网络安全 | 什么是威胁情报?

威胁情报

关注WX:CodingTechWork

威胁情报

威胁情报-介绍

  1. 威胁情报也称为“网络威胁情报”(CTI),是详细描述针对组织的网络安全威胁的数据。
  2. 威胁情报可帮助安全团队更加积极主动地采取由数据驱动的有效措施,在网络攻击发生之前就将其消弭于无形。
  3. 威胁情报可帮助组织更有效地检测和应对进行中的攻击行为。
  4. 安全分析师通过从多个来源收集原始的安全威胁信息以及与安全相关的信息,然后将这些数据关联起来并进行分析,以发现趋势、模式和关系,深入了解实际或潜在的威胁,从而创建威胁情报。

情报特征

  1. 特定于组织:并不关注于普遍性问题(例如,常见恶意软件特征的列表),而是聚焦于组织攻击面中的特殊漏洞、他们实施的攻击以及他们所窃取的资产。
  2. 详细而给予情境:不仅涵盖针对企业的威胁,还包括可能执行攻击的威胁发动者、这些威胁发动者使用的战术、方法和程序 (TTP),以及可能表示特定网络攻击的威胁信号 (IoC)
  3. 可操作:可供信息安全团队用于消除漏洞、确定威胁优先级并进行补救,甚至用于评估现有或新的网络安全工具。

威胁情报-生命周期

  威胁情报生命周期是迭代式的持续流程,安全团队使用该流程生成、散发并持续改进威胁情报。

规划

  1. 安全分析师与组织的利益相关方(包括最高层领导、部门负责人、IT 和安全团队成员,以及网络安全决策的其他参与者)共同设定情报需求。

收集

  1. 安全团队收集任何原始威胁数据,其中可能包含利益相关方所需的答案,或可以帮助他们回答问题。
  2. 威胁情报订阅源:实时威胁信息流。 名称有时会产生误导:有些订阅源包含已处理或已分析的威胁情报,而另一些则包含原始威胁数据。安全团队通常会订阅多个开源和商用订阅源。 例如,某个订阅源可能用于跟踪常见攻击的 IoC,另一个用于汇总网络安全新闻,第三个提供对恶意软件特征的详细分析,第四个则在社交媒体和暗网上搜寻有关新出现的网络威胁的对话。 所有这些信息都有助于更深入地理解威胁。
  3. 信息共享社区:包括论坛、专业协会和其他社区,分析师可在其中分享第一手经验、洞察以及自己拥有的数据。
  4. 内部安全日志:来自 SIEM(安全信息和响应)、SOAR(安全统筹、自动化和响应)、EDR(终端检测和响应)、XDR(扩展检测和响应)等安全与合规系统以及攻击面管理 (ASM) 系统的内部安全数据。 这些数据提供了组织所面临的威胁和网络攻击的记录,可帮助发现以前无法识别的内部或外部威胁的证据。

处理

  1. 安全分析师对所收集的原始数据进行汇总、标准化和关联,从而能够更轻松地分析数据以获得洞察。
  2. 该过程可能包括过滤掉假警报,或针对有关上次安全事件的数据应用威胁情报框架,以更深入地了解情况。
  3. 许多威胁情报工具自动执行这项处理,使用人工智能 (AI) 和机器学习,关联多个来源中的威胁信息,并确定数据中的初步趋势或模式。

分析

  1. 分析的作用是将原始威胁数据变为真正的威胁情报。
  2. 安全分析师检验和验证趋势、模式以及其他洞察,以满足利益相关方的安全要求并提出建议。
  3. 如安全分析师发现,与某个新的勒索软件特征关联的团伙曾针对组织所在行业中的其他企业实施过攻击,那么该团队可以确定组织的 IT 基础架构中让此团伙有机可乘的特定漏洞,以及有助于缓解或消除这些漏洞的安全控制措施或补丁程序。

传播

  1. 安全团队与相应的利益相关方分享自己的洞察和建议。
  2. 可根据这些建议采取行动,例如针对新发现的 IoC 建立新的 SIEM 检测规则,或更新防火墙黑名单,以阻止来自新发现的可疑 IP 地址的流量。
  3. 许多威胁情报工具可与 SOAR 或 XDR 等安全工具集成并共享数据,以自动生成有关正在进行中的攻击的警报,为威胁优先级指定分数,或者触发其他行动。

反馈

  1. 利益相关方和分析师对最近的威胁情报周期进行反思和总结,以确定是否满足了要求。
  2. 出现的任何新问题或发现的新的情报不足之处可能会作为生命周期中下一轮的输入。

