1 定义
威胁目前没有唯一的定义,参考各方定义做了总结:
- 威胁情报是一种基于证据的知识,包括了情境、机制、指标、影响和操作建议。威胁情报描述了现存的、或者是即将出现针对资产的威胁或危险,并可以用于通知主体针对相关威胁或危险采取某种响应。
- 对敌方的情报,及其动机、企图和方法进行收集、分析和传播,帮助各个层面的安全和业务成员保护企业关键资产。
- 针对安全威胁、威胁者、利用、恶意软件、漏洞和危害指标,所收集的用于评估和应用的数据集。
- 关于已经收集、分析、分发的,针对攻击者和其动机的目的手段,用于帮助所有安全级别和业务员用于保护其企业核心资产的知识。
通过全世界数据的搜集和大数据分析技术的结合,去研究攻击者是谁,掌握哪些技术和工具,历史上做过哪些事情,近期想要做什么,目标是什么(对企业产生潜在与非潜在危害的信息进行收集)。通过这些分析形成网络安全方面的情报(企业面对的机遇和威胁),让企业能快速有效的对黑客攻击进行有效的防护。
2 目的和威胁
通常来讲,公司无法辨别威胁。企业经常花费太多钱在攻击发生之后对漏洞的修补和调查问题上,而不打算在攻击出现之前就修复它。
威胁情报是一种基于数据的,对组织即将面临的攻击进行预测的行动。预测(基于数据)将要来临的的攻击。威胁情报利用公开的可用资源,预测潜在的威胁,可以帮助你在防御方面做出更好的决策,威胁情报的利用可以得到以下好处:
- 采取积极地措施,而不是只能采取被动地措施,可以建立计划来打击当前和未来的威胁;
- 形成并组织一个安全预警机制,在攻击到达前就已经知晓;
- 情报帮助提供更完善的安全事件响应方案;
- 使用网络情报源来得到安全技术的最新进展,以阻止新出现的威胁;
- 对相关的危险进行调查,拥有更好的风险投资和收益分析;
- 寻找恶意IP地址、域名/网站、恶意软件hash值、受害领域。
以往的企业防御和应对机制根据经验构建防御策略、部署产品,无法应对还未发生以及未产生的攻击行为。但是经验无法完整的表达现在和未来的安全状况,而且攻击手法和工具变化多样,防御永远是在攻击发生之后才产生的,而这个时候就需要调整防御策略来提前预知攻击的发生,所以就有了威胁情报。通过对威胁情报的收集、处理可以实现较为精准的动态防御,在攻击未发生之前就已经做好了防御策略。
3 分类
标签:威胁,收集,情报,攻击,防御,企业 来源: https://www.cnblogs.com/wh0121/p/15898882.html
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。