一 狈醉、概念
威脅情報(bào)(Gartner定義):Threat Intelligence,以下簡(jiǎn)稱(chēng)TI
關(guān)于已出現(xiàn)或新的資產(chǎn)威脅和危險(xiǎn)的牲芋、基于證據(jù)的信息撩笆,包括情景、機(jī)制缸浦、指標(biāo)夕冲、影響和可行建議,可用來(lái)通知企業(yè)針對(duì)相關(guān)威脅或危險(xiǎn)做出決策裂逐。
威脅情報(bào)平臺(tái)(Gartner定義):Threat Intelligence Platforms歹鱼,以下簡(jiǎn)稱(chēng)TIPs
用來(lái)收集、關(guān)聯(lián)實(shí)時(shí)數(shù)據(jù)卜高,并對(duì)其分類(lèi)弥姻、整合的一個(gè)平臺(tái),可優(yōu)先支持防御行動(dòng)掺涛。同時(shí)庭敦,還會(huì)整合現(xiàn)有安全技術(shù)和流程并加以補(bǔ)充,解決了在多個(gè)利益相關(guān)人和不同群體之間快速分享MRTI的需求薪缆。
二秧廉、威脅情報(bào)平臺(tái)的特征(Gartner解讀)
收集
TIPs可以從各類(lèi)資源中獲取威脅情報(bào),如開(kāi)源機(jī)讀情報(bào)來(lái)源拣帽、商業(yè)情報(bào)來(lái)源疼电、公開(kāi)情報(bào)來(lái)源、各類(lèi)廠商提供的API减拭,并使各種形式的TI標(biāo)準(zhǔn)化蔽豺,這是TIP區(qū)別于SIEM的關(guān)鍵點(diǎn)。
關(guān)聯(lián)
TIPs能夠分析拧粪、關(guān)聯(lián)修陡、轉(zhuǎn)移或豐富數(shù)據(jù),以便得到更多權(quán)威信息和數(shù)據(jù)情景既们。每一個(gè)郵件地址濒析、URL、域名啥纸、IP地址或文件都能給已有威脅提供一個(gè)更具說(shuō)服力号杏、更完整的圖像。
分類(lèi)
一旦收集并關(guān)聯(lián)了信息,分析師就可以分類(lèi)盾致、找出威脅情報(bào)主经。對(duì)IP地址、MD5簽名庭惜、主機(jī)入侵標(biāo)志罩驻、域名和URL等進(jìn)行分類(lèi)和補(bǔ)充。分析師可以對(duì)威脅主體群护赊、ISP或其他允許建立配置文件的共性進(jìn)行分類(lèi)惠遏。
集成
一個(gè)功能齊全的TIPs能夠集成海量上游資源中的信息流,并將其轉(zhuǎn)化骏啰,用于大量的下游工具节吮。
行動(dòng)
一般來(lái)說(shuō),TIPs不會(huì)自動(dòng)采取行動(dòng)判耕,它們更多地是一種進(jìn)程透绩,自動(dòng)化和分析工具,但是一些TIP為用戶(hù)提供了觸發(fā)行動(dòng)任務(wù)的能力壁熄,這些行動(dòng)一般由其他用戶(hù)來(lái)完成帚豪,以便讓大量用戶(hù)在事件前或事件中采取協(xié)調(diào)式工作流程。
共享
快速分享威脅情報(bào)的強(qiáng)化能力是TIP的一個(gè)重要特征草丧,也是區(qū)別于其他平臺(tái)的區(qū)分點(diǎn)狸臣。
采用TIP分享情報(bào)有兩種方式:內(nèi)部分享+外部分享,TIPs一個(gè)最大的好處就是能夠創(chuàng)建并加入一個(gè)“信任圈”方仿,與其他企業(yè)分享情報(bào)固棚。
三、威脅情報(bào)的應(yīng)用
Gartner認(rèn)為必須建立威脅情報(bào)平臺(tái)仙蚜,才能實(shí)現(xiàn)威脅情景可視化、互相關(guān)聯(lián)厂汗、感知情景委粉。
Gartner在報(bào)告The Five Characteristics of an Intelligence-Driven Security Operations Center中特別提到,安全運(yùn)營(yíng)中心體系架構(gòu)必須接入安全情報(bào)娶桦,充分感知安全環(huán)境贾节,以情報(bào)作為驅(qū)動(dòng)力。
摘自:
青藤云安全
