精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

過去我們所理解的威脅情報就是“威脅數據→SIEM(安全信息與事件管理)→安全保障”，而這個過程中只有少數東西需要分析。Rick Hollan在2012年的一篇博客《我的威脅情報可以完虐你的威脅情報》中就曾提醒我們“這是一條錯誤的軌道”，他寫道：

“只有當你的機構具有自我開發的能力時，才稱得上具有真正的威脅情報。”

現階段，我們可以利用很多已有的威脅情報，并掌握我們如何在內網中更好的利用威脅情報。而這要求我們具備一個對威脅情報的基礎了解，以及他們究竟是如何在安全操作環境起作用的。本文旨在幫助對威脅情報感興趣的人，理解威脅情報和情報分析基礎。

　　威脅情報水平的安全操作：爬取

在決定將威脅情報整合到安全操作之前，公司最好先構建一個以不同方式有效利用威脅情報的框架。

傳統中的情報水平即戰爭中的策略、運作及戰術。產生這樣對應關系的原因如下：它有助于識別各個層次的決策者;它能識別情報的目的，無論是既定政策、計劃中或是檢測、組織一次攻擊活動;它能夠在獲得情報后幫助決策者擬定適當的行動。

在所有情報級別中，關鍵是針對組織進行專門的價值評估。請回答一個問題：“這些信息要如何添加到我們的安全項目中?這些信息對我們做決定有什么幫助?”

戰略情報(Strategic intelligence)

戰略情報指的是告知董事會與業務部門的情報。這能幫助他們更好地理解他們所面臨的趨勢，并達成有益發展的策略。戰略情報來自更為長期項目的趨勢分析，常常采用了例如DBIR和CRS(國會研究服務)的報告形式。戰略情報幫助決策者洞悉哪種威脅對業務及公司未來產生最大影響，以及他們應當采取何種措施緩解這些威脅。

運用戰略情報的關鍵是將這些情報融入公司的優先級、數據以及攻擊表面中。沒有任何商業或年度趨勢報告能夠告訴你什么是最重要的、某種威脅趨勢可能會影響到你。

戰略情報和所有其他情報一樣，是一個工具，有助于進行未來決策，但無法幫你直接作出決定。

作戰情報(Operational Intelligence)

作戰情報提供的是針對一個組織特定攻擊的相關情報。它源于軍事行動的概念——即一系列發生于不同時間或地點的計劃、活動，卻具有相同的攻擊目標。因此它能概括出攻擊活動的目標是整個部門，或是黑客針對某個特定機構進行的攻擊。

你可以在信息共享和分析中心(ISAC)與組織(ISAO)獲取作戰情報。

作戰情報是面向更為高級的安全人員，而與戰略情報不同的是，它需要在短期或者中期內采取必要行動，而非長期。它會在一下情況中發揮作用：

1、 是否增加安全意識培訓;

2、 在一次明確的“作戰”過程中，如何分配SOC員工;

3、遭遇特殊情況時，是否可以臨時拒絕防火墻的請求。

作戰情報信息共享是一個非常好的選擇。如果你發現一些近期內會影響他人的“東西”，請及時共享出這些信息。它能夠幫助其他公司決定是否采取必要行動。

只有當情報獲取者有權變更政策或者采取措施應對威脅時，作戰情報才真正有用。

戰術情報(Tactical Intelligence)

戰術情報關注于攻擊者的行為意圖是“什么”(IoC)以及采取了“怎樣”的(戰術、技術和程序)檢測、阻止攻擊行為。攻擊者是否傾向于使用特定方法獲得初始訪問權限，例如社會工程或者漏洞利用?他們是否使用了特定工具或提權手段?你通過哪些IoC發現異?；顒?Herman Statman的威脅情報列表為查詢戰術情報提供了詳實的資料。

戰術情報主要是面向活躍監測周圍環境的安全人員，他們收集來自員工報告的異?；顒踊蛏鐣こ虈L試等信息。戰術情報也可以用于尋找攻擊活動，我們試圖從普通用戶行為中區分出攻擊者。這種情報類型需要更多先進的資源，例如廣泛的日志記錄、用戶行為分析、端點可見性以及訓練有素的分析師。由于一些指標可能在第一次出現時沒有被員工捕獲或警告，因此具備安全意識的員工同樣很重要。通常你擁有的員工數量要比攻擊感應器多……所以，聽從你的員工、訓練他們、收集他們提供的信息，分析之后就采取行動吧。

