网络安全 | 什么是威胁情报?

威胁情报

关注WX:CodingTechWork

威胁情报

威胁情报-介绍

  1. 威胁情报也称为“网络威胁情报”(CTI),是详细描述针对组织的网络安全威胁的数据。
  2. 威胁情报可帮助安全团队更加积极主动地采取由数据驱动的有效措施,在网络攻击发生之前就将其消弭于无形。
  3. 威胁情报可帮助组织更有效地检测和应对进行中的攻击行为。
  4. 安全分析师通过从多个来源收集原始的安全威胁信息以及与安全相关的信息,然后将这些数据关联起来并进行分析,以发现趋势、模式和关系,深入了解实际或潜在的威胁,从而创建威胁情报。

情报特征

  1. 特定于组织:并不关注于普遍性问题(例如,常见恶意软件特征的列表),而是聚焦于组织攻击面中的特殊漏洞、他们实施的攻击以及他们所窃取的资产。
  2. 详细而给予情境:不仅涵盖针对企业的威胁,还包括可能执行攻击的威胁发动者、这些威胁发动者使用的战术、方法和程序 (TTP),以及可能表示特定网络攻击的威胁信号 (IoC)
  3. 可操作:可供信息安全团队用于消除漏洞、确定威胁优先级并进行补救,甚至用于评估现有或新的网络安全工具。

威胁情报-生命周期

  威胁情报生命周期是迭代式的持续流程,安全团队使用该流程生成、散发并持续改进威胁情报。

规划

  1. 安全分析师与组织的利益相关方(包括最高层领导、部门负责人、IT 和安全团队成员,以及网络安全决策的其他参与者)共同设定情报需求。

收集

  1. 安全团队收集任何原始威胁数据,其中可能包含利益相关方所需的答案,或可以帮助他们回答问题。
  2. 威胁情报订阅源:实时威胁信息流。 名称有时会产生误导:有些订阅源包含已处理或已分析的威胁情报,而另一些则包含原始威胁数据。安全团队通常会订阅多个开源和商用订阅源。 例如,某个订阅源可能用于跟踪常见攻击的 IoC,另一个用于汇总网络安全新闻,第三个提供对恶意软件特征的详细分析,第四个则在社交媒体和暗网上搜寻有关新出现的网络威胁的对话。 所有这些信息都有助于更深入地理解威胁。
  3. 信息共享社区:包括论坛、专业协会和其他社区,分析师可在其中分享第一手经验、洞察以及自己拥有的数据。
  4. 内部安全日志:来自 SIEM(安全信息和响应)、SOAR(安全统筹、自动化和响应)、EDR(终端检测和响应)、XDR(扩展检测和响应)等安全与合规系统以及攻击面管理 (ASM) 系统的内部安全数据。 这些数据提供了组织所面临的威胁和网络攻击的记录,可帮助发现以前无法识别的内部或外部威胁的证据。

处理

  1. 安全分析师对所收集的原始数据进行汇总、标准化和关联,从而能够更轻松地分析数据以获得洞察。
  2. 该过程可能包括过滤掉假警报,或针对有关上次安全事件的数据应用威胁情报框架,以更深入地了解情况。
  3. 许多威胁情报工具自动执行这项处理,使用人工智能 (AI) 和机器学习,关联多个来源中的威胁信息,并确定数据中的初步趋势或模式。

分析

  1. 分析的作用是将原始威胁数据变为真正的威胁情报。
  2. 安全分析师检验和验证趋势、模式以及其他洞察,以满足利益相关方的安全要求并提出建议。
  3. 如安全分析师发现,与某个新的勒索软件特征关联的团伙曾针对组织所在行业中的其他企业实施过攻击,那么该团队可以确定组织的 IT 基础架构中让此团伙有机可乘的特定漏洞,以及有助于缓解或消除这些漏洞的安全控制措施或补丁程序。

传播

  1. 安全团队与相应的利益相关方分享自己的洞察和建议。
  2. 可根据这些建议采取行动,例如针对新发现的 IoC 建立新的 SIEM 检测规则,或更新防火墙黑名单,以阻止来自新发现的可疑 IP 地址的流量。
  3. 许多威胁情报工具可与 SOAR 或 XDR 等安全工具集成并共享数据,以自动生成有关正在进行中的攻击的警报,为威胁优先级指定分数,或者触发其他行动。

反馈

  1. 利益相关方和分析师对最近的威胁情报周期进行反思和总结,以确定是否满足了要求。
  2. 出现的任何新问题或发现的新的情报不足之处可能会作为生命周期中下一轮的输入。

