亚洲日韩欧美美女综合热精品,日本高新在线亚洲视频看看,在线精品亚洲一区二区小说,日韩精品视频一区导航

  1. <var id="bsno4"><track id="bsno4"><ins id="bsno4"></ins></track></var>

    <video id="bsno4"><track id="bsno4"><object id="bsno4"></object></track></video>

    1. <samp id="bsno4"><td id="bsno4"></td></samp>
      1. 威脅情報(bào)的定義
        發(fā)布時(shí)間:2019-05-21 15:11:58

        威脅情報(bào)的定義

        簡介

           在過去的幾年中,術(shù)語“威脅情報(bào)”迅速出現(xiàn)在信息安全領(lǐng)域,許多安全廠商現(xiàn)在為消費(fèi)者提供威脅情報(bào)服務(wù)。由于威脅情報(bào)并沒有一個(gè)明確的工業(yè)化定義,不是所有人對它的定義都一致。導(dǎo)致的結(jié)果是威脅情報(bào)這一術(shù)語如此廣泛地使用在安全工業(yè)領(lǐng)域,但對于“情報(bào)”的真實(shí)定義卻一直沒有。今天正在提供給市場的威脅情報(bào)服務(wù)完全沒有提供正確的威脅情報(bào)——他們只是提供對經(jīng)過最簡單(或者甚至是原始的)數(shù)據(jù)的訪問權(quán)。

         

           這篇Solutionary公司的白皮書向讀者們提供對情報(bào)的基本介紹,進(jìn)一步,會介紹一下威脅情報(bào)。這篇文章的關(guān)鍵論點(diǎn)如下:

        用傳統(tǒng)情報(bào)社區(qū)(的觀點(diǎn))來羅列工業(yè)上關(guān)于情報(bào)的定義,以便在向前時(shí)有一種統(tǒng)一的理解。

        明確定義什么是威脅情報(bào),它的核心準(zhǔn)則,網(wǎng)絡(luò)情報(bào)當(dāng)前的演變和它的衍生物:網(wǎng)絡(luò)威脅情報(bào)。

        對將原始數(shù)據(jù)轉(zhuǎn)換為情報(bào)必須的情報(bào)處理過程的步驟文檔化。

        為那些正在考慮商業(yè)威脅情報(bào)服務(wù)的讀者提供一個(gè)精準(zhǔn)的依據(jù)和理解。

        討論威脅情報(bào)服務(wù)增長背后的影響。

        什么是威脅情報(bào)?

        中央情報(bào)局(CIA)關(guān)于情報(bào)的定義1(對威脅情報(bào)的關(guān)鍵論點(diǎn)作了下劃線):

        用最簡術(shù)語表示,情報(bào)是我們所處世界中的知識和預(yù)判。美國政策制定者決策和行動(dòng)的先導(dǎo)。情報(bào)機(jī)構(gòu)將這種信息以某種方式提供給消費(fèi)者、國民領(lǐng)導(dǎo)或軍隊(duì)指揮官,(以便讓他們)去思考可替換的選項(xiàng)和結(jié)果。情報(bào)處理過程涉及漫長細(xì)心和通常是枯燥耗時(shí)的對事實(shí)的搜集、對它們的分析、快速和清晰的評估、仔細(xì)判斷后形成產(chǎn)品,并且不時(shí)遞知給消費(fèi)者。綜上,這個(gè)分析過程必須是完整而冗長的,經(jīng)常性的和與政治需求及企業(yè)相關(guān)的。

         

        商業(yè)威脅情報(bào)的目標(biāo)是去傳遞與中央情報(bào)機(jī)構(gòu)提供的具有相似能力的事物。然而,取代了向政府官員提供軍事和政治情報(bào),當(dāng)前關(guān)注范圍在信息安全工業(yè)內(nèi),主要是向組織機(jī)構(gòu)相關(guān)人員提供關(guān)于他們企業(yè)系統(tǒng)的數(shù)字威脅的威脅情報(bào)。

