2013年Gartner率先提出威胁情报并给予了其初始定义,随后威胁情报便在国内外迅速发展并一度成为国内外安全领域关注的热点,威胁情报因其在安全检测与防御的实践应用中的重要作用使得很多中大型企业都逐渐的建立了自己的威胁情报运营中心或者将威胁情报数据加入了年度采购预算之中,威胁情报备受重视~
安全情报从情报类型上可以划分为如下几个方面:
威胁情报是一种基于证据的知识,包括情境、机制、指标、影响和操作建议等方面,威胁情报描述了已发现或将来会出现的威胁或危险,并可以用于通知主体针对相关威胁或危险采取的某种响应,广义上的威胁情报内容比较宽泛,包括但不限于狭义的漏洞情报、安全事件情报以及基础信息知识情报等方面内容,在当前的网络安全行业内大多数情况下所说的威胁情报主要指的是狭义的威胁情报,主要是攻击者相关的信息、动机、目标、攻击技战术、IOC(失陷标识: Indicators of Compromise)等
威胁情报旨在为面临威胁的资产主体(通常为资产所属企业或机构)提供全面的、准确的、与其相关的、并且能够执行和决策的知识和信息,威胁情报按照使用场景可以分为以下几类:
威胁情报根据数据本身可以分为HASH值、IP地址、域名、网络或主机特征、TTPs(Tactics、Techniques & Procedures):
上图中左侧是能够利用的情报,右侧是这些情报给攻击者造成的困难程度,威胁情报中价值最低的是Hash值、IP地址和域名,其次是网络/主机特征、攻击工具特征,对攻击者影响最大的是TTPs(战术、技术和行为模式)类型的威胁情报:
威胁情报生命周期是一个循环的过程,其主要包含以下阶段:
企业威胁情报的主要用途有以下几个方面:
https://www.secrss.com/articles/6599 https://www.attackiq.com/glossary/pyramid-of-pain/ http://detect-respond.blogspot.com/2013/03/the-pyramid-of-pain.html http://www.changyuan.net.cn/index.php?m=home&c=View&a=index&aid=19 https://www.slideshare.net/JeremyLi10/discover-advanced-threats-with-threat-intelligence-jeremy-li https://baike.baidu.com/item/%E5%A8%81%E8%83%81%E6%83%85%E6%8A%A5/23311172?fr=aladdin