威胁数据,信息和情报

  • 威胁数据,信息和情报存在很大的差异,找到并辨别他们彼此之间到底区别,能够帮助企业最大化的利用威胁情报平台所生产的数据
  • 从数据到信息到情报,这些信息的数量在不断地减少,但价值在不断地增加
  •  威胁情报平台只能生产数据和信息,而人工则能区分确实可利用的威胁情报
  • 计算机永远也无法生产真正的威胁情报,但人类也并不适合数据收集和处理大量的威胁数据这两种工作
  • 可落地的安全工作永远是最终的目标,如果不能提高安全性,那么威胁情报是无用的。.

我们在研究中发现,大多数的组织在投资威胁情报平台的时候都会犯一个巨大的错误,更不幸的是,直到完成整个威胁情报平台解决方案的实施,他们都很少会意识到这个错误。当然,决定投资威胁情报并不是问题,否则我们也不会向我们的客户提供威胁情报服务。这个错误其实更基础——那就是认为威胁情报平台会把一切的事情做好。令人悲伤的是,威胁情报平台并非如此,那么为了回答这个问题,让我们来看看威胁数据,信息和情报之间的区别,和在他们进化的过程中,一个技能熟练经验丰富的分析师能够起到的作用。

数据,信息和情报

数据,信息和情报的最大区别实际上是两点,数据量和可用性。

数据通常可以较为容易地,大量地获取,他们通常在陈述单个的,无可争议的事实。比如某个IP发起了链接请求,就是一个很好的例子,因为这是一个很简单的事实陈述,并没有什么争议性。

而当一系列的数据点被结合起来回答一个简单的问题的时候,信息就产生了。例如,身高和体重组合在一起可以计算出BMI指数,然后可以用这个来绘制一张图表来确定你是否属于正常范围。要注意的是,虽然这个信息比原始的数据更加有用,但这并不能直接驱动行为。

情报则像在利用这些数据和信息来讲述一个故事,这个故事可以用来帮助决策。更重要的是,情报从不回答简单的问题,而是描绘一个能够帮助回答更复杂问题的故事。接着BMI体重指数来举例,你的体重指数可以交由移植委员会来结合相关研究来确定你是否合适进行器官移植。情报从不直接回答你是不是应该移植器官,但情报确实能够帮助人们进行决策。

所以我们从数据到信息到情报的时候,输出的数量急剧下降而价值会成指数级上升就并不奇怪了。下面这张来自美国国防部的 “Joint
Publication 2-0: Joint Intelligence” 报告,就能很好的展示从数据到情报这一过程中的步骤和变化。.

但这如何套用到安全领域中呢?

那我们来举一个在安全领域中的数据的例子:单个链接请求。就其本身而言,这个数据确定不了任何事情,除了我们收到了一个从特定的IP地址发来的链接请求。

现在让我们来上升到信息,我们假设这个请求在短时间内达到了一个不正常的极高的数值。那么现在我们就可以确定,由于某种原因,这个服务器收到了极大的访问压力,需要处理。

最后,情报层面。结合我们自己过去的经验以及大量的来自僵尸网络的IP的链接,我们可以得出结论:服务器遭受了DDoS攻击。假设我们已有了处理DDoS的方案 ,那么就可以立即采取措施来保护我们的资产。

所以问题在哪里呢?

现在我们已经了解了威胁数据,信息和情报之间的差异性,那么大部分组织会犯的这个巨大的错误就变得容易理解了。

其实很简单,威胁情报平台实际上并不产生真正的威胁情报。听起来很奇怪,但这并不难理解。威胁情报的产生并不仅仅需要一个高度复杂的计算机算法。

大多数现代威胁情报平台都能够很好的收集威胁数据,而这些平台中很大的一部分都是主要用来组织和展现威胁情报,从而帮助安全分析师的工作。有一些威胁情报工具则做了更多的工作,他们能够结合和加工这些威胁数据提取出的信息,这能够大量的节约安全分析师的工作,因为可以排除许多误报并进行很多较为简单的分析。但严格的来说,并没有自动化的产品可以产生真正的威胁情报。只有高度熟练并具有深厚的安全背景的分析师可以有效的提炼出对企业安全系统有效的行动决策。

也就是说,最好的威胁情报供应商和产品,可以达到生产信息之上的高度。那就是使用一个AI,或者更精确的说一个“threat AI”,AI可以处理那些相对简单的威胁情报,但对于那些更复杂的威胁情报,仍然需要人工的参与。