         

        這種威脅情報(bào),和與之相關(guān)的價(jià)值,經(jīng)常與特定情報(bào)目標(biāo)的實(shí)現(xiàn)(也被稱為優(yōu)先情報(bào)要求(PIR))關(guān)聯(lián)起來。PIR可被視為是收集信息以滿足情報(bào)要求的特殊使用案例。

         

        有時(shí)候“威脅情報(bào)”這一術(shù)語經(jīng)常被定義為數(shù)據(jù)或與潛在的網(wǎng)絡(luò)安全相關(guān)的數(shù)據(jù)饋送這樣的錯(cuò)誤名詞。這個(gè)定義極大地簡化了應(yīng)當(dāng)被收集為情報(bào)供給內(nèi)一部分的的情報(bào)類型,和將原始數(shù)據(jù)轉(zhuǎn)換為顧客可用來行動(dòng)的情報(bào)的(被要求的)過程。

         

        網(wǎng)絡(luò)威脅情報(bào)要處理的遠(yuǎn)不止如此。它的目的是成為一個(gè)跨學(xué)科的和整體的,可以提供一個(gè)人可理解的和真實(shí)的情報(bào)產(chǎn)品的,可以在多層面上給股東們提供價(jià)值的解決方案。它從一個(gè)組織周邊的物理(PESTLESTEEPLED2和數(shù)字環(huán)境中同時(shí)收集數(shù)據(jù),而且要顧及更廣泛的攻擊面。(我們)可以這樣闡述觀點(diǎn):在情報(bào)圈內(nèi)有一個(gè)很小但正在發(fā)展為聯(lián)盟的,限制伙伴關(guān)系和在物理與網(wǎng)絡(luò)世界威脅里面廣泛聯(lián)系、關(guān)聯(lián)的角色。許多跨國犯罪組織無一例外地擅長于用來尋找新的犯罪企業(yè)的環(huán)境掃描。網(wǎng)絡(luò)威脅情報(bào)是用來應(yīng)對這些因素的唯一準(zhǔn)備。

        核心情報(bào)原則

        情報(bào)是一種諜報(bào)。它結(jié)合了可以被用來橫跨整個(gè)產(chǎn)業(yè)的方法論和技術(shù)。它的收集包括五個(gè)核心原則和它們的附屬原則。傳統(tǒng)情報(bào)社區(qū)辨別情報(bào)的原則基于他們的計(jì)劃目的和收集來源。對五個(gè)情報(bào)原則的描述如下。

        1. 人力情報(bào)(HUMINT- HUMINT是從一個(gè)線人那里收集信息。這種來源也許擁有第一手或者第二手的資料,且通常通過看、聽和活動(dòng)來獲得。它可以包括威脅、中立或友好的(政府)文職人員。

        2. 開源威脅情報(bào)(OSINT- OSINT探索、利用和提高可公開獲得的公眾信息。由于海量的可利用信息,數(shù)據(jù)挖掘和高級搜索技術(shù)顯得尤為重要。這種情報(bào)包括電視、雷達(dá)廣播、書籍、報(bào)紙和網(wǎng)絡(luò)這些來源。

        3. 信號情報(bào)(SIGINT- SIGINT被定義為對交通系統(tǒng)、雷達(dá)和武器系統(tǒng)的信號轉(zhuǎn)換的收集和利用。SIGINT的結(jié)果來自收集、鎖定、處理、分析和報(bào)告被攔截的通訊和沒有通訊功能的發(fā)射器。SIGINT被歸為電子情報(bào)(ELINT)和通訊情報(bào)(COMINT)的子類。

        4. 圖像情報(bào)(IMINT- IMINT是被大量陸地、航空或衛(wèi)星探測器收集的地理空間信息。

        5. 測量和特征情報(bào)(MASINT- MASINT是情報(bào)的一個(gè)技術(shù)分支,使用通過諸如雷達(dá)、聲吶、無源電光傳感器、地震儀和其他用來測量物體或事件以通過它們的特征來辨別它們的傳感器所收集的信息。這包括去離散標(biāo)記一個(gè)人、一個(gè)地方或有特殊特征的事物的能力。

