果更加有效。

recorded future也在收集來自成千上萬資料來源的資料,並不斷識別和自動新增新的資料**,recorded future的threat ai的各種功能都是自動執行的(比如多種語言的自然語言處理功能),資料處理量也是令人驚嘆的。平均的來說,recorded future每秒鐘能夠處理超過4000條資料,遠超出了人類團隊所能達到的極限。

而且這並不僅僅只是識別威脅,平台最重要的作用是剔除這些資料中的誤報,這些誤報會大量的浪費人力。recorded future可以自動過濾掉大部分的誤報,讓分析師能夠更專注於在真正威脅的基礎上生產情報。

其他的有價值的功能也是可以自動化的,比如尋找並識別一些特定的資料,或在威脅論壇和**上搜尋一些相關的資訊等等。同樣的,這些任務利用人力來做是非常繁重的,但對於自動化威脅情報平台來說,相對比較容易。

最終,threat ai和情報平台將會有明顯的界限,recorded future平台明顯是前者。只有真正將分析師和威脅情報產品結合起來,才能形成世界領先的威脅情報能力。

什麼讓我們領先?

威脅情報產品最重要的功能之一是將威脅資料根據對企業潛在的風險值組織起來,這也是最好的**商和其他**商的區別,那就是他們能夠自動化排序威脅,這樣分析員就可以集中精力分析最重要的威脅資料或者資訊。

這就是關鍵所在。

就像之前描述過的大資料的問題,能夠有乙個排序威脅的工具是至關重要的,如果需要手動挖掘每乙個威脅,你會發現許多緊迫的威脅無法得到及時的處理。

威脅資訊的結合和優先順序分析是第一要素,所有請謹慎的選擇你的**商。

燈光!攝影!action!

當上公升到資訊級別的時候,能否轉化成安全工作是唯一真正重要的,只是擁有威脅資料或資訊並沒有什麼價值,除非你能利用它去來提高安全性或低於即將到來的攻擊。

毫不奇怪,世界上最好的安全系統們已經隨著時間發展出了自己的方式來採取積極的措施來進行防禦。每一天他們的分析師都會分析出可操作的情報,用於改善安全機制,關閉漏洞並停止攻擊。

如果你想採取一些更主動的方法,可以看看recorded future的這篇***「understand your attacker: a practical guide to identifying ttps with threat intelligence,」這將幫助您了解威脅行為使用的不同的策略和技術(ttps)。有了這些資訊,你就可以開始系統的提高網路安全並降低組織的威脅了。

威脅資訊和威脅情報有啥區別?

本文講的是威脅資訊和威脅情報有啥區別?成品情報,是威脅資訊納入 評估和商業利益匯出的結果。網路威脅情報領域,混淆一直存在 很多還都是廠商弄出來的 威脅資訊往往被當做了成品情報。雖然情報過程從威脅資訊收集開始,但資訊收集僅僅,僅僅只是個起始點而已。從大量獲取資訊,到產出成品情報之間,還有好長好長的一段...

開源威脅情報工具和技術

網際網路的規模是巨大的,其中擁有你能想到的所有最重要的資料,不僅僅侷限於搜尋人或者公司的相關資訊,而可能利用這些資料來 未來將會發生什麼。為了完成 你需要對資料進行處理,乙個專業的威脅情報分析人員的任務就是連線資料點並得出乙個有意義的結論。當然,資料遍地都是,但你可以用它們來完成創舉。接下來,讓我們...

安全威脅情報實戰

2012年5月18日,darkreading發表了一篇文章,題為威脅情報實戰。這個文章提及了威脅情報分析的重要性。作者認為,在面對新型威脅,新技術革新 例如雲計算 的時候,安全專家們需要改變傳統的安全防禦思路。對此,我也表示贊同。首先,要確定所要保護的重要資產。正如 當apt成為主流 中所述,在對抗...