这就是那个大多数组织都会出现的问题:认为采购一个简单的平台就能提供安全情报,而忽视了真正产生情报需要大量的人力。

是的,我们也要承认在没有人工参与的情况下,一些好的威胁情报平台能够提供一些支持。威胁信息能够提供一些简单问题的答案,比如“软件系统存在漏洞么?”这些答案确实是有帮助的。一些更高级的威胁情报产品能提供一些更多的信息,这可以大大减少分析师的负担。但获得真正的有用的威胁情报时,没有什么能代替人脑在这里起到的作用。

信息过载

当我们讨论到这里,可能会有人疑惑如果威胁情报平台不能生产威胁情报,那么到底有什么作用? 最简单的回答就是大数据,我们拿Recorded Future来举个例子。

即使是产生一个很小的威胁情报,也需要大量的威胁数据,简单的威胁情报平台能够获取并整理大量的威胁数据,这使得分析师的工作更容易和他们的输出结果更加有效。

Recorded Future也在收集来自成千上万数据源的数据,并不断识别和自动添加新的数据来源,Recorded
Future的threat
AI的各种功能都是自动运行的(比如多种语言的自然语言处理功能),数据处理量也是令人惊叹的。平均的来说,Recorded
Future每秒钟能够处理超过4000条数据,远超出了人类团队所能达到的极限。

而且这并不仅仅只是识别威胁,平台最重要的作用是剔除这些数据中的误报,这些误报会大量的浪费人力。Recorded Future可以自动过滤掉大部分的误报,让分析师能够更专注于在真正威胁的基础上生产情报。

其他的有价值的功能也是可以自动化的,比如寻找并识别一些特定的数据,或在威胁论坛和网站上搜索一些相关的信息等等。同样的,这些任务利用人力来做是非常繁重的,但对于自动化威胁情报平台来说,相对比较容易。

最终,threat AI和情报平台将会有明显的界限,Recorded Future平台明显是前者。只有真正将分析师和威胁情报产品结合起来,才能形成世界领先的威胁情报能力。

什么让我们领先?

威胁情报产品最重要的功能之一是将威胁数据根据对企业潜在的风险值组织起来,这也是最好的供应商和其他供应商的区别,那就是他们能够自动化排序威胁,这样分析员就可以集中精力分析最重要的威胁数据或者信息。

这就是关键所在。

就像之前描述过的大数据的问题,能够有一个排序威胁的工具是至关重要的,如果需要手动挖掘每一个威胁,你会发现许多紧迫的威胁无法得到及时的处理。

威胁信息的结合和优先级分析是第一要素,所有请谨慎的选择你的供应商。

灯光!摄影!Action!

当上升到信息级别的时候,能否转化成安全工作是唯一真正重要的,只是拥有威胁数据或信息并没有什么价值,除非你能利用它去来提高安全性或低于即将到来的攻击。

毫不奇怪,世界上最好的安全系统们已经随着时间发展出了自己的方式来采取积极的措施来进行防御。每一天他们的分析师都会分析出可操作的情报,用于改善安全机制,关闭漏洞并停止攻击。

如果你想采取一些更主动的方法,可以看看Recorded future的这篇白皮书“Understand Your Attacker: A
Practical Guide to Identifying TTPs With Threat
Intelligence,”这将帮助您了解威胁行为使用的不同的策略和技术(TTPS)。有了这些信息,你就可以开始系统的提高网络安全并降低组织的威胁了。

原文标题:Threat Data, Information, and Intelligence: What’s the Difference?,作者:Recorded Future

作者:羲和/编译
来源:51CTO

时间: 2024-10-31 20:37:10

威胁数据,信息和情报的相关文章

威胁数据,信息和情报 这三者有何区别?

摘要威胁数据.信息和情报存在很大的差异,找到并辨别他们彼此之间到底区别,能够帮助企业最大化的利用威胁情报平台所生产的数据 从数据到信息到情报,这些信息的数量在不断地减少,但价值在不断地增加 威胁情报平台只能生产数据和信息,而人工则能区分确实可利用的威胁情报 计算机永远也无法生产真正的威胁情报,但人类也并不适合数据收集和处理大量的威胁数据这两种工作 可落地的安全工作永远是最终的目标,如果不能提高安全性,那么威胁情报是无用的. 我们在研究中发现,大多数的组织在投资威胁情报平台的时候都会犯一个巨大的错

