本文讲的是威胁信息和威胁情报有啥区别?,成品情报,是威胁信息纳入、评估和商业利益导出的结果。
网络威胁情报领域,混淆一直存在(很多还都是厂商弄出来的),威胁信息往往被当做了成品情报。
虽然情报过程从威胁信息收集开始,但信息收集仅仅,仅仅只是个起始点而已。从大量获取信息,到产出成品情报之间,还有好长好长的一段路要走,二者之间简直是质的不同。
散布图中各处的1000个点,那是信息。但以某种形式连接各点显示出上下文和关联度(我们称之为“经评估的情报”),那就是情报了。这些情报可用于为未来攻击做应对准备,支撑以前未知的风险,将精力专注到正确的领域。它还能帮助你从事件响应的角度理解发生了什么,为什么会发生,以及怎样发生的。
网络威胁情报(CTI)是一个生命周期过程,最终产出可被不同团体以多种方式消费的可交付产品(取决于所提供的威胁情报的级别——战略性、操作性还是战术性)。说白了,CTI就是拉取指标馈送或涌入大量数据,并将这些指标应用到你的具体环境中。
威胁情报需要自动化,尤其是在数据收集、处理、筛选和部分分析方面,同时还需和人力分析结合。但人的因素往往在疯狂馈送中被无视掉了,这是非常错误的。
虽然现如今信息收集挺常见,但无论是从暗网还是从公开资源搜刮,信息获取都是相当简单的(受限黑市和论坛上需要伪装身份的情况例外)。这就仅仅是收集数据而已。或许也包含了一定的处理和过滤,但真正的秘方,还在于情报分析。
分析做对了,就能确保收集来的信息在准确度、相关性、时效性和完整性上都得到合理的评估。情报是要置入特定行业或公司的上下文中以获得不同的意见和决策的,而这需要人类的经验和对细节的关注。
最终,你需要信息来产生情报。然而,信息本身并不是情报,实际上甚至还有可能会让公司不堪重负,或是将公司指引向错误的方向。情报则能说明问题。信息只是提供大量可能的动作,情报则是有意义且有用的(用滥了的“可执行性”这词儿真心不想再用)。情报支持计划制定,提供方向和焦点,最终帮助你在精力和资源分配上做出更好的决策。
分析威胁活动的时候,可以透过“方法途径”透镜来观察:
目标行业——哪些特定公司或组织是攻击对象?
目标技术——目标公司所用的哪种技术(如:Adobe Flash、IE等等)可被利用来发起攻击?
投送方法——攻击者怎样将攻击载荷投送到目标系统(如:鱼叉式网络钓鱼、第三方侵入等等)?
漏洞利用——攻击者使用了哪个具体漏洞利用程序或已知(或未知)漏洞?
存在形式——攻击者获取/使用什么级别的存在形式(如:特权账户、数据库访问等等)来展开攻击?
达到的效果/伤害——攻击导致的影响是什么(如:知识产权被盗、服务中断等等)?
掌握方法途径可提供有意义的上下文,弄清威胁是什么,怎么进行的,威胁目标是什么,对公司的影响有哪些。成品情报包含此类分析,也包含威胁指标和支持性证据,还有置信度和实际动作建议。所以,情报不仅仅告诉你发生了什么和怎么发生的,还给了你影响评估和缓解步骤建议,从事件响应角度、风险策划和准备方式上给你帮助。
有关威胁情报,“待做事项”是没有得到充分讨论的一个方面。或许,某些厂商使用“可执行性”情报一词时指的就是这个意思,但除了“可执行”,情报还应给出解决迫在眉睫的威胁或已识别风险的实际任务。成品情报终究要是威胁信息纳入、信息评估和商业利益导出的结果,通常表现为对业务运营潜在影响风险的减小。
如果你还不能从当前CTI工作中轻松阐明商业利益,或者在创建新CTI功能时还没有定义它们,那你可能就仅仅是在收集威胁信息,而不是在做威胁情报。