威胁情报-类型

战术威胁情报

  1. 由安全运营中心 (SOC) 使用,旨在检测和应对正在进行的网络攻击。
  2. 通常关注于常见的 IoC — 例如,与命令和控制服务器相关的 IP 地址、与已知的恶意软件和勒索软件相关的文件散列,或者与网络钓鱼攻击相关的电子邮件主题行。
  3. 除了帮助事件响应团队过滤掉假警报以及解读真正的攻击外,战术威胁情报还可由威胁搜寻团队使用,以跟踪高级持久性威胁 (APT) 和其他活跃但隐藏的攻击者。

运营威胁情报

  1. 帮助组织预测和抵御未来的攻击。
  2. 它有时也称为“技术威胁情报”,因为它详细说明了已知威胁发动者的 TTP 和行为 — 例如,他们使用的攻击载体、他们利用的漏洞以及他们针对的资产。
  3. CISO、CIO 和其他信息安全决策者使用运营威胁情报,发现可能攻击自己组织的威胁发动者,并通过专门用于阻止攻击的安全控制和其他措施加以应对。

战略威胁情报

  1. 关于全球威胁态势和组织在其中所处位置的高层级情报。
  2. 战略威胁情报旨在帮助 IT 以外的决策者(例如 CEO 和其他高管)了解自己组织所面临的威胁。
  3. 战略威胁情报通常侧重于地缘政治形势、特定行业中的网络威胁趋势,或者组织的某些战略性资产如何或为何可能成为攻击目标等问题。
  4. 利益相关方使用战略威胁情报,使更广泛的组织风险管理战略和投资与网络威胁态势统一起来。

参考:https://developer.ibm.com/

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/299733.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Linux-线程知识点

目录 线程与进程区别pthread库接口介绍pthread_createpthread_self和syscall(SYS_gettid);pthread_equal测试主线程的栈空间大概是多大pthread_setname_nppthread_exitpthread_join为什么要连接退出的线程 pthread_detach 线程与进程区别 进程是一个动态的实体,有自…

大数据实验三-HBase编程实践

目录 一.实验内容 二.实验目的 三.实验过程截图及说明 1、安装HBase 2、配置伪分布式模式: 3、使用hbase的shell命令来操作表: 4、使用hbase提供的javaAPI来编程实现类似操作: 5、实验总结及心得体会…

Linux文件IO(4):目录操作和文件属性获取

目录 1. 前言 2. 函数介绍 2.1 访问目录 – opendir 2.2 访问目录 – readdir 2.3 访问目录 – closedir 2.4 修改文件访问权限 – chmod/fchmod 2.5 获取文件属性 – stat/lstat/fstat 2.5.1 文件属性 – struct stat 2.6 文件类型 – st_mode 3. 代码练习 3.1 要求 3.2 代…

(十一)RabbitMQ及SpringAMQP

1.初识MQ 1.1.同步和异步通讯 微服务间通讯有同步和异步两种方式: 同步通讯:就像打电话,需要实时响应。 异步通讯:就像发邮件,不需要马上回复。 两种方式各有优劣,打电话可以立即得到响应,…

2024-04-03 NO.4 Quest3 手势追踪抓取物体

文章目录 1 手势抓取方式1.1 Hand Grab1.2 Touch Hand Grab1.3 Distance Hand Grab 2 HandGrabExamples 示例场景2.1 Interactor 对象2.2 Interactable 对象2.2.1 父子结构2.2.2 “Hand Grab lnteractable” 脚本2.2.3 “Move Towards Target Provider” 脚本2.2.4 其他 Moveme…

linux常用目录结构(目录命令)--6986字详谈

前面与大家讨论了linux的发展与由来(这一块挺多的,小编还没有编写完成,希望大家理解),紧接着谈到了vmware安装及运行所存在的故障(鉴定错误,虚拟机没有网,蓝屏等常见现象的总结及处理…

Day105:代码审计-PHP原生开发篇SQL注入数据库监控正则搜索文件定位静态分析

目录 代码审计-学前须知 Bluecms-CNVD-1Day-常规注入审计分析 emlog-CNVD-1Day-常规注入审计分析 emlog-CNVD-1Day-2次注入审计分析 知识点: 1、PHP审计-原生态开发-SQL注入&语句监控 2、PHP审计-原生态开发-SQL注入&正则搜索 3、PHP审计-原生态开发-SQ…