如何从威胁数据当中提取出威胁情报

威胁情报供给能力已经成为各类组织机构内网络安全体系的重要组成部分.目前已经有多家安全方案供应商针对最新恶意软件手段.恶意域名.网站.IP地址以及基于主机的违规指标(简称IoC)提供与安全威胁相关的情报反馈. 而这些威胁反馈方案的本质思路可谓大同小异.恶意人士的行动速度正变得越来越快,而强大的情报供应能力则将使安全供应商得以快速反应并共享与实际出现的最新威胁相关联的重要信息. 这些策略无疑会给情报订阅用户带来诸多助益.企业能够通过这种众包方式快速获得关键信息,同时实现恶意软件特征签名的快速交付.然

盘古安全团队推出Janus移动安全威胁数据平台

本文讲的是盘古安全团队推出Janus移动安全威胁数据平台, 4月25日下午,国内知名移动安全研究团队盘古在上海举行发布会,推出了酝酿许久的新产品--国内首个移动安全威胁数据平台Janus. 何为Janus平台? 盘古团队介绍,Janus是一个汇聚海量移动应用的平台,不过它不是用来下载应用的,而是对应用进行分析,来发现不同应用之间的特征和关联关系.在海量应用中提取特征信息进行数据分析,也称作应用情报平台. 发布会上,Janus平台负责人陈业炫说,"应用市场上有数以千万计的应用,我们真的对他们有足够

安全防御需要真数据与真情报

近日安全领域一大新闻就是创立于2010年的Norse Corp濒临倒闭边缘.也许大家没有听过这家公司的名字,但是大多数从业者一定见过酷炫无比的"地图炮".曾几何时,我们可以盯着屏幕在Norse的网站上看"全球黑客大战"的直播.这家公司也在几年间成为了全球领先的威胁情报公司,然而这一切都幻灭了,原因则是这家公司用来呈现和分析以及产出报告使用的数据可能都是假的. 据揭露,Norse的数据来源为部署在全球数十万的代理,蜜罐等传感器,但是他们将这些传感器收集来的数据当做真实

基于大数据的竞争情报系统的研究与实现

基于大数据的竞争情报系统的研究与实现 王勇 许钟涛 王瑛 为让企业在大数据的环境下及时获得准确和可靠的竞争情报,提出了基于大数据的企业竞争情报系统的构建.通过B/S(浏览器/服务器)架构,运用聚焦爬虫工作原理的网络爬虫进行情报信息的采集,并用基于Hadoop的KNN算法进行情报信息的处理和分类,克服了大数据下KNN分类算法时间复杂度高等问题,同时系统支持用户个性化定制. 基于大数据的竞争情报系统的研究与实现

大数据:企业竞争情报的机遇、挑战及对策研究

大数据:企业竞争情报的机遇.挑战及对策研究 吴金红  张飞 鞠秀芳 "大数据"时代的来临,给各行各业带来了数据使用方式的根本性变革.文章首先阐述了大数据的内涵和特征,认为大数据有利于提高竞争情报的真实性.精准性以及实时性.在此基础上,详细分析了企业竞争情报面临的挑战,包括情报存储问题.情报分析问题.情报安全问题以及人才紧缺问题.最后,从情报意识.情报组织团队.竞争情报系统以及情报安全制度等几个方面探讨了大数据时代企业竞争情报工作的重点应对策略. 关键词 大数据 竞争情报 信息分析 信息

ssh整合-java Web 中提交数据信息时 报错

问题描述 java Web 中提交数据信息时 报错 Entering nullPropertyValue [target=[com.shyou.action.BusinessShopAction@1178dc3, com.opensymphony.xwork2.DefaultTextProvider@cbd684], property=bShop] Error setting expression 'bShop.personCharge' with value '[Ljava.lang.Stri

c-VC/C++怎样让打开着的txt文件 实时刷新 写入的数据信息

问题描述 VC/C++怎样让打开着的txt文件 实时刷新 写入的数据信息 怎样让打开着的txt文件 实时刷新 写入的数据信息,用c/VC/C++实现 解决方案 你用ReadDirectoryChange() API 获取文件改变事件,然后这个时候重新读取文件内容,然后刷新显示. nodepad++类似处理. 解决方案二: 如果你坚持使用文本文件,这个没办法实时,只能是不断打开文件,查询有没有新的数据,然后添加. 解决方案三: 你说的的打开着的是个什么意思呢,如果是被系统记事本打开着,估计不能实现

数据信息的 分解 与 检索(讨论原理)

问题描述 存储请求"数据信息的分解与检索"数据库是怎么将这条数据存进去的?数据库内部大多都是用树结构实现的比如B-Tree,B+Tree,B*Tree,RTree等那么每棵树的子节点都有m个关键字吗?_______TreeRoot1________|||||||||leaf1leaf2leaf3[key1,key2...]上图Tree1--------------------一疑问分割线------------------------这条"数据信息的分解与检索"怎么