        威脅情報(bào)的定義(圖1)

        1

        可辨別的網(wǎng)絡(luò)情報(bào)

        網(wǎng)絡(luò)情報(bào)(CYINT- 不是核心情報(bào)原則里的一種,但是一個(gè)相對新穎且在不斷發(fā)展的領(lǐng)域,它是一個(gè)混合體,而且可以包含任何組合或所有上述五個(gè)原則。盡管它可以被用來作為網(wǎng)絡(luò)安全的關(guān)鍵組件,網(wǎng)絡(luò)情報(bào)操作卻與網(wǎng)絡(luò)安全任務(wù)獨(dú)立,而且可以支持涵蓋政府和工業(yè)的各個(gè)方面的大量操作。

         

        對組織機(jī)構(gòu)來說,意識到情報(bào)領(lǐng)域的這個(gè)迅速出現(xiàn)的(事物)的更廣泛能力和怎樣在未定義網(wǎng)絡(luò)威脅角色、關(guān)于漏洞的技術(shù)數(shù)據(jù)、惡意代碼或知識產(chǎn)權(quán)信譽(yù)數(shù)據(jù)之前使用它,是關(guān)鍵的。網(wǎng)絡(luò)情報(bào)走在這些狹小的因素之前,而且包含與一個(gè)組織機(jī)構(gòu)的物理環(huán)境相關(guān)的行動(dòng)或事件的分析,它可以做到對數(shù)字威脅的預(yù)測。

        情報(bào)圈

        情報(bào)圈包含以下幾個(gè)短語,如下面圖2所示:

        1. 計(jì)劃、要求和方向情報(bào)收集的計(jì)劃和方向包括對整個(gè)情報(bào)工作的管理——從優(yōu)先情報(bào)要求(消費(fèi)者3領(lǐng)導(dǎo)和進(jìn)一步需求的定義)到最終情報(bào)產(chǎn)品4。

        2. 收集根據(jù)建立好的方向,威脅情報(bào)服務(wù)從相關(guān)來源里面收集潛在有用的原始數(shù)據(jù)。

        3. 處理將收集到的數(shù)據(jù)加強(qiáng)為適用于更詳細(xì)分析的標(biāo)準(zhǔn)格式。

        4. 分析和產(chǎn)品收集到的數(shù)據(jù)被領(lǐng)域?qū)<曳治鲆员孀R出對消費(fèi)者環(huán)境的潛在威脅。用來對被辨識出的威脅產(chǎn)生響應(yīng)的對策也在這個(gè)階段被開發(fā)。

        5. 傳播情報(bào)分析結(jié)果被提交給客戶,以便合適的保護(hù)性措施可以被執(zhí)行。

        威脅情報(bào)的定義(圖2)

        2

        情報(bào)漏斗

        情報(bào)天生不是作為一個(gè)完整產(chǎn)品被發(fā)現(xiàn)的,而是來源一個(gè)結(jié)構(gòu)的派生——對包含有助于達(dá)到特定優(yōu)先情報(bào)需求的噪音或數(shù)據(jù)的完整仔細(xì)的辨識過程。它最終被分析和評估。如果它滿足要求,將會被轉(zhuǎn)換成傳遞給情報(bào)買家的情報(bào)產(chǎn)品。

         

