成品情報,是威脅信息納入、評估和商業利益導出的結果。
網絡威脅情報領域,混淆一直存在(很多還都是廠商弄出來的),威脅信息往往被當做了成品情報。
雖然情報過程從威脅信息收集開始,但信息收集僅僅,僅僅只是個起始點而已。從大量獲取信息,到產出成品情報之間,還有好長好長的一段路要走,二者之間簡直是質的不同。
散布圖中各處的1000個點,那是信息。但以某種形式連接各點顯示出上下文和關聯度(我們稱之為“經評估的情報”),那就是情報了。這些情報可用于為未來攻擊做應對準備,支撐以前未知的風險,將精力專注到正確的領域。它還能幫助你從事件響應的角度理解發生了什么,為什么會發生,以及怎樣發生的。
網絡威脅情報(CTI)是一個生命周期過程,最終產出可被不同團體以多種方式消費的可交付產品(取決于所提供的威脅情報的級別——戰略性、操作性還是戰術性)。說白了,CTI就是拉取指標饋送或涌入大量數據,并將這些指標應用到你的具體環境中。
威脅情報需要自動化,尤其是在數據收集、處理、篩選和部分分析方面,同時還需和人力分析結合。但人的因素往往在瘋狂饋送中被無視掉了,這是非常錯誤的。
雖然現如今信息收集挺常見,但無論是從暗網還是從公開資源搜刮,信息獲取都是相當簡單的(受限黑市和論壇上需要偽裝身份的情況例外)。這就僅僅是收集數據而已。或許也包含了一定的處理和過濾,但真正的秘方,還在于情報分析。
分析做對了,就能確保收集來的信息在準確度、相關性、時效性和完整性上都得到合理的評估。情報是要置入特定行業或公司的上下文中以獲得不同的意見和決策的,而這需要人類的經驗和對細節的關注。
最終,你需要信息來產生情報。然而,信息本身并不是情報,實際上甚至還有可能會讓公司不堪重負,或是將公司指引向錯誤的方向。情報則能說明問題。信息只是提供大量可能的動作,情報則是有意義且有用的(用濫了的“可執行性”這詞兒真心不想再用)。情報支持計劃制定,提供方向和焦點,最終幫助你在精力和資源分配上做出更好的決策。
分析威脅活動的時候,可以透過“方法途徑”透鏡來觀察:
目標行業——哪些特定公司或組織是攻擊對象?目標技術——目標公司所用的哪種技術(如:Adobe Flash、IE等等)可被利用來發起攻擊?投送方法——攻擊者怎樣將攻擊載荷投送到目標系統(如:魚叉式網絡釣魚、第三方侵入等等)?漏洞利用——攻擊者使用了哪個具體漏洞利用程序或已知(或未知)漏洞?存在形式——攻擊者獲取/使用什么級別的存在形式(如:特權賬戶、數據庫訪問等等)來展開攻擊?達到的效果/傷害——攻擊導致的影響是什么(如:知識產權被盜、服務中斷等等)?掌握方法途徑可提供有意義的上下文,弄清威脅是什么,怎么進行的,威脅目標是什么,對公司的影響有哪些。成品情報包含此類分析,也包含威脅指標和支持性證據,還有置信度和實際動作建議。所以,情報不僅僅告訴你發生了什么和怎么發生的,還給了你影響評估和緩解步驟建議,從事件響應角度、風險策劃和準備方式上給你幫助。
有關威脅情報,“待做事項”是沒有得到充分討論的一個方面。或許,某些廠商使用“可執行性”情報一詞時指的就是這個意思,但除了“可執行”,情報還應給出解決迫在眉睫的威脅或已識別風險的實際任務。成品情報終究要是威脅信息納入、信息評估和商業利益導出的結果,通常表現為對業務運營潛在影響風險的減小。
如果你還不能從當前CTI工作中輕松闡明商業利益,或者在創建新CTI功能時還沒有定義它們,那你可能就僅僅是在收集威脅信息,而不是在做威脅情報。
京公網安備 11010502049343號