Java 接口提示500,但console并不报错。

因为习惯了C语言printf打印,且当时并不明白try catch意义所在 如图所示,下添加了行号打印 但只打印出了line 89,无line 91,也无报错 所以使用try catch 包裹Sql查询封装函数 e.printStackTrace(); 果真打印出了 查看Entity类&…

【C++初阶】String在OJ中的使用(一):仅仅反转字母、字符串中的第一个唯一字母、字符串最后一个单词的长度、验证回文串、字符串相加

前言: 🎯个人博客:Dream_Chaser 🎈博客专栏:C 📚本篇内容:仅仅反转字母、字符串中的第一个唯一字母、字符串最后一个单词的长度、验证回文串、字符串相加 目录 917.仅仅反转字母 题目描述&am…

docker基础学习指令

文章目录 [toc] docker基础常用指令一、docker 基础命令二、docker 镜像命令1. docker images2. docker search3. docker pull4. docker system df5. docker rmi1. Commit 命令 三、 docker 容器命令1. docker run2. docker logs3. docker top4. docker inspect5. docker cp6. …

语音特征的反应——语谱图

语谱图的横坐标为时间,纵坐标为对应时间点的频率。坐标中的每个点用不同颜色表示,颜色越亮表示频率越大,颜色越淡表示频率越小。可以说语谱图是一个在二维平面展示三维信息的图,既能够表示频率信息,又能够表示时间信息。 创建和绘制语谱图的…

相位导数方差计算-matlab

%% 下面计算 相位导数方差% 假设 phase_map 是你的相位图二维矩阵 % K 是窗口的大小 k 3; % 请使用实际的窗口大小替换% 计算 x 和 y 方向的偏导 [dx, dy] gradient(wrappedPhase); Ksq k^2; % 计算 K^2half_k floor(k / 2);% 初始化结果矩阵 result zeros(size(wrappedPh…

CSRF介绍及Python实现

CSRF 文章目录 CSRF1. CSRF是什么?2. CSRF可以做什么?3. CSRF漏洞现状4. CSRF的原理5. 举例说明6. CSRF的防御Python示例 1. CSRF是什么? CSRF(Cross-Site Request Forgery),中文名称:跨站请求…

Object 类的使用

文章目录 1、 如何理解根父类2、 Object类的方法1、equals()2、toString()3、getClass()4、hashCode()5、clone()6、finalize() 1、 如何理解根父类 类 java.lang.Object是类层次结构的根类,即所有其它类的父类。每个类都使用 Object 作为超类。 Object类型的变量与…

顺序表的应用之通讯录

学习了顺序表之后,我们也得知道它的实际用途吧!所以,我们今天来学习一下通讯录的实现。 typedef struct personInfo SLDataType; contact.h #define NAME_MAX 20 #define GENDER_MAX 20 #define GTEL_MAX 20 #define ADDR_MAX 100 #include&…

牛客 2024春招冲刺题单 ONT98 牛牛猜节点【中等 斐波那契数列 Java,Go,PHP】

题目 题目链接: https://www.nowcoder.com/practice/6a3dfb5be4544381908529dc678ca6dd 思路 斐波那契数列参考答案Java import java.util.*;public class Solution {/*** 代码中的类名、方法名、参数名已经指定,请勿修改,直接返回方法规…

【Django开发】0到1美多商城项目md教程第5篇:短信验证码,1. 避免频繁发送短信验证码逻辑分析【附代码文档】

美多商城完整教程(附代码资料)主要内容讲述:欢迎来到美多商城!,项目准备。展示用户注册页面,创建用户模块子应用。用户注册业务实现,用户注册前端逻辑。图形验证码,图形验证码接口设…

linux------jekins构建cicd

🎈个人主页:靓仔很忙i 💻B 站主页:👉B站👈 🎉欢迎 👍点赞✍评论⭐收藏 🤗收录专栏:linux 🤝希望本文对您有所裨益,如有不足之处&#…

Vue3:用Pinia的storeToRefs结构赋值store数据

一、情景描述 我们学习了Pinia之后,知道,数据是配置在Pinia的state里面的。 那么,如果有多个字段需要取出来使用,并且不丢失数据的响应式,如何优雅的操作了? 这里就用到了Pinia的storeToRefs函数 二、案…

SQL语句的编写

##创建用户-建表建库 #创建一个用户名为 feng,允许从任何主机 % 连接,并使用密码 sc123456 进行身份验证的用户。 rootTENNIS 16:33 scmysql>create user feng% identified by sc123456; Query OK, 0 rows affected (0.04 sec) #创建一个名为fen…