威胁情报-类型

战术威胁情报

  1. 由安全运营中心 (SOC) 使用,旨在检测和应对正在进行的网络攻击。
  2. 通常关注于常见的 IoC — 例如,与命令和控制服务器相关的 IP 地址、与已知的恶意软件和勒索软件相关的文件散列,或者与网络钓鱼攻击相关的电子邮件主题行。
  3. 除了帮助事件响应团队过滤掉假警报以及解读真正的攻击外,战术威胁情报还可由威胁搜寻团队使用,以跟踪高级持久性威胁 (APT) 和其他活跃但隐藏的攻击者。

运营威胁情报

  1. 帮助组织预测和抵御未来的攻击。
  2. 它有时也称为“技术威胁情报”,因为它详细说明了已知威胁发动者的 TTP 和行为 — 例如,他们使用的攻击载体、他们利用的漏洞以及他们针对的资产。
  3. CISO、CIO 和其他信息安全决策者使用运营威胁情报,发现可能攻击自己组织的威胁发动者,并通过专门用于阻止攻击的安全控制和其他措施加以应对。

战略威胁情报

  1. 关于全球威胁态势和组织在其中所处位置的高层级情报。
  2. 战略威胁情报旨在帮助 IT 以外的决策者(例如 CEO 和其他高管)了解自己组织所面临的威胁。
  3. 战略威胁情报通常侧重于地缘政治形势、特定行业中的网络威胁趋势,或者组织的某些战略性资产如何或为何可能成为攻击目标等问题。
  4. 利益相关方使用战略威胁情报,使更广泛的组织风险管理战略和投资与网络威胁态势统一起来。

参考:https://developer.ibm.com/

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/794832.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

09 flink-sql 中基于 mysql-cdc 的 select * from test_user 的具体实现

前言 这也是最近帮一个朋友看问题 遇到的一个问题 然后 引发了一下 对于 flink-sql 里面的一些 常规处理的思考, 理解 原始问题主要是 在测试库可以使用 flink-sql 可以正常同步, 但是 在生产环境 无法正常同步数据 这个问题 我们后面单独 记录一篇文章 测试用例 下载…

网络抓包专题

导航目录 HTTP 原理HTTPS 原理TLS 原理网络抓包原理一. 什么是抓包?二. 抓包的原理对HTTP请求进行抓包对HTTPS请求进行抓包 三. Android设备抓包问题Android6.0 及以下系统Android7.0 及以上系统方式一:方式二 HTTP 原理 HTTP 详解 点击跳转 HTTPS 原理…

【QT入门】 Qt代码创建布局综合运用:仿写腾讯会议登陆界面

往期回顾: 【QT入门】 Qt代码创建布局之水平布局、竖直布局详解-CSDN博客 【QT入门】 Qt代码创建布局之栅格布局详解-CSDN博客 【QT入门】 Qt代码创建布局之分裂器布局详解-CSDN博客 【QT入门】 Qt代码创建布局综合运用:仿写腾讯会议登陆界面 一、界面分…

Linux基础篇:文件系统介绍——根目录下文件夹含义与作用介绍

Linux文件系统介绍——文件夹含义与作用 Linux文件系统是一个组织和管理文件的层次结构。它包括了目录、子目录和文件,这些都是按照一定的规则和标准进行组织的。以下是Linux文件系统的一些关键组成部分: 1./bin: 该目录包含了系统启动和运…

Rust线程间通信通讯channel的理解和使用

Channel允许在Rust中创建一个消息传递渠道,它返回一个元组结构体,其中包含发送和接收端。发送端用于向通道发送数据,而接收端则用于从通道接收数据。不能使用可变变量的方式,线程外面修改了可变变量的值,线程里面是拿不…

C++设计模式:策略模式(二)

1、定义与动机 定义一系列算法,把它们一个个封装起来,并且使它们可互相替换(变化),该模式使得算法可独立于使用它的客户程序(稳定)而变化(扩展,子类化) 在软…

Hadoop-MapReduce

一、MapReduce 概述 1.1 MapReduce 定义 MapReduce 是一个分布式运算程序的编程框架,是用户开发“基于 Hadoop 的数据分析应用”的核心框架。 MapReduce 核心功能是将用户编写的业务逻辑代码和自带默认组件整合成一个完整的分布式运算程序,并发运行在…

Linux:Centos9:配置固定ip

centos9的网卡位置移动到了 /etc/NetworkManager/system-connections/ 下面 查看网卡 ifconfig 当前有两块网卡,我要去配置ens160的一个固定的ip,让其ip为192.168.6.20/24,网关为192.168.6.254.dns为:1.1.1.1 vim /etc/Netwo…

CSS-概述

&#x1f4da;详见 W3scholl&#xff0c;本篇只做快速思维索引。 概述 CSS 是一种描述 HTML 文档样式的语言。 有三种插入样式表的方法&#xff1a; 外部 CSS内部 CSS行内 CSS &#x1f4c5; 外部 CSS 外部样式表存储在.css文件中。HTML 页面必须在 head 部分的<link&g…