戰術情報提供了特定但是易逝的信息，安全人員仍可采取應對行動。

了解威脅情報在不同層面上的運作，有助于公司進行決策，同時幫助公司決定如何處理未來的情報。從你組織內部搜集的情報永遠是可執行性最強的情報。

廚子、裁縫、士兵、間諜：情報利用分為多種類型

正如前文中詳細提到的，情報出現在不同的操作層，企業可以利用不同類型的情報有效應對面臨的威脅。

不要笑——對于“情報”解釋得最出色的便是“CIA兒童區”(美國中央情報局針對六至十二年級少年的官方科普網站)。

他們將情報細分為一下幾種類型：

科學和技術：提供關于對手技術和能力的信息;

動態：關注日常事件及其影響;

警示：對于緊急事件給予注意，并發布通知;

估測：關注可能發生的事情;

研究：為某事件提供了一個深入的研究。

雖然大多數機構并不會同時使用所有類型的情報，除非你和CIA一樣(但是請別告訴我你做了什么)，那么了解這些不同類型的情報以及他們提供的內容很有必要。不同類型的情報需要多樣的人員分析和時間差異。例如技術情報很容易實現自動化，因此可以隨節奏而產生。然而像威脅趨勢研究，則非常依賴于人的分析。

　　技術情報

在信息安全操作中，通過技術情報來探查對手的能力和技術。它包括一些例如IP和C&C地址及域名、惡意文件名稱和hash值在內的許多細節，以及一些TTP細節，像是針對某個特殊目標的漏洞或者一個用于指引植入的特定回調模式。

技術情報最常用于“機器對抗機器”的行動中，只是因為需要機器處理盡可能多的信息。機器通常并不關心人在意的內容，因此在許多情況下，技術情報并不涵蓋太多內容。防火墻并不用清楚封鎖某個惡意域名的原因，它只要去照做就行了。而在防火墻另一端的人或許想要知道，因此可能觸發大量警報。企業必須在消費之前進行技術情報分析，否則最多也只是獲取數據或者信息，而非情報!想了解更多，可以去閱讀Robert Lee的文章《數據VS信息VS情報》。

如果你并不使用自己生成的技術情報，那么你必須清楚技術情報的來源以及如何將它們運用于分析，特別是自動化分析。此刻，我感到自己獨自在這里亂言：通過“機器對機器”的自動化方式生成威脅情報……先不要說我錯了，做些分析再說吧!

動態情報

動態情報處理的是每天可能需要立刻做出反應的事件和情況。我曾聽人這么說，“新聞才不是情報”，這的確是真的;然而，當需要對你的特定機構、網絡或者活動進行分析時，公共領域新聞就成了威脅情報。

舉個動態情報的例子，報道說一個開發工具三天前集成了一個新的漏洞利用工具。通常按照30天補丁的周期而言，你在27天內可能遭遇攻擊。知曉這一威脅會如何影響你的組織、如何進行檢測并封鎖惡意活動便是一種動態情報。動態情報也可以從組織網站的信息中獲取。分析一次入侵或者針對高管的釣魚攻擊同樣也能產生動態情報，這點則急需立即執行。

當你的網絡生成動態情報時，要記錄下它們!這可以用于后續的情報趨勢及威脅環境分析研究。同時，還能與其他組織共享這份情報。

威脅趨勢(估測)

在戰術層面(技術情報、動態情報)收集到的所有情報都可以分析進而生成威脅趨勢。威脅趨勢的獲取需要時間，你需要隨著時間進行模式分析，觀察事物如何變化或者保持原狀的。威脅趨勢能夠是某種反復影響網絡的特定威脅分析，也可以是對一個組織或惡意軟件家族的分析。與威脅趨勢更直接相關的其實是你的網絡或者組織，這點對你而言更有幫助。

威脅趨勢讓我們避免從一個分析中得出錯誤的預測或未來威脅的誤報。

威脅形勢研究

說起趨勢，威脅分析長期重視時效性，動態情報需要通過長期的戰略研究進行積累。與戰術情報資源相比，社群中我們擁有多少戰略層、技術性IOC(輸入/輸出控制器)。又存在多少新項目專注于提供“實時情報”和“深入分析”。原因當然包括沒有足夠的分析師進行這些工作，而他們通常關注于對時間比較敏感的時間。此外，我們常常沒有足夠正確的數據進行戰略層的分析，同樣是因為我們并不習慣從自己的網絡中搜集數據，而大多數人不愿意分享戰略型威脅，只愿意分享那些威脅對他們實際造成影響的信息。