        ?噪音 是根據(jù)優(yōu)先情報(bào)需求收集的一系列事物。

        ?數(shù)據(jù) 是噪音經(jīng)過過濾和沒有應(yīng)用價(jià)值的條目被去除后的遺留。

        ?信息 是有特定用途的數(shù)據(jù)。一旦它被分配給一個(gè)用途,它就有了價(jià)值。

        ?情報(bào) 是帶有戰(zhàn)略性目的的信息,可以被用來獲取優(yōu)勢。情報(bào)是一項(xiàng)僅以人類為中心的活動(dòng)。

        ?可行動(dòng)的情報(bào)是情報(bào)主導(dǎo)的,基于對可被初始化、用以行動(dòng)和提供清晰的結(jié)果的證據(jù)的評定,它被用來提供對優(yōu)先情報(bào)需求的支持。

        威脅情報(bào)的定義(圖3)

        3

        從信息中辨識情報(bào)

        許多安全威脅情報(bào)廠商實(shí)際上停留在情報(bào)漏斗處理過程的“數(shù)據(jù)”和“信息”階段,但仍然將傳遞的信息叫做威脅情報(bào)。信息和情報(bào)有著定義上的不同。

        ?信息:一個(gè)對Java零日漏洞的利用被公開在一個(gè)安全郵件列表中。馬上,有惡意軟件被發(fā)現(xiàn)使用了該漏洞。安全廠商將這個(gè)威脅通知客戶并且給出減緩?fù){的建議。這叫做威脅信息(這像是非常有用的信息),但是在定義上,這不是威脅情報(bào)。

        ?情報(bào):一家監(jiān)控著Java漏洞的安全廠商注意到該漏洞在亞太地區(qū)的感染率遠(yuǎn)高于美國。會在用戶計(jì)算機(jī)設(shè)備上安裝代碼和僵尸網(wǎng)絡(luò)命令和與控制系統(tǒng)關(guān)聯(lián)的新變種惡意代碼正在被觀察到。與此同時(shí),一家大型的金融機(jī)構(gòu)宣布若干小型的、區(qū)域性的銀行猛漲股票價(jià)格,與此同時(shí),發(fā)起了對他們的空頭支票費(fèi)用從20美元到35美元的猛漲,因此激怒了消費(fèi)者。若干黑客團(tuán)體開始在推特和其他社交網(wǎng)站上討論對美國銀行系統(tǒng)的抗議活動(dòng),希望使主要交易機(jī)構(gòu)的網(wǎng)上交易宕機(jī)一天。一個(gè)黑客活動(dòng)的推特賬號上發(fā)布了使用僵尸網(wǎng)絡(luò)命令和控制軟件的指令,這些正好與通過Java漏洞安裝在客戶機(jī)的僵尸網(wǎng)絡(luò)惡意代碼相關(guān)。

         

        將這些數(shù)據(jù)點(diǎn)連接起來可以得到一幅清晰的圖片:美國的銀行極有可能被黑客團(tuán)體作為利用基于Java漏洞的僵尸網(wǎng)絡(luò)進(jìn)行DDoS(分布式拒絕服務(wù))攻擊的目標(biāo)?;谝呀?jīng)知道的感染特征,銀行可以預(yù)測出用來進(jìn)行攻擊的那些來自亞洲的IP地址。這才是威脅情報(bào)——信息被從分散的來源收集起來,通過人為分析合成,去辨識出針對某一特定目標(biāo)的特定威脅。

        威脅情報(bào)收集

        定向攻擊、零日漏洞和惡意軟件的利用工具是許多組織機(jī)構(gòu)的擔(dān)心之處。然而,大多數(shù)組織機(jī)構(gòu)并沒有獨(dú)立研究和評估威脅必須要具備的資源和知識技能,更不用說去決定這些威脅與他們的組織機(jī)構(gòu)有多大的相關(guān)性。

         

        威脅情報(bào)服務(wù)經(jīng)常被當(dāng)做一種外包能力的形式來使用,用來提供那些別的地方無法提供的,對高級安全議題的知識技能和資源的訪問權(quán)。有資歷的威脅情報(bào)人員經(jīng)受過廣泛的訓(xùn)練,擁有特殊定制的工具,并且理解現(xiàn)代攻擊者的思維方式和方法。他們也擅長從相關(guān)收集到的資源里面進(jìn)行數(shù)據(jù)挖掘,如下圖4所示:

        威脅情報(bào)的定義(圖4)

        4

        情報(bào)事件中可辨別的特征

        跡象性事件和事件性事件——在情報(bào)詞庫里,“事件”是指分析員用來預(yù)測一個(gè)威脅增加或者減少的原始數(shù)據(jù)。這些事件被用來界定那些已經(jīng)發(fā)生或者將要發(fā)生的威脅環(huán)境的改變的關(guān)鍵跡象。

        威脅情報(bào)的定義(圖5)

        5

         

        這些就是能被用來確認(rèn)一個(gè)威脅正在增長的風(fēng)險(xiǎn),或唯一標(biāo)志一次襲擊的特定碎片化數(shù)據(jù)。跡象性事件和事件性事件本身都可以是技術(shù)性(數(shù)字的)或非技術(shù)性的(物理的),而且可以被用來辨識圍繞一個(gè)潛在的或已表現(xiàn)出來的威脅或攻擊的環(huán)境因素。這些包括:

        ?物理的集體訴訟、立法或者影響立法的行為嘗試、許可證的吊銷、政治捐贈、被關(guān)鍵人物公開或者私下做出的個(gè)人社交媒體上的有爭論的陳述、買入大量關(guān)鍵的真實(shí)的房地產(chǎn)、不受歡迎的政策變化、裁員、(企業(yè)的)合并或收購、環(huán)境破壞、總部遷移、在特定人口或經(jīng)濟(jì)中心的商店的開張或關(guān)閉,等等。

        ?數(shù)字的大量失敗的密碼登陸嘗試、緩沖區(qū)溢出、端口掃描、網(wǎng)絡(luò)釣魚活動(dòng)、SQL查詢注入、統(tǒng)一資源定位符(URLs)、文件名稱、文件擴(kuò)展、文件哈希值、服務(wù)或者可執(zhí)行文件、命令序列、HTTP請求、注冊表設(shè)定、使用的協(xié)議和端口,等等。

        威脅情報(bào)提供的信息

        威脅情報(bào)處理的最終結(jié)果是去回答股東的下面幾個(gè)問題:

        ?威脅當(dāng)前的哪些威脅是組織機(jī)構(gòu)必須要知道的?組織機(jī)構(gòu)所面對的網(wǎng)絡(luò)威脅被歸入為一個(gè)獨(dú)特的分類,因?yàn)樗鼈儽旧砭蛶в胁灰桌斫庑院筒粚ΨQ性。不易理解性指的是數(shù)字環(huán)境的不規(guī)律和不易追蹤的特征,不對稱性是指在一個(gè)位置范圍的可執(zhí)行策略下威脅房和目標(biāo)方在實(shí)力上的巨大不平衡。

        ?威脅方特定威脅下的(團(tuán)體/個(gè)人)(是誰/是什么/在哪里)?他們的能力、動(dòng)機(jī)、目標(biāo)、運(yùn)作的范圍、活動(dòng)的歷史有哪些?

        ?目標(biāo)方誰被威脅視為目標(biāo)?這些威脅是基于地理的、政治的還是行業(yè)的?

        ?方法和策略攻擊者們所采用的策略性方式是什么?威脅被設(shè)計(jì)用來做什么?它關(guān)注的是什么?他們使用的是什么工具和設(shè)施?哪些技術(shù)、版本和用戶類型被作為目標(biāo)?攻擊怎樣被傳遞到目標(biāo)?

        ?對策組織機(jī)構(gòu)可以采取怎樣的行動(dòng)去應(yīng)對特定威脅?威脅措施可以包括:入侵檢測系統(tǒng)特征、反病毒系統(tǒng)特征、需要阻塞的端口/協(xié)議或者其他可被用來幫助保護(hù)組織機(jī)構(gòu)被特定威脅攻擊的反應(yīng)行動(dòng)。

         


        咨詢電話
        400-1188-776