首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

威胁情报:拼图理念

拼图是威胁情报的一个基础理念,最著名的就是盲目摸象的例子。我一直认为,威胁情报的拼图其实包含两层意思。

威胁情报,最直观的解释就是威胁相关的情报,先了解下最基本的威胁情报是怎么来的。如下图所示,首先,攻击者发动攻击行为,产生了包含攻击的数据,包括网络流量、文件、访问记录等;其次,安全人员或者安全设备要具有接触这些数据的权限,且有从中发现攻击的能力;进而从中发现攻击事件,再从攻击事件中提取与攻击者相关的可观察物,包括IP、域名、URL、文件、手机号、邮箱、字符串等等,这些形成了最基础的威胁情报。

一、面向安全厂商的拼图。

根据以上对威胁情报的解释,可以发现两个关键点:带有攻击的数据,与发现攻击的能力。对于各家安全厂商,包括Cisco在内,没有一家敢说有权限接触所有网络空间数据,同样,也没有一家敢说,100%覆盖其他厂商的安全能力。这里引出了拼图的第一层意思,也就是面向各安全厂商的拼图,安全厂商借助其他厂商的拼图,补足并提升自己的安全能力。

举个例子,假设有两家安全厂商A和B,A通过部署在他们客户那的安全设备、工具发现了一个攻击事件,并提取了威胁情报,然后通过共享机制(如国外的STIX 2.0)将情报共享给了B;B发现它的设备并没能报出与A共享情报相关的事件,比如A说一个IP是攻击IP,B发现了这个IP,但是它的规则、策略等并没有报出与这个IP相关的网络流,那么B就能借此发现自己的安全能力缺陷,进而补足。

真要做到这一点,必须有一套各厂商都能受益的共享机制在里面,否则,不可能!

二、面向黑客画像的拼图。

这也是威胁情报拼图的本意。攻击者从发动攻击,到成功窃取数据、达成目标,在这过程中会做一系列的动作,包括找跳板机、扫描探测、注册域名、获取漏洞、找到绕过方式、购买开发工具、窃取数字证书等。如果能把整个链条梳理清楚,也就完成了对黑客的画像。这里面涉及的数据、技术,相当的多呀,这里先不展开讨论了。

祝好!

  • 发表于:
  • 原文链接http://kuaibao.qq.com/s/20180208G01Q1T00?refer=cp_1026
  • 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

扫码

添加站长 进交流群

领取专属 10元无门槛券

私享最新 技术干货

扫码加入开发者社群
领券