我們需要改變這樣的局面，因為你不能也不應該在未來安全項目中忽略戰略的重要性，你也不能在沒有理解其背后的邏輯時匆忙制定安全策略。威脅形勢研究是指在環境中進行長期威脅分析——他們的攻擊是什么、他們如何進行攻擊、你又該如何對這些威脅進行相應——這些都影響著你的策略。你從網絡中收集的戰略層信息并進行基于網絡日常活動進行的分析都歸屬為威脅形勢研究。你以及公共領域信息的動態情報都可以服務于威脅形勢研究。BRID建立了一個用于捕獲和分析這些信息的框架叫做VERIS(事件記錄與共享表單)。記住一點，這類情報分析需要大量時間和精力，但是一切都是值得的。

信息共享

當前共享IOC及其他技術信息變得尤為重要，然而在本文中我們所探討過任一類型的情報都很適合分享，以最佳實踐和流程進行信息共享會有意想不到的收獲。

在一個組織的網絡中共享信息不失為理解新威脅的一種好方式，同時還有益于提升態勢感知能力。信息共享本質上就是產生具有威脅警示作用的情報。當信息共享越來越自動化，這也就意味著掌握的信息更海量。想要了解更多，可以觀看Alex Pinto最近在威脅情報有效性測量方面的研究。

即使現在你仍對從你自身環境中收集情報的價值存有疑慮，威脅情報的消化仍然需要你去分析、去了解它為何與你有關、你又該采取哪些行動。對于不同類型情報的理解及使用方式可以指導你進行分析和決定。

安全操作中的情報分析

在本系列的前兩個部分中，我們介紹了情報的框架：情報的分級(戰略情報、行動情報、戰術情報)和情報的類型(技術情報、趨勢情報、長期情報等)。不論情報的等級、類型如何，對情報分析的需求是不變的。

分析是情報最為重要的部分，它調用數據然后將其轉化成為我們決策提供依據的情報。

分析：失落的碎片

我們十分擅長情報收集、處理及傳播工作，卻容易遺漏情報周期中大量的重要部分，導致警報未觸發、錯誤預警過多，誤導用戶。

說起來容易，但是真正開展情報分析工作卻是一件困難的事情，尤其在諸如網絡威脅情報等新興領域尤為如此。模型和方式可以幫助我們理解情報分析的過程，但即便是確定模型的種類也絕非易事。存在很多相似模型，它們在不同場合發揮了不同的作用。

那么問題來了：什么是分析?

情報分析的目的是為了減少不確定性、提供威脅預警以及為決策提供支撐的信息評估和解讀。美國前國務卿鮑威爾對“情報”給出了最精簡的概括，即“讓我知道你掌握的，讓我了解你不知道的，告訴我你在想什么。對這三者保持清楚的區分”。

借助自己或他人收集的信息，分析師通過這些已知材料進一步區分出哪部分需要繼續采集，而哪些可以作為參考，然后決定他們運用信息的方式。

在你展開分析之前，你應當明確情報分析的目標是什么。理論上需求取決于領導、客戶或者其他類型的用戶，但是在在很多情況中客戶對自己的需求并不非常清楚。因此，理解公司對于威脅情報的需求非常關鍵，第一步就是要搞清楚問題所在或值得探討的地方。

分析模型

一旦了解情報分析需要解決的問題，就著手從不同分析模型中選擇出最佳模型進行分析。這里列出了一些比較有用的資源，可以幫你了解那些常見的威脅情報模型。

不同的模型可以為不同的目的服務。SWOT方法更適合于實施更高級別的分析，通過與對手的比較發現自身存在的優勢和不足。F3EAD、Diamond Model(鉆石模型)、Kill Chains模型都可以用于分析的具體指令或不同事件與指令之間的關聯。Target Centric Intelligence是一種比較少為人知的模型，但它不僅能幫助我們了解某一事件，還能加強情報決策者、收集者、分析者等相關部門的協作，從而避免在情報處理的過程中重復、信息不共享或常見的誤傳等情況。

·SWOT (Strengths, Weaknesses,Opportunities, Threats)

·Find, Fix, Finish, Exploit, Analyze,Disseminate by @sroberts

·Target CentricIntelligence

·Diamond Modelfor Intrusion Analysis

·Analysis ofAdversary Campaigns and Intrusion Kill Chains

關于情報收集，還要注意這些

通常情報分析結果取決于初始信息的質量。通過訓練，情報分析員有能力對信息來源進行評估，以便掌握該信息是否因為主觀因素而影響了可靠性。在開展網絡威脅情報分析工作時，我們還是主要依賴于其他渠道收集的數據而非第一手信息。這也是為什么要在自有網絡中進行信息分析的重要原因之一。

此外，作為團隊成員要確保信息的透明，以便其他人進行情報分析。這樣或許暴露了消源或獲得手段，但我們仍然需要在保護信源和情報得到充分利用之間取得平衡。