威胁情报的三种情报类型:综合指南
2023-6-24 13:9:38 Author: Ots安全(查看原文) 阅读量:15 收藏

关注我们 | 发现更多精彩内容

威胁情报是收集、分析和传播针对组织的现有或新兴网络威胁信息的过程。威胁情报帮助安全团队更加主动,使他们能够更有效地预防、检测和响应网络攻击。
然而,并非所有威胁情报都是一样的。根据信息的来源、范围和质量,威胁情报的有用性和适用性可能会有所不同。为了充分利用威胁情报,安全团队需要了解不同类型的情报以及如何使用它们。
在本指南中,我将解释威胁情报的三种类型:战略情报、战术情报和作战情报。我还将提供每种类型的示例以及它们如何帮助安全团队改善网络安全状况。
战略威胁情报
战略威胁情报是一种提供威胁形势以及威胁行为者的趋势、模式和动机的高级概述的情报类型。战略威胁情报可帮助安全团队了解全局,并使他们的安全策略与业务目标和风险保持一致。
战略威胁情报可以回答以下问题:
- 谁是针对我们组织或行业的威胁行为者?
- 他们的目标、能力和 TTP(战术、技术和程序)是什么?
- 随着时间的推移,他们如何发展?他们的未来计划是什么?
- 我们需要注意哪些新出现的威胁和漏洞?
- 我们在安全成熟度和性能方面与同行和竞争对手相比如何?
战略威胁情报通常源自开源情报(OS-INT),即在互联网或其他来源(例如媒体报道、博客、论坛、社交媒体等)上公开提供的信息。战略威胁情报还可以从提供策划和分析的威胁报告和公告的商业或政府来源获得。
战略威胁情报可用于:
- 需要就安全投资、政策和优先事项做出明智决策的安全领导者和高管
- 需要监控威胁形势并识别新出现的威胁和机遇的安全分析师
- 旨在提高安全文化和知识的安全意识和教育计划雇员
战术威胁情报
战术威胁情报是一种情报,可提供有关影响组织的特定威胁和危害指标 (IOC) 的详细且可操作的信息。战术威胁情报可帮助安全团队快速有效地响应事件并减轻威胁。
战术威胁情报可以回答以下问题:
- 针对我们的组织或行业的具体威胁和 IOC 是什么?
- 他们如何利用我们的漏洞并攻击我们的系统或网络?
- 预防或遏制它们的最佳做法和建议是什么?
- 我们如何使用现有的工具和流程来检测它们?
- 我们如何与同行或合作伙伴分享它们以进行协作?
战术威胁情报通常源自技术来源,例如网络日志、恶意软件样本、端点数据等。战术威胁情报也可以从外部来源获得,例如威胁源、安全供应商、行业团体等。
战术威胁情报可用于:
- 需要分类、分析和修复事件的安全运营中心 (SOC) 分析师
- 需要配置和调整安全工具和控制的安全工程师 - 需要
主动搜索妥协或恶意活动迹象的威胁搜寻者 - 需要主动搜索威胁或恶意活动迹象的事件响应者遏制和消除威胁
运营威胁情报
运营威胁情报是一种提供有关特定威胁行为者及其 TTP 的精细上下文信息的情报类型。运营威胁情报可帮助安全团队在威胁造成损害之前预测并破坏威胁。
运营威胁情报可以回答以下问题:
- 针对我们组织或行业的具体威胁行为者是谁?
- 他们在攻击生命周期的每个阶段的 TTP 是多少?
- 他们如何相互沟通、协调和协作?
- 他们的弱点、盲点和局限性是什么?
- 我们怎样才能欺骗、威慑或扰乱他们?
运营威胁情报通常来自人力,例如卧底特工、线人、内部人员等。运营威胁情报也可以从秘密来源获得,例如蜜罐、污水坑、恶意软件分析等。
运营威胁情报可用于:
- 红队人员需要模拟真实的攻击并测试安全防御的有效性
- 蓝队人员需要提高检测和响应能力
- 紫队人员需要促进红蓝队之间的协作和沟通
- 威胁情报分析师需要制作可操作的情报报告和简报
如何使用三种类型的情报进行威胁情报
威胁情报的三种类型并不相互排斥。它们相辅相成,针对同一威胁形势提供不同的视角和见解。安全团队需要使用所有三种类型的情报来全面了解他们面临的威胁以及应对威胁的最佳方法。
然而,使用这三种类型的情报进行威胁情报也需要不同的技能、资源和流程。安全团队需要:
- 定义他们的情报需求并优先考虑他们的情报需求
- 收集和验证来自各种来源和格式的威胁数据
- 分析和关联威胁数据以生成相关且可靠的威胁情报
- 与内部和外部利益相关者传播和共享威胁情报
- 使用和应用威胁改善安全运营和结果的情报
- 评估和衡量威胁情报的价值和影响
为了有效地执行这些任务,安全团队需要拥有强大的威胁情报平台 (TIP),该平台可以自动化并简化威胁情报生命周期。TIP 可以帮助安全团队:
- 从多个来源和格式收集和摄取威胁数据
- 丰富和标准化威胁数据以提供上下文和相关性
- 分析和关联威胁数据以识别威胁和 IOC
- 在集中且安全的存储库中存储和管理威胁数据
- 传播和共享威胁使用各种工具和平台获取情报
- 使用和应用威胁情报来增强安全运营
TIP 还可以提供各种特性和功能,例如:
- 威胁情报源,提供来自各种来源的精选和更新的威胁数据
- 威胁情报报告,提供对特定威胁或主题的深入分析和见解
- 威胁情报仪表板,提供威胁态势的可视化和交互式视图
- 威胁情报警报及时提供关键威胁或事件的通知
- 威胁情报 API 可轻松与其他工具和平台集成
结论
威胁情报是任何网络安全策略的重要组成部分。它为安全团队提供了更有效地预防、检测和响应网络威胁所需的信息。然而,并非所有威胁情报都是一样的。安全团队需要了解威胁情报的不同类型:战略、战术和运营。他们还需要使用强大的威胁情报平台 (TIP),该平台可以自动化和简化威胁情报生命周期。通过这样做,安全团队可以全面、全面地了解他们面临的威胁以及应对威胁的最佳方法。

感谢您抽出

.

.

来阅读本文

点它,分享点赞在看都在这里


文章来源: http://mp.weixin.qq.com/s?__biz=MzAxMjYyMzkwOA==&mid=2247499220&idx=1&sn=f1d72e7c92ea96fd329857bbf37f6f06&chksm=9badb49facda3d89c9b72e41665cd4c511fe3a5c1aa6c36577d90a76b9585090b0997a560f2c#rd
如有侵权请联系:admin#unsafe.sh