精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

威脅情報在國內(nèi)已經(jīng)火了幾年，威脅情報怎么用，具體的使用場景是什么，這方面的話題似乎較少。下面想根據(jù)個人所知，談談這方面，不完善準確的地方也請大家指正。

有些時候情報和威脅情報很容易被劃等號，其實不然。威脅情報（和攻擊者相關）、漏洞情報（和脆弱點相關）、資產(chǎn)情報（內(nèi)部IT業(yè)務資產(chǎn)和人的信息），都屬于情報的范疇，但作用和生產(chǎn)維護方法都不同，需要明確區(qū)分。它們都是安全分析需要的信息，資產(chǎn)和漏洞在多年前就一直被重視，甚至安全建設就是被認為是圍繞著資產(chǎn)和漏洞的?，F(xiàn)實中攻防對抗的不斷演進，讓我們不得不進入主動安全建設階段（或者說自適應安全架構(gòu)ASA），我們需要更多的去關注威脅，讓威脅情報去引領安全建設，進一步的完善檢測、分析、預測預防的能力，并由此發(fā)現(xiàn)防御上的不足，給予針對性的完善。這種動態(tài)平衡的安全理念，成為被廣泛接受的安全建設指導思路。

言歸正傳，下面就具體談談威脅情報的種類?；谡w應用場景，我們可以將情報分為3類：以自動化檢測分析為主的戰(zhàn)術情報、以安全響應分析為目的的運營級情報，以及指導整體安全投資策略的戰(zhàn)略情報。

戰(zhàn)術級情報

戰(zhàn)術情報的作用主要是發(fā)現(xiàn)威脅事件以及對報警確認或優(yōu)先級排序。常見的失陷檢測情報（CnC 情報）、IP情報就屬于這個范疇，它們都是可機讀的情報，可以直接被設備使用，自動化的完成上述的安全工作。

失陷檢測情報，即攻擊者控制被害主機所使用的遠程命令與控制服務器情報。情報的IOC往往是域名、IP、URL形式（有時也會包括SSL證書、HASH等形式），這種IOC可以推送到不同的安全設備中，如NGFW、IPS、SIEM等，進行檢測發(fā)現(xiàn)甚至實時阻截。這類情報基本上都會提供危害等級、攻擊團伙、惡意家族等更豐富的上下文信息，來幫助確定事件優(yōu)先級并指導后續(xù)安全響應活動。使用這類情報是及時發(fā)現(xiàn)已經(jīng)滲透到組織APT團伙、木馬蠕蟲的最簡單、及時、有效的方式。

IP情報是有關訪問互聯(lián)網(wǎng)服務器的IP主機相關屬性的信息集合，許多屬性是可以幫助服務器防護場景進行攻擊防御或者報警確認、優(yōu)先級排序工作的。譬如：利用持續(xù)在互聯(lián)網(wǎng)上進行掃描的主機IP信息，可以防止企業(yè)資產(chǎn)信息被黑客掌握（很多時候黑客對那些主機開放了SMB端口、那些可能有Struts 2 漏洞比企業(yè)的網(wǎng)管掌握的更清楚）；利用在互聯(lián)網(wǎng)進行自動化攻擊的IP信息可以用來進行Web攻擊的優(yōu)先級排序；利用IDC主機或終端用戶主機IP信息可以用來進行攻擊確認、可疑行為檢測或垃圾郵件攔截；而網(wǎng)關IP、代理IP等也都各自有不同的作用，相關場景很多，就不一一列舉了。

運營級情報

運營級情報是給安全分析師或者說安全事件響應人員使用的，目的是對已知的重要安全事件做分析（報警確認、攻擊影響范圍、攻擊鏈以及攻擊目的、技戰(zhàn)術方法等）或者利用已知的攻擊者技戰(zhàn)術手法主動的查找攻擊相關線索。第一類活動屬于事件響應活動的一部分，第二類活動更是有一個高大上的名字“安全狩獵”。

事件響應活動中的安全分析需要本地的日志、流量和終端信息，需要企業(yè)有關的資產(chǎn)情報信息，也需要運營級威脅情報。這種情況下情報的具體形式往往是威脅情報平臺這樣為分析師使用的應用工具。有一個和攻擊事件相關的域名或IP，利用這個平臺就有可能找到和攻擊者相關更多攻擊事件及詳情，能夠?qū)裟康?、技?zhàn)術手法有更多的認識；通過一個樣本，我們能夠看到更多的相關樣本，也可以對樣本的類型、流行程度、樣本在主機上的行為特征有更多的了解；同樣的利用這個平臺可以持續(xù)的跟蹤相關的攻擊者使用的網(wǎng)絡基礎設施變化；發(fā)現(xiàn)相關資產(chǎn)是否已經(jīng)被攻擊者所利用，等等。

安全狩獵是一個基于已知技戰(zhàn)術手法（TTP：技術、工具、過程）發(fā)現(xiàn)未知威脅事件，同時獲得進一步黑客技戰(zhàn)術相關信息的過程。安全狩獵的過程需要特定的內(nèi)部日志、流量或終端數(shù)據(jù)和相應分析工具，還需要掌握有較豐富對手技戰(zhàn)術手法的安全分析師。這類情報往往通過基于安全事件的分析報告，或者特定的技戰(zhàn)術手法數(shù)據(jù)庫得到，國際上在這方面已經(jīng)有較多的進展，包括了各類開源或限定范圍的來源可以提供這樣的信息，而國內(nèi)相對較少，并且一些安全事件報告因為這樣那樣的問題，并不能公開發(fā)表最寶貴的TTP層面分析內(nèi)容。

戰(zhàn)略級情報

戰(zhàn)略層面的威脅情報是給組織的安全管理者使用的，比如CSO。一個組織在安全上的投入有多少，應該投入到那些方向，往往是需要在最高層達成一致的。但面臨一個問題，如何讓對具體攻防技術并不清楚的業(yè)務管理者得到足夠的信息，來確定相關的安全投資等策略？這時候如果CSO手中有戰(zhàn)略層面的情報，就會成為有力的武器。它包括了什么樣的組織會進行攻擊，攻擊可能造成的危害有哪些，攻擊者的戰(zhàn)術能力和掌控的資源情況等，當然也會包括具體的攻擊實例。有了這樣的信息，安全投入上的決策就不再是盲目的、而是更符合組織的業(yè)務狀況及面臨的真實威脅。

小結(jié)

威脅情報大體就這三種類型，分別用來支撐安全運維人員、安全分析師和安全管理者。但在一篇短文中是不可能覆蓋這些類型的所有使用場景的，并且這也是個創(chuàng)新領域，會不斷的涌現(xiàn)出更多的應用場景和方式，希望能聽到更多的聲音，告訴大家遇到的、想到的。

*本文作者：ZenMind，轉(zhuǎn)載請注明來自FreeBuf.COM