基于JavaWeb实现的漫画网站前后台系统

一、项目简介 本项目是一套基于JavaWeb实现的漫画网站前后台系统&#xff0c;主要针对计算机相关专业的正在做毕设的学生与需要项目实战练习的Java学习者。 包含&#xff1a;项目源码、数据库脚本等&#xff0c;该项目附带全部源码可作为毕设使用。 项目都经过严格调试&#x…

云服务器ECS租用价格表报价——阿里云

阿里云服务器租用价格表2024年最新&#xff0c;云服务器ECS经济型e实例2核2G、3M固定带宽99元一年&#xff0c;轻量应用服务器2核2G3M带宽轻量服务器一年61元&#xff0c;ECS u1服务器2核4G5M固定带宽199元一年&#xff0c;2核4G4M带宽轻量服务器一年165元12个月&#xff0c;2核…

SRS 实时视频服务器搭建及使用

一、SRS 介绍 SRS是一个开源的&#xff08;MIT协议&#xff09;简单高效的实时视频服务器&#xff0c;支持RTMP、WebRTC、HLS、HTTP-FLV、SRT、MPEG-DASH和GB28181等协议。 SRS媒体服务器和FFmpeg、OBS、VLC、 WebRTC等客户端配合使用&#xff0c;提供流的接收和分发的能力&am…

DNS和HTTP

DNS应用层协议 域名解析系统 使用IP地址&#xff0c;来描述设备在网络上的位置 IP地址并不适合来进行传播网站&#xff0c;就采用了域名的方式来解决网站传播的问题。如www.baidu.com这样类似的就很容易让人记住。其域名就直接代表了这个网站。而且有一套自动的系统会将域名解…

YOLO火灾烟雾检测数据集:20000多张,yolo标注完整

YOLO火灾烟雾检测数据集&#xff1a;一共20859张图像&#xff0c;yolo标注完整&#xff0c;部分图像应用增强 适用于CV项目&#xff0c;毕设&#xff0c;科研&#xff0c;实验等 需要此数据集或其他任何数据集请私信

C++11多线程库重点接口

目录 一.thread构造函数 二.移动构造&#xff0c;移动赋值 小结 三.获取线程id的方法 四.thread与lambda表达式联用 五.Mutexs的总览 六.互斥锁 七.Locks的总览 八. 条件变量总览 九.条件变量的wait和notify 十.典型例题 十一.原子类 十二.智能指针和单例模式的线…

详解 Redis 在 Ubuntu 系统上的安装

在 Ubuntu 20.04 安装 Redis 1. 先切换到 root 用户 在 Ubuntu 20.04 中&#xff0c;可以通过以下步骤切换到 root 用户&#xff1a; 输入以下命令&#xff0c;以 root 用户身份登录&#xff1a; sudo su -按回车键&#xff0c;并输入当前用户的密码&#xff08;即具有 sudo…

【论文精读】Detecting Out-of-Distribution Examples with Gram Matrices 使用Gram矩阵检测分布外实例

文章目录 一、文章概览&#xff08;一&#xff09;Gram矩阵1、Gram&#xff08;格朗姆&#xff09;矩阵的定义2、Gram矩阵计算特征表示3、风格迁移中的Gram矩阵 &#xff08;二&#xff09;ood检测&#xff08;三&#xff09;核心思路&#xff1a;扩展 Gram 矩阵以进行分布外检…

2024最新在线工具箱/ 站长IT工具箱/网站系统源码下载

2024最新在线工具箱/ 站长IT工具箱/网站系统源码下载- 更多详情及下载地址请访问https://a5.org.cn/a5_ziyuan/39525.html 转载请注明出处!

SketchUp Pro 2024 for mac 草图大师 专业的3D建模软件

SketchUp Pro 2024 for Mac是一款功能强大的三维建模软件&#xff0c;适用于Mac电脑。其简洁易用的界面和强大的工具集使得用户可以轻松创建复杂的3D模型。 软件下载&#xff1a;SketchUp Pro 2024 for mac v24.0.483 激活版下载 SketchUp Pro 2024 for Mac支持导入和导出多种文…

软件杯 深度学习乳腺癌分类

文章目录 1 前言2 前言3 数据集3.1 良性样本3.2 病变样本 4 开发环境5 代码实现5.1 实现流程5.2 部分代码实现5.2.1 导入库5.2.2 图像加载5.2.3 标记5.2.4 分组5.2.5 构建模型训练 6 分析指标6.1 精度&#xff0c;召回率和F1度量6.2 混淆矩阵 7 结果和结论8 最后 